初步了解tgs插件的写法

2 u. H, }! v  ^$ V, y/ d: ^0 @
. _* o9 w/ l/ h- J5 x

编写需求条件:
+ q+ |" @- G0 x) ^
3 ^! F. I8 i: Z! d! W  `1 `    od工具(看雪论坛有下), 程序编写工具比如(delphi, vc++)
' S' S% F% x4 Z5 i5 ]# C! F

编写过程
6 \; b/ o! K) R  b
第1步:
' F/ ^$ G  E8 n) ^( \
% I; @+ p( K/ A    用编程工具写一个注入程序, 可以dll注入到tgs1000.exe 里面


第2步:
: m) _8 x- q6 C5 Z) [% ?
    打开od工具, 调用菜单打开功能 读入tgs1000.exe F9运行程序

    启动客户端进入游戏(后面要用客户端)

    调用 菜单->查看->可执行程序 看到列表里面 双击路径是tgs1000.exe
: K, @" M) o* a% {
    在出现的界面上右键 菜单->查找->所有参考文本字符串  od 会扫描程序

/ q* ~  `. s( _+ W: n1 \    提取出参考字符串, 然后右键 查找文本 输入 <system> 字符, 这时可以看到

    od停在
3 t4 O- \9 F2 b1 m0 k* n3 C7 y# @
    0052A0C7 mov     edx, 0052FDD0   ASCII "<SYSTEM>: "
! G" n% @& w( S) k- ?
    双击这一行 再次看到od定位在汇编代码显示页面


        0052A0C7   .  BA D0FD5200   mov     edx, 0052FDD0                    ;  ASCII "<SYSTEM>: "
0 H8 X, j" D9 r- J  h& _        0052A0CC   .  E8 C7A5EDFF   call    00404698                                
        0052A0D1   .  8B95 ACDEFFFF mov     edx, dword ptr [ebp-2154]        ;  赋值edx 为中间屏幕显示的内容
( s% r2 z; u$ M+ y        0052A0D7   .  B9 03000000   mov     ecx, 3                             ;  这里是色彩的选项 后面会调用
: p" r1 w) I) R1 o* x        0052A0DC   .  A1 70855600   mov     eax, dword ptr [568570]             ;  这个是UserList地址 参考侠中道代码可以知道        
        0052A0E1   .  E8 D21A0100   call    0053BBB8                         ;  屏幕中间喊话的call 0053BBB8

5 H, ]! u1 N! U( N/ {  L4 E    定位在 0052A0C7这一行 在这里双击下断点, 在客户端用GM喊# ?????
0 r& i5 t6 L4 U% W" s" a( H   
9 n7 S$ m6 M2 }$ f    这时od会被中断, 断在刚才下的断点处, 这时按下F8
. C% a8 C: `7 U  k
9 |. H; i, S. ~1 v! N2 u5 W+ t    到call 0053BBB8 部分 按F7 进入call里面 这里是根据ecx值 取得喊话色彩
  N6 Q+ j' C! Y: J, U7 W# ?6 b
6 [# r1 e1 k/ @" a- _4 J    同时发送数据给客户端
- V, t% w* @7 ?* W4 c0 j
   
' W  o8 J/ ^4 F% p1 m& k) [    进入call之后 一路F8 到下面这里 这里的 eax 就是刚才ecx值 在上面部分已经交换过
& h5 S0 P2 T4 R9 v8 l0 S1 ?  
4 c9 z: \2 \( L7 s$ z1 g8 I8 Z        0053BBFC  |.  83F8 0F       cmp     eax, 0F                          ;  Switch (cases 0..F)
7 @$ o. i( S% T# m6 d        0053BBFF  |.  0F87 41020000 ja      0053BE46

    eax 这里是3 一路F8比较下去到下面这里

        0053BCD9  |> \66:B9 1F00    mov     cx, 1F                           ;  Case 3 of switch 0053BBFC
        0053BCDD  |.  66:BA 1F00    mov     dx, 1F
0 [6 P, i4 w: d' M        0053BCE1  |.  66:B8 1F00    mov     ax, 1F
, A! x& l9 X+ t8 p  _( S        0053BCE5  |.  E8 EA54F2FF   call    004611D4

