植物大战僵尸变态辅助开发系列教程（E语言实现和VC6实现）（下）

36、全屏秒杀

首先先把僵尸的血量给找到：

咱们之前找过了，这个血量是这只僵尸的临时基址+C8：

手动加入地址：

然后咱们看这块内存的变化，看最大到哪里：

然后咱们等僵尸死掉，看一下变化的位置：

复制记录一下这个最大变化范围的地址：

计算出来这个15C该怎么用呢？
刚才那个僵尸死了的话，记录的地址肯定就没有用了（15C还有用），我们再换一只僵尸，找它的地址：

有了15C这个偏移，我们就不用再去浏览当前僵尸临时基址的内存，再去观察变化最大范围的情况了。

回到游戏，种植一个豌豆去打僵尸，在僵尸没有死的时候，去CE中走索未变动的数值：

回到游戏，再打一下僵尸，再回到CE继续搜索未变动的数值（重复几次）：

僵尸死掉消失了，咱们再搜索变动的数值：

特别大的数值，还有这个数值6，都不是我们要的数据，因为记录僵尸死亡状态的要么是0、要么是1，

（上面两张图地址数值不一样，是因为前面不小心把僵尸临时基址删除了，所以又重新找另一只僵尸的临时基址，并重新找僵尸死亡之后变动的数值；步骤都是一样的）
我们一个一个将这些地址复制下来，计算出与基址的偏移：

这只僵尸找完了，咱们还得换另外一只僵尸，用来测试看这6个偏移到底哪个是僵尸死亡状态，再重复上面的两个步骤：

上图中的34、74、158这几个肯定就不是了。

咱们看一下当这个僵尸死亡了以后，这3个地址的数值有什么样的变化：

我们发现掉脑袋了，70这个偏移的数值变为1。

这几个都是，那怎么就试一下，找到僵尸的基址，加上偏移后写入1看看会有什么样的反应。

给28这个偏移写入1后我们发现僵尸直接消失了。

咱们再找一个帽子僵尸的：

应该就是350这个地址是这只帽子僵尸的临时基址：

我们把偏移70这个上图选中地址的数值改为1，发现没有效果，所以说偏移70肯定是不对的，把它删除。

咱们再改一下偏移EC看看，再找一只僵尸：

我们发现偏移EC的值改成1的话僵尸直接就没了，所以偏移28是僵尸死亡，偏移EC是僵尸消失。

咱们再继续找一只帽子僵尸：

因为是发射了两颗豌豆，所以是减40：

有点问题，咱们换最下面那只普通的僵尸看看：

咱们等把这只僵尸打死后看看产生的汇编指令：

咱们记录下僵尸死亡的指令地址，到OD中看一下该地址处的相关数据：

咱们找到僵尸死亡的关键指令之后，就该实现秒杀这个功能了。

37、秒杀实现

找到了僵尸死亡状态的指令地址后，上面选中的部分就都可以删除了。

咱们还是用僵尸移动，搜索僵尸的坐标那个方法，来实现秒杀功能。

从00400000那里往下找一片空白区域：

咱们先把上图选中的记录一下之后，在修改该位置指令为JMP 00400E2C：

要在跳转到的空白位置写入死亡状态：

上面写入的指令是从CE那里复制过来的，这里我们要根据实际情况来修改，所以要把edi修改为esi才对：

僵尸的基址是放在esi这个寄存器里面的，所以跳转到空白处后就不能用edi了：

多了一个nop咱们不能要，咱们给它恢复。

我们看到jnz跳转的话就有两种情况了，跳走了咱们就不用搭理它（因为就这一个功能），没跳走的话就跳回原位置（程序之前从哪里过来的，还得跳回到那里）：

回到游戏看效果，僵尸只要一冒头就会消失，但是这样直接消失的话是没有奖励的，因为死亡状态有不同的种类（1消失、2燃烧、3掉头），所以咱们应该写入数值3让僵尸掉头：

要学会不断地去尝试，这样就实现了全屏秒杀，只要僵尸一移动就掉头死掉了；当然为了观赏效果，可以在空白位置处写入条件判断指令，判断僵尸移动到某个坐标位置时再掉头，这样观赏效果好。

37、PVZ聚怪

植物大战僵尸它有一个功能，就是大蒜可以让当前靠近的僵尸改到别的地址（路线）上，所以咱们就通过这个方法来实现把所有僵尸只要一移动，咱们就给它们聚到一行上面，可以达到聚怪的功能。

先通过僵尸的血量找到这只僵尸的临时基址，在之前全屏秒杀那节课讲过一个最大偏移0x15C，加上这个临时基址应该就是僵尸那个数组结束的地址：

我们看到僵尸遇到大蒜后移动的话，只能是在方格里进行移动，所以这是一个整数型的这么一个数据结构；
有这么一种可能，这个范围如下图所示，坐标有可能从0开始到4结束（一共5格），也有可能从1开始到5结束：

