D3D游戏降帧的动态创建D3D设备以及ShellCode HOOK玩法
欢迎转载,转载请注明出处:http://blog.csdn.net/gnorth/article/details/9327971
说白了,也就是HOOK掉Present,这种代码,其实百度上某些地方有,但是很多人估计不知道怎样得到Present的地址。
所以就有些奇葩的例子:
先到游戏的登录器内把CreateProcess之类的HOOK掉,让游戏进程暂停启动,然后注入游戏 HOOK Direct3DCreate9 得到 IDirect3D9 对象之后,又得到 IDirect3DDevice9 对象,最终得到Present,反正挺蛋疼的,而且就是在游戏创建对象前要HOOK掉,用户体验非常的差。
其实自己创建个对象,从虚函数表就拿到真正的函数地址了。
本文的一大堆废话只是为了说明实现流程,由于写得比较仓促,所以嘛,估计要有一定基础的人才看得懂,最后面有完整的代码,你不想理解流程的话直接复制去用吧。
创建对象的代码如下:
BOOL InitializeD3D9(HWND hWnd, IDirect3D9 **ppD3D9, IDirect3DDevice9 **ppDev)
{
*ppD3D9 = Direct3DCreate9(D3D_SDK_VERSION);
if(!(*ppD3D9))
return FALSE;
D3DDISPLAYMODE d3ddm;
HRESULT hr = (*ppD3D9)->GetAdapterDisplayMode(D3DADAPTER_DEFAULT, &d3ddm);
if(FAILED(hr))
{
(*ppD3D9)->Release();
return FALSE;
}
D3DPRESENT_PARAMETERS d3dpp = {0};
d3dpp.Windowed= TRUE;
d3dpp.SwapEffect= D3DSWAPEFFECT_DISCARD;
d3dpp.BackBufferFormat= d3ddm.Format;
hr = (*ppD3D9)->CreateDevice(
D3DADAPTER_DEFAULT,
D3DDEVTYPE_HAL,
hWnd,
D3DCREATE_SOFTWARE_VERTEXPROCESSING,
&d3dpp,
ppDev);
if(FAILED(hr))
{
(*ppD3D9)->Release();
return FALSE;
}
return TRUE;
}
void ReleaseD3D9(IDirect3D9 *pD3D9, IDirect3DDevice9 *pDev)
{
if(pDev)
pDev->Release();
if(pD3D9)
pD3D9->Release();
}
LPVOID GetDirectDeviceMemberProc(LPVOID pDev, DWORD dwOffset) //根据偏移从虚函数表获取函数地址
{
LPVOID pRet = NULL;
__asm{
mov eax, dword ptr [pDev]
mov ecx, dword ptr [eax]
mov ebx, dwOffset
mov eax, dword ptr [ecx + ebx]
mov pRet, eax
}
return pRet;
}
这个代码要有DXSDK才行,需要依赖这两个,d3d9.h d3d9.lib,由于这种比较恶心的代码,一般就是静态库里一丢就永远不管了,但是呢,丢静态库里,假如不用这种功能的代码调用静态库时,就要出警告提示你,你木有用到d3d9.dll中的代码云云,非常不爽。
所以针对这个问题,我就自己调试了下,写了一个动态调用创建D3D设备对象的代码出来:最后面有完整的代码,你不想理解流程的话直接复制去用吧。
大概流程如下:
首先 Direct3DCreate9 是个标准API导出函数,所以,直接加载d3d9.dll,获取它即可
HMODULE hD3d9 = LoadLibraryA("d3d9.dll");
LPVOID _Direct3DCreate9 = (LPVOID)GetProcAddress(hD3d9, "Direct3DCreate9");
__asm{
push 32 //D3D_SDK_VERSION 32
call _Direct3DCreate9
mov pD3D9, eax
}
if(!pD3D9)
return false;
这样就得到了接口对象,接下来是Release 以及 GetAdapterDisplayMode
77: (*ppD3D9)->Release();
00401243 8B 4D 0C mov ecx,dword ptr [ebp+0Ch]
00401246 8B 11 mov edx,dword ptr [ecx]
00401248 8B 45 0C mov eax,dword ptr [ebp+0Ch]
0040124B 8B 08 mov ecx,dword ptr [eax]
0040124D 8B 01 mov eax,dword ptr [ecx]
0040124F 8B F4 mov esi,esp
00401251 52 push edx
00401252 FF 50 08 call dword ptr [eax+8]
