在当前流行的FPS,MOBA游戏中,我们几乎都能看到游戏外挂的身影,在FPS游戏中,可见变态功能层出不穷,例如加速,锁血 遁地,飞天,路飞,无后座,范围伤害等…,然而在MOBA游戏中,最常见的只有透视和自瞄。
切入正题,如何操作内存?在安卓中,我们可直接操作/proc/${pid}/mem
使用C语言pread函数
ssize_t pread(int fd, void *buf, size_t count, off_t offset);
简单解释下这个函数
fd:要读取数据的文件描述符
buf:数据缓存区指针,存放读取出来的数据
count:读取数据的字节数
offset:读取的起始地址的偏移量,读取地址=文件开始+offset。注意,执行后,文件偏移指针不变
还有另一个函数:pread64
很多人不知道pread64和pread的区别,其实pread64是用64位定位方式,用于对大文件的支持,与pread不同的是,pread64的偏移量参数为off64_t,而不是off_t
读写游戏内存最重要的是获取游戏进程的PID,什么是PID?PID就是各进程的身份标识,程序一运行系统就会自动分配给进程一个独一无二的PID。进程中止后PID被系统回收,可能会被继续分配给新运行的程序,但是在android系统中一般不会把已经kill掉的进程ID重新分配给新的进程,新产生进程的进程号,一般比产生之前所有的进程号都要大。
那么问题来了,如何获取游戏pid?
第一种方式:
遍历/proc/${pid}/cmdline
cmdline文件储存的是当前进程的启动名(包名)
直接贴代码:
pid_t GetProcessID(const char *process_name)
{
int id;
pid_t pid = -1;
DIR *dir;
FILE *fp;
char filename[32];
char cmdline[256];
struct dirent *entry;
if (process_name == NULL)
{
return -1;
}
dir = opendir("/proc");
if (dir == NULL)
{
return -1;
}
while ((entry = readdir(dir)) != NULL)
{
id = atoi(entry->d_name);
if (id != 0)
{
sprintf(filename, "/proc/%d/cmdline", id);
fp = fopen(filename, "r");
if (fp)
{
fgets(cmdline, sizeof(cmdline), fp);
fclose(fp);
if (strcmp(process_name, cmdline) == 0)
{
pid = id;
break;
}
}
}
}
closedir(dir);
return pid;
}
第二种方式:使用shell命令的pidof
char *shell(const char *command)
{
FILE *fp = NULL;
char line[256] = { };
char *result = (char *)malloc(2048);
memset(result, 0, sizeof(result));
fp = popen(command, "r");
while (fgets(line, sizeof(line), fp) != NULL)
{
strncat(result, line, strlen(line));
}
pclose(fp);
return result;
}
pid_t GetProcessID(char *process_name)
{
char cmd[256] = {0};
sprintf(cmd,"su -c pidof %s",process_name);
char *id = shell(cmd);
return strlen(id) == 0 ? -1 : atoi(id);
}
如何读内存:
char filename[256] = {0};
sprintf(filename,"/proc/%d/mem",pid);//pid为获取到的游戏pid
int fd = open(filename,O_RDWR | O_SYNC);//以可读写(O_RDWR)且同步(O_SYNC)的方式打开文件
int buf = 0;
pread(fd,&buf,sizeof(buf),内存地址);
printf("value:%d\n",buf);
学会了读取内存,那如何写入内存呢?
这时候需要用到另一个函数:pwrite
pwrite的参数和pread一样,我就不讲解了
char filename[256] = {0};
sprintf(filename,"/proc/%d/mem",pid);//pid为获取到的游戏pid
int fd = open(filename,O_RDWR | O_SYNC);//以可读写(O_RDWR)且同步(O_SYNC)的方式打开文件
int wbuf = 666;
pwrite(fd,&wbuf,sizeof(wbuf),内存地址);//向指定地址写入指定值(修改地址的值)
根据上两段代码,我们可以发现一个知识点:内存地址
这个内存地址如何获取?
在proc文件系统中,有一个内存段映射文件:/proc/${pid}/maps
打开这个文件,我们可以得到以下结构:
f1ed1000-f1ed9000 r--p 00000000 fc:02 3092 /system/lib/libsensor.so
f1ed9000-f1edf000 r-xp 00008000 fc:02 3092 /system/lib/libsensor.so
f1edf000-f1ee0000 rw-p 0000e000 fc:02 3092 /system/lib/libsensor.so
f1ee0000-f1ee2000 r--p 0000f000 fc:02 3092 /system/lib/libsensor.so
f1ee2000-f1ee3000 rw-p 00000000 00:00 0 [anon:.bss]
关于maps文件各列解释,可以参考
可以看出,第一列既为我们需要的游戏内存地址。
现在问题来了,像gg修改器,我们如何在内存里搜索一个值呢?
这时候又涉及一个知识点:值所在的内存范围
为了方便,我们可以使用GG修改器的内存范围
struct Memory
{
int A = 32;
int As = 524288;
int B = 131072;
int Xa = 16384;
int Xs = 32768;
int Ca = 4;
int Cb = 16;
int Cd = 8;
int Ch = 1;
int J = 65536;
int Jh = 2;
int O = -2080896;
int Ps = 262144;
int S = 64;
int V = 1048576;
} MemRange;
int getMemRange(char *str)
{
if (strlen(str) == 0)
return MemRange.A;
if (strstr(str, "/dev/ashmem/") != NULL)
return MemRange.As;
if (strstr(str, "/system/fonts/") != NULL)
return MemRange.B;
if (strstr(str, "/data/app/") != NULL)
return MemRange.Xa;
if (strstr(str, "/system/framework/") != NULL)
return MemRange.Xs;
if (strcmp(str, "[anon:libc_malloc]") == 0)
return MemRange.Ca;
if (strstr(str, ":bss") != NULL)
return MemRange.Cb;
if (strstr(str, "/data/data/") != NULL)
return MemRange.Cd;
if (strstr(str, "[anon:dalvik") != NULL)
return MemRange.J;
if (strcmp(str, "[stack]") == 0)
return MemRange.S;
if (strcmp(str, "/dev/kgsl-3d0") == 0)
return MemRange.V;
return MemRange.O;
}
如何搜索值:
通过遍历内存段映射地址,判断值是否为搜索的值
例如f1ed1000-f1ed9000,我们需要遍历f1ed1000到f1ed9000的所有地址的值来判断
直接上代码:
long start = 0xf1ed1000;
long end = 0xf1ed9000;
int value = 1;//我们要搜索的值
char filename[256] = {0};
sprintf(filename,"/proc/%d/mem",pid);
int fd = open(filename,O_RDWR | O_SYNC);
long size = end - start;
int count = 0;//计数
void *buf = calloc(1, size);
pread64(fd,buf,size,start);
int block_size = sizeof(int);
for(int i = 0;i<size;i+=block_size)
{
int search_value = *(int*)(buf + i);
if(search_value == value)
{
//搜索到数值
printf("index:%d address:%lx value:%d\n",i,start + i,search_value);
count++;
}
}
printf("搜索到:%d个数值\n",count);
现在搜索数值会了,修改数值不就迎刃而解了吗?