) a$ I. G" O+ `" W    这里的 cx, dx, ax 看到过侠中道代码的就知道是 Winrgb(r,g,b:word) 的3个参数
   
  ^5 G& T/ e3 j    call    004611D4  就是调用 winrgb
4 ]' m4 s7 J3 s

上面部分已经初步了解色彩设定的方式, 这个时候为了增加我们自定义色彩显示, 就需要在

    dll里面进行内存地址读写

0 G- _5 H* n% I+ C  G    我是在
6 h7 G% d0 ^# |  S   
    0053BBFF  |. /0F87 41020000     ja      0053BE46
* i/ m& x, c: B0 r; q
    在这个地址进行拦截 在delphi里面 可能可以dll初始化时这样写
: D2 A' i2 C, n
) t$ ]8 |. X8 l/ |9 {    procedure InitDll();
    var
      p: Dword;
    begin
9 @) a9 }2 l8 }6 d  P# N      p := $0053BBFF + 1;
$ ?3 R- D$ Y3 j3 q) ~2 r3 E' q) ]9 s( f      PDword(p)^ := Dword(@proc_0053BBFF);
    end;

4 m& a/ l! m; e    在自己的代码里面写一个色彩增加的函数判断比如
6 a* L5 O$ l3 H+ u5 ^
9 f+ |( D# m3 V& q$ R8 `/ y    delphi代码:
; [- y6 V' c+ R+ s
7 I8 d8 d5 a7 p    var
      EndAddr1_0053BBFF : Dword = $004F470C;
      EndAddr2_0053BBFF : Dword = $004F44CB;
) U/ x* C6 X* l. d      EndAddr3_0053BBFF : Dword = $004F4736;    //色彩彩赋值结束跳转
3 G0 T. D( ]& R3 v& _+ J. P
   CallAddr1_0053BBFF : Dword = $004611D4;
      CallAddr2_0053BBFF : Dword = $004611D4;
, z! b) I5 x7 `1 a% c9 {# A; b& l
    procedure proc_0053BBFF();
" y7 P2 |/ U6 F8 p7 ~/ t& W8 ]7 H    asm
- x) v4 v3 _* f* C* m      cmp     eax, $10                        //与预先设定的 最大17比较
      JLE      @OldCor                        //小于就跳转到默认16种色彩赋值
- K! i6 x. \; [0 E! p
      cmp     eax, $10                        //比较是否等于16
  J- c" [0 @% s6 _* N      jnz     @Seventh                        //不等于就跳转到第17种色彩判断部分

. e3 S4 W& R+ |+ p      mov     cx, $A       //字色或背景色? 没有去详细了解请自己测试
      mov     dx, $A                          // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
8 T; Y2 Z5 f  s0 z) Z      mov     ax, $A
. C3 X$ r, [' }5 K      call    CallAddr1_0053BBFF
4 w. u" h5 R, x  ]3 j6 Y, N; \- M      mov     edx, dword ptr [ebp-$14]
' R, L3 x# H/ A. v3 m, F9 {      mov     word ptr [edx+1], ax
+ M9 a' G8 v- |( W+ W/ Z/ |) ~
      mov     cx, $10       //字色或背景色? 没有去详细了解请自己测试
% Q( M( c5 R* m      mov     dx, $10       // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
      mov     ax, $10
      call    CallAddr2_0053BBFF
* p8 E& K% i# i  r      mov     edx, dword ptr [ebp-$14]
      mov     word ptr [edx+3], ax
      jmp     EndAddr3_0053BBFF               //色彩赋值结束跳转到tgs
& m1 p# i# b: {" H, D
5 W( e0 y* i4 s    @Seventh:
: {( a8 y: _! c) h6 h! ^* t: M0 F2 n      cmp     eax, $11                        //比较是否等于17
1 k( {9 s) p' ^( e" z# s: t      jnz     @out                            //不等于就跳转到默认部分

      mov     cx, $A       //字色或背景色? 没有去详细了解请自己测试
9 S) _6 v( q5 H      mov     dx, $A                          // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
: a' v  r% P5 Y+ q: O) _      mov     ax, $A
: J7 B; v) y4 ~7 W7 f  c      call    CallAddr1_0053BBFF
      mov     edx, dword ptr [ebp-$14]
      mov     word ptr [edx+1], ax
2 r0 f% Y! e7 u  y, X
      mov     cx, $10       //字色或背景色? 没有去详细了解请自己测试
      mov     dx, $10       // 可以通过修改赋值给ax, cx, dx的值 不超过$FF
# T/ D7 j$ ]$ d      mov     ax, $10
      call    CallAddr2_0053BBFF
% M* G0 F9 G! t8 a      mov     edx, dword ptr [ebp-$14]
      mov     word ptr [edx+3], ax
      jmp     EndAddr3_0053BBFF               //色彩赋值结束跳转到tgs
  H! c4 d! n* z# b4 Z+ r                                               //
0 B2 A6 N% }( z2 k; d% c- o    @out:
4 K- E1 k  Y' j# b5 ]      jmp     EndAddr1_0053BBFF               //这个是跳转到默认的点

    @OldCor:
; M: |4 _5 t) ]1 n4 o      jmp     EndAddr2_0053BBFF               // 跳转到原来16种色彩赋值
    end