它的偏移是8
GetAdapterDisplayMode
72: HRESULT hr = (*ppD3D9)->GetAdapterDisplayMode(D3DADAPTER_DEFAULT, &d3ddm);
00401209 8B F4 mov esi,esp
0040120B 8D 45 EC lea eax,[ebp-14h]
0040120E 50 push eax
0040120F 6A 00 push 0
00401211 8B 4D 0C mov ecx,dword ptr [ebp+0Ch]
00401214 8B 11 mov edx,dword ptr [ecx]
00401216 8B 45 0C mov eax,dword ptr [ebp+0Ch]
00401219 8B 08 mov ecx,dword ptr [eax]
0040121B 8B 01 mov eax,dword ptr [ecx]
0040121D 52 push edx
0040121E FF 50 20 call dword ptr [eax+20h]
偏移为0x20
LPVOID d3d9_Release = GetDirectDeviceMemberProc(pD3D9, 0x08);
LPVOID _GetAdapterDisplayMode = GetDirectDeviceMemberProc(pD3D9, 0x20);
//先调用_GetAdapterDisplayMode
//这里要传入一个 D3DDISPLAYMODE结构指针,但是外面并不需要对这个结构进行操作,所以这里只需要知道结构大小,然后分配一个一样大的内存给它就好。
//sizeof(D3DDISPLAYMODE) 大小为 0x10
BYTE d3ddm[0x10]
HRESULT hr = NULL;
__asm{
lea eax, d3ddm
push eax
push 0
push pD3D9
call _GetAdapterDisplayMode
mov hr, eax
}
if(FAILED(hr)) // hr != S_OK;就释放对象,说明到这里就创建失败了,具体为啥失败我不懂
{
__asm{
push pD3D9
call d3d9_Release
}
return false;
}
接下来要用到 D3DPRESENT_PARAMETERS 结构,这个结构要在外面填参数了,所以,就要去看他的原型,看哪些是我们需要填的偏移。
它的大小是0x38, 注意我后面注释的值是偏移。
typedef struct _D3DPRESENT_PARAMETERS_
{
UINT BackBufferWidth; //0
UINT BackBufferHeight; //4
D3DFORMAT BackBufferFormat; //8
UINT BackBufferCount; //c
D3DMULTISAMPLE_TYPE MultiSampleType; //10 enum
DWORD MultiSampleQuality; //14
D3DSWAPEFFECT SwapEffect; //18 enum
HWND hDeviceWindow; //1C
BOOL Windowed; //20
BOOL EnableAutoDepthStencil;//24
D3DFORMAT AutoDepthStencilFormat;//28 enum
DWORD Flags; //2c
/* FullScreen_RefreshRateInHz must be zero for Windowed mode */
UINT FullScreen_RefreshRateInHz;//30
UINT PresentationInterval; //34
} D3DPRESENT_PARAMETERS;
我们可以从结构上看到,需要操作的偏移如下
Windowed; //20
SwapEffect; //18
BackBufferFormat; //8
然后代码中可以看到,BackBufferFormat是从d3ddm里过来的
结构是这样, Format的偏移为0x0c
typedef struct _D3DDISPLAYMODE
{
UINT Width;
UINT Height;
UINT RefreshRate;
D3DFORMAT Format; //0x0c
} D3DDISPLAYMODE;
所以代码如下:
BYTE d3dpp[0x38];
memset(d3dpp, 0, 0x38);//如果不把结构填充为0,创建设备就会失败。
__asm{
lea eax, d3dpp
mov dword ptr [eax + 0x20], 1
mov dword ptr [eax + 0x18], 1
lea ebx, d3ddm
mov ecx, dword ptr [ebx + 0x0C]
mov dword ptr [eax + 8], ecx
}
最后就是创建设备的代码
86: hr = (*ppD3D9)->CreateDevice(
87: D3DADAPTER_DEFAULT,
88: D3DDEVTYPE_HAL,
89: hWnd,
90: D3DCREATE_SOFTWARE_VERTEXPROCESSING,
91: &d3dpp,
92: ppDev);
00401287 8B F4 mov esi,esp
00401289 8B 55 10 mov edx,dword ptr [ebp+10h]
0040128C 52 push edx
0040128D 8D 45 B4 lea eax,[ebp-4Ch]
00401290 50 push eax
00401291 6A 20 push 20h
00401293 8B 4D 08 mov ecx,dword ptr [ebp+8]
00401296 51 push ecx
00401297 6A 01 push 1
00401299 6A 00 push 0
0040129B 8B 55 0C mov edx,dword ptr [ebp+0Ch]
0040129E 8B 02 mov eax,dword ptr [edx]
004012A0 8B 4D 0C mov ecx,dword ptr [ebp+0Ch]
004012A3 8B 11 mov edx,dword ptr [ecx]
004012A5 8B 0A mov ecx,dword ptr [edx]
004012A7 50 push eax
004012A8 FF 51 40 call dword ptr [ecx+40h] <-----------偏移0x40
LPVOID _CreateDevice = GetDirectDeviceMemberProc(pD3D9, 0x40);
//0x40
__asm{
lea eax, pD3D9Dev
push eax
lea eax, d3dpp
push eax
push 0x20
push hWnd
push 1
push 0
push pD3D9
call _CreateDevice
mov hr, eax
}
if(FAILED(hr))
{
__asm{
push pD3D9
call d3d9_Release
}
return false;
}
最终得到设备对象后,就用同样的方法,从虚函数表获取真正的函数地址, Present的偏移为0x44
inline钩子函数,大概如下:
typedef HRESULT (WINAPI *DEFPRESENT)(LPDIRECT3DDEVICE9,CONST RECT *,CONST RECT *,HWND,CONST RGNDATA *);
DEFPRESENT PresentData = NULL;
HRESULT WINAPI _Present(LPDIRECT3DDEVICE9 p1, CONST RECT *p2, CONST RECT *p3, HWND p4, CONST RGNDATA *p5)
{
Sleep(64);//这里也就是降帧了
return PresentData(p1, p2, p3, p4, p5);
}
但是,这种代码,一般得写在DLL里才行,要是DLL卸载出来了,代码自然就没了,你不卸载HOOK就是一个字,“崩”!
而有些非常时期,却又不得不卸载DLL。所以嘛,就自然有了ShellCode的代码。
ShellCode不必完全模仿完善的inline hook 钩子函数,因为要模仿起来太累了, 因为存在PresentData中间代码实际上也是ShellCode。
所以大概原型如下:
__asm{
pushad
pushfd
//这里call Sleep
以及执行它的前5个字节
mov edi, edi
push ebp
mov ebp, esp 好像是这个样子
popfd
popad
jmp 原始Present + 5
}
这个代码实现起来不难,要注意的是,Sleep是不能直接调用的,因为Sleep实际上会被编译器进行包装,分配一个指针来包装它,然后call dword ptr [包装的指针]
而这个指针,在你的dll卸载时,也会无效掉。所以我们应该自己包装Sleep
PBYTE psc = (PBYTE)VirtualAllocEx(GetCurrentProcess(), NULL, 4, MEM_COMMIT | MEM_RESERVE, 0x40);
*(PDWORD)psc = (DWORD)Sleep;
//使用VirtualAllocEx进行分配内存,使用MEM_COMMIT | MEM_RESERVE模式,这样分配出来的内存不会跟随你的DLL一起被释放掉。
//其他的几种方式 new 会跟随dll释放
//C函数库的 malloc也会释放
//GlobalAlloc 不能改变为可执行可读写保护模式
//还好最后剩VirtualAllocEx能用
//其实我早就感觉,dll卸载时会把dll new 出来的各种内存都释放掉了,也就是通过这个例子,我终于证实了这个结论。
ShellCode 如下
BYTE pCode[22] = {
0x60, //pushad
0x9C, //pushfd
0x6A, bTime, //Sleep参数
0xFF, 0x15, 0x00, 0x00, 0x00, 0x00, //call dword ptr [psc] 暂时留空,在下面会对这里写入
0x9D, //popfd
0x61, //popad 我断了下Sleep看过,其实被改变的通用寄存器好像只有eax ecx edx这几个,但为了代码更简单点,所以直接pushad pushfd popad popfd
0x8B, 0xFF, //mov edi, edi 实际上这个代码是可以不写的
0x55, // push ebp
0x8B, 0xEC, //mov ebp, esp
0xE9, 0x00, 0x00, 0x00, 0x00, //jmp 回 Present + 5 留到下面去写入跳转相对地址
};
*((PDWORD)(pCode + 6)) = (DWORD)psc; //把Sleep的包装地址写入进去,由于call dword ptr 不是用的相对地址,所以直接写入地址进去即可
pCode是在局部分配来写ShellCode的,
所以需要分配一个能够保留的地址,拷贝一份代码过去。
PBYTE pShellCode = (PBYTE)VirtualAllocEx(GetCurrentProcess(), NULL, 22, MEM_COMMIT | MEM_RESERVE, 0x40);
memcpy(pShellCode, pCode, 22);
PDWORD pAddr = (PDWORD)(pShellCode + 18);//得到最后4字节的指针
*pAddr = (DWORD)pPresent - ((DWORD)pAddr - 1);//计算相对地址并写入
//这里普及下常识, 0xE8 call 0xE9 jmp 这种远跳 调用的代码
//它的值为相对地址,这个地址的计算公式为: 目标地址 - (指令地址 + 指令长度)
// (DWORD)pPresent - ((DWORD)pAddr - 1); 根据公式的话,这里看起来很诡异吧
//首先,我们要在这里跳回Present + 5 那么目标就是 (Present + 5 ) 然后,我们跳转的指令地址是在这里 0xE9, 0x00, 0x00, 0x00, 0x00, 从0xE9开始
//但是(PDWORD)(pShellCode + 18);//这里取得最后的4字节的地址时,已经到0xE9后面的一个字节去了, 所以:跳转地址实际上为(pShellCode - 1 + 5)
根据公式: 就应该是这样 (Present + 5 ) - (pShellCode - 1 + 5) 即: (DWORD)pPresent - ((DWORD)pAddr - 1);
一切准备完毕之后,用同样的方法,让原始的Present头部跳到pShellCode头部,这里需要VirtualProtect 改变一下要操作的那几个字节为可读写可执行,操作完后改回去
DWORD dwProtect = 0;
VirtualProtect(pPresent, 5, 0x40, &dwProtect);
*(PBYTE)pPresent = 0xE9;
*((PDWORD)((PBYTE)pPresent + 1)) = (DWORD)pShellCode - (DWORD)pPresent - 5;
VirtualProtect(pPresent, 5, dwProtect, NULL);
完整的代码如下:
LPVOID GetDirectDeviceMemberProc(LPVOID pDev, DWORD dwOffset)
{
LPVOID pRet = NULL;
__asm{
mov eax, dword ptr [pDev]
mov ecx, dword ptr [eax]
mov ebx, dwOffset
mov eax, dword ptr [ecx + ebx]
mov pRet, eax
}
return pRet;
} struct _d3dhookdev_type{
LPVOID pD3D9;
LPVOID pD3DDev;
}; bool InitD3D9(HWND hWnd, _d3dhookdev_type &dev)
{
HMODULE hD3d9 = LoadLibraryA("d3d9.dll");
LPVOID pD3D9 = NULL, pD3D9Dev = NULL; BYTE d3ddm[0x10];
if(hD3d9)
{
LPVOID _Direct3DCreate9 = (LPVOID)GetProcAddress(hD3d9, "Direct3DCreate9");
__asm{
push 32
call _Direct3DCreate9
mov pD3D9, eax
} if(!pD3D9)
return false; LPVOID d3d9_Release = GetDirectDeviceMemberProc(pD3D9, 0x08); LPVOID _GetAdapterDisplayMode = GetDirectDeviceMemberProc(pD3D9, 0x20); HRESULT hr = NULL;
__asm{
lea eax, d3ddm
push eax
push 0
push pD3D9
call _GetAdapterDisplayMode
mov hr, eax
} if(FAILED(hr))
{
__asm{
push pD3D9
call d3d9_Release
}
return false;
} BYTE d3dpp[0x38];
memset(d3dpp, 0, 0x38); __asm{
lea eax, d3dpp
mov dword ptr [eax + 0x20], 1
mov dword ptr [eax + 0x18], 1
lea ebx, d3ddm
mov ecx, dword ptr [ebx + 0x0C]
mov dword ptr [eax + 8], ecx
} LPVOID _CreateDevice = GetDirectDeviceMemberProc(pD3D9, 0x40);
//0x40 __asm{
lea eax, pD3D9Dev
push eax
lea eax, d3dpp
push eax
push 0x20
push hWnd
push 1
push 0
push pD3D9
call _CreateDevice
mov hr, eax
} printf("%X\n", hr); if(FAILED(hr))
{
__asm{
push pD3D9
call d3d9_Release
} return false; } dev.pD3D9 = pD3D9;
dev.pD3DDev = pD3D9Dev;
return true;
} return false;
} void ReleaseD3D9(_d3dhookdev_type &dev)
{
if(dev.pD3D9)
{
LPVOID d3d_Release = GetDirectDeviceMemberProc(dev.pD3D9, 0x08);
__asm{
push dev.pD3D9
call d3d_Release
}
} if(dev.pD3DDev)
{
LPVOID d3ddev_Release = GetDirectDeviceMemberProc(dev.pD3DDev, 0x08);
__asm{
push dev.pD3DDev
call d3ddev_Release
}
}
} void D3DPresentShellCodeHook(HWND hWnd, BYTE bTime)
{
_d3dhookdev_type dev = {NULL, NULL};
LPVOID pPresent = NULL;
if(InitD3D9(hWnd, dev))
{
pPresent = GetDirectDeviceMemberProc(dev.pD3DDev, 0x44);
ReleaseD3D9(dev);
if(!pPresent)
return; if(0xE9 == *(PBYTE)pPresent)
return;
} PBYTE psc = (PBYTE)VirtualAllocEx(GetCurrentProcess(), NULL, 4, MEM_COMMIT | MEM_RESERVE, 0x40);
*(PDWORD)psc = (DWORD)Sleep;
BYTE pCode[22] = {
0x60,
0x9C,
0x6A, bTime,
0xFF, 0x15, 0x00, 0x00, 0x00, 0x00,
0x9D,
0x61,
0x8B, 0xFF,
0x55,
0x8B, 0xEC,
0xE9, 0x00, 0x00, 0x00, 0x00,
};
*((PDWORD)(pCode + 6)) = (DWORD)psc;
PBYTE pShellCode = (PBYTE)VirtualAllocEx(GetCurrentProcess(), NULL, 22, MEM_COMMIT | MEM_RESERVE, 0x40);
memcpy(pShellCode, pCode, 22);
PDWORD pAddr = (PDWORD)(pShellCode + 18);
*pAddr = (DWORD)pPresent - ((DWORD)pAddr - 1);
DWORD dwProtect = 0;
VirtualProtect(pPresent, 5, 0x40, &dwProtect);
*(PBYTE)pPresent = 0xE9;
*((PDWORD)((PBYTE)pPresent + 1)) = (DWORD)pShellCode - (DWORD)pPresent - 5;
VirtualProtect(pPresent, 5, dwProtect, NULL);
}
D3D游戏降帧的动态创建D3D设备以及ShellCode HOOK玩法的更多相关文章
- unity3d通过代码动态创建销毁游戏对象
只能动态创建内部提供的游戏对象,代码如下: //按下C后创建 if (Input.GetKeyDown (KeyCode.C)) { GameObject s1 = GameObject.Create ...
- Unity进阶技巧 - 动态创建UGUI
前言 项目中有功能需要在代码中动态创建UGUI对象,但是在网上搜索了很久都没有找到类似的教程,最后终于在官方文档中找到了方法,趁着记忆犹新,写下动态创建UGUI的方法,供需要的朋友参考 你将学到什么? ...
- Unity3D RTS游戏中帧同步实现
帧同步技术是早期RTS游戏常用的一种同步技术,本篇文章要给大家介绍的是RTX游戏中帧同步实现,帧同步是一种前后端数据同步的方式,一般应用于对实时性要求很高的网络游戏,想要了解更多帧同步的知识,继续往下 ...
- [UE4]使用C++重写蓝图,SpawnObject根据类型动态创建UObject
先大量使用蓝图制作项目,后续再用C++把复杂的蓝图重写一遍,用C++代码按照蓝图依葫芦画瓢就可以了,很简单,但需要遵守一些原则: 第一种方法:使用继承 一.创建一个C++类作为蓝图的父类(C++类继承 ...
- RenderTexture动态创建纹理
CCRenderTexture,它允许你来动态创建纹理,并且可以在游戏中重用这些纹理. 使用 CCRenderTexture非常简单 – 你只需要做以下5步就行了: 创建一个新的CCRenderTex ...
- MFC六大核心机制之三:动态创建
MFC中很多地方都使用了动态创建技术.动态创建就是在程序运行时创建指定类的对象.例如MFC的单文档程序中,文档模板类的对象就动态创建了框架窗口对象.文档对象和视图对象.动态创建技术对于希望了解MFC底 ...
- 【Unity3D】【NGUI】Atlas的动态创建
NGUI版本号:3.6.5 1.參见SZUIAtlasMakerRuntimeTest设置对应的值以上值须要提前设置好 2.没有检查是否atlas可以正确创建,自己可以改,增加返回值 3.代码都是在N ...
- JavaScript dom 动态创建标记
此前的大多数DOM都是用来查找元素,getElementById和getElementsByTagName都可以方便快捷的找到文档中的某个或者某些特定的元素节点,这些元素随后可以用诸如setAttri ...
- ios动态创建类Class
[Objective-C Runtime动态加载]---动态创建类Class 动态创建类Class,动态添加Class成员变量与成员函数,动态变量赋值与取值,动态函数调用等方法 a.使用objc_al ...
随机推荐
- [Unity3D]Unity3D游戏开发之刀光剑影特效的实现
大家好,我是秦元培,欢迎大家关注我的博客,我的博客地址是blog.csdn.net/qinyuanpei. 我实在不明确有的人为什么不喜欢武侠/仙侠类游戏,也许是因为武侠/仙侠类游戏身上被永远烙上的国 ...
- Java之多线程
一.简述进程与线程的关系 说到多线程就不得不说进程,那么什么是进程:简单的来说就是正在进行中的程序. 在windows中,我们可以直观的看到的正在运行中的程序,即进程,如图:
- sql点滴40—mysql乱码问题总结
原文:sql点滴40-mysql乱码问题总结 本文将为大家讲解如何处理Java连接过程中的MySQL中文乱码问题.一般MySQL中文乱码问题都是与字符集有关,这里作者的经历也大致差不多. MySQL默 ...
- PDFBox 介绍
根据官网的介绍可知,PDFBox是一个用来处理PDF文档的开源的Java工具包.这个项目运行创建PDF文档.对已有文档进行操作并且能够从文档中提取内容.它也包含了几个命令行工具.还有一点很重要,它是开 ...
- bundle install 出现 'gem install mysql2 -v '0.3.15' succeeds before bunding '
bundle install 出现 'gem install mysql2 -v '0.3.15' succeeds before bunding ' 解决:sudo apt-get install ...
- 华为JAVA(面试问题及答案节)
华为JAVA面试题 (后记:我没想到华为面试题是不寻常,,至少对我这种鸟来说是这样.对我个人来说.看看这样的题.可能比看<Think In Java>都还要好.因为这里面有很多的东西,都是 ...
- Oracle笔试题库 附参考答案
1. 下列不属于ORACLE的逻辑结构的是(C) 区 段 数据文件 表空间 2. 下面哪个用户不是ORACLE缺省安装后就存在的用户(A) A . SYSDBA B. SYSTEM C. SCOTT ...
- SWAT—Samba WEB管理工具
本文试验环境是RHEL5.2+samba-swat-3.0.28.Server的IP是192.168.120.241. 1. swat介绍 SWAT:The Samba WEB Administr ...
- 给Angularjs配上Requirejs
给Angularjs配上Requirejs 需要考虑的事情: 1.js.css.template都按需加载,js主要就controller: * js和css都可以用requirejs和它的插件解决, ...
- 让大蛇(Python)帮你找工作
前段时间用Python实现了一个网络爬虫(让大蛇(Python)帮你找工作),效率总体还可以,但是缺点就是每次都需要手动的去触发,于是打算对该爬虫加上Timer,经过网上一番搜索以及API的查询,发现 ...