所以我们搜索的范围肯定是要比10要小的一个数值：

咱们给它变动了一行，我们再搜索变动的数值：

一看就是第一个地址的数值2是对的，咱们试一下给它改成1：

它就跑到最上面一行来了（因为第二行有个大蒜，导致它又往上跑了一格），我看到找到的这个地址数值变为0了，所以它这个数据结构的类型就是：

如果给它改成4的话，它就跑到最下面一行了：

放一个大蒜，在僵尸碰到这个大蒜的时候产生一条汇编指令：

esi的值是3，从上往下数位置的当前状态，也就是当前的y坐标，edi是这只僵尸的临时基址，所以坐标的偏移就是1C；
咱们记录一下该指令的地址：

到OD中转到该关键指令地址：

如果你想把僵尸聚到中间这行的话，坐标就是2：

咱们还是用最老套的方法，就是僵尸移动就给它聚到一块：

咱们还是要找一片空白区域：

把之前僵尸死亡的代码修改为这里的聚怪代码；
到时候写程序的时候，用哪个功能就会往这里写相应的代码，取消功能的话还能恢复原样。

我们看一下效果：

这样的话僵尸都到这一行了；
只要僵尸一出现的话就会到中间这一行了。

那个坐标2也可以根据你要移动的位置进行相应修改（0、1、2、3、4都可以）。

x坐标涉及到浮点数，操作上比较麻烦，所以这里就先讲y轴的聚怪。

38、种植CALL的查找与调用

我们知道，种植植物的话，植物数量肯定会增加，所以思路就是找到当前植物的数量，再找到这个数量增加的关键指令，下个断点，看一下都调用了哪些函数，分析一下就可以了。

程序崩溃，重新来过：

用铲子铲除一个植物，然后搜数值3：

这样反复多次增加、铲除，得到植物数量的地址：

这个地址就是植物数量增加的关键地址，剥离掉CE，打开OD转到该地址，下个断点，回到游戏再种植一个冰豌豆：

断下来以后按工具栏上的K按钮，打开堆栈调用窗口，分析这些CALL：

第一层是个无参的CALL，内部没有返回值，肯定不是咱们种植的CALL，因为咱们如果要种植的话，肯定会有它们的一个坐标，它种在哪，植物的类型等等这些东西。

我们看到第2层CALL肯定是有参数的，进入它的内部：

这个0x10的话就是4个参数，这个CALL就可能是。

我们看到第3层CALL，进入该CALL内部，我们观察到函数的开头很熟悉，这是重叠建造的CALL：

之前我们找过这个CALL，这个不是，但是这个CALL其实咱们也是可以调用的（可以当做作业供你去测试分析）。

咱们来测试一下，看看第2层CALL的效果，试一下就知道它到底是什么功能了；
把断点都删除了，把相关汇编指令记录一下：

在第2层CALL位置下断点，然后咱们种植一个植物（冰豌豆）：

断下来了以后看右下角堆栈窗口里的数据：

把这个冰豌豆铲除，换个地方种植冰豌豆：

这个位置的坐标有可能是（y=3, x=1），也有可能是（y=4, x=2），种下去后OD断下：

我们看到call之前给eax传入了一个数值，所以我们在这个指令上下断点，看一下eax是多少：

回到游戏铲除那个位置的冰豌豆，在原位置上再种冰豌豆，断下：

这样这个CALL的原型就出来了，咱们测试一下，用OD中的代码注入器：

把所有植物取消掉，然后注入写好的种植CALL到游戏进程中：

没有注入成功，修改注入的代码，push的地址必须是16进制的：

我们看到植物种在这上图红色方框那里，种到草地外面去了，修改注入代码eax的值为1：

我们把第3个push的值改为5看看：

咱们把第2个参数改为10，我们发现是荷叶，所以这个参数是植物的种类：

但是第4个参数是一个地址值，这个地址值是会变化的，所以我们还得搜索这个地址的来源：

这个ebp其实是一个特殊的寄存器，我们得找这个ebp里面的值的来源。

咱们到CE中搜索这个地址值：

这样就找到了ebp的值0C2B6008的基址为006A9EC0，偏移为0x768：

找到这个变动的地址的基址后，就可以修改注入代码了：

这种取地址内容的方括号，里面的地址前面加不加0x前缀都可以。

39、OpenProcess错误

我们独立运行编写好的程序，会出现无法成功执行OpenProcess，无法获取进程的权限，而导致读写失败。
也就是说，不在VS编程环境的调试下运行这个程序，而是把生成的exe程序拷贝出来，直接独立运行它的时候就不能正常修改阳光值等功能，所以就需要在运行之前需要提权，获取到打开进程的权限。

我们需要在每个函数执行之后进行判断，看看到底是哪步出的问题：

这样的话就会有一个提示，没有取到这个窗口的句柄，通过这种方法来判断究竟是哪里出现的问题。

在xp系统下可能就会碰到这种情况，在VS调试的时候没问题，但是独立运行程序的时候，无法打开进程（OpenProcess执行失败），所以就需要提权：

把这个提权函数加入到项目代码中，在打开进程之前要先执行这个函数获取权限：

40、错误：constchar[19]”转换为“LPCWSTR”

如果你勾选了上图中的使用 Unicode库的话，会出现一个问题。

直接编译会出现一个错误：

怎么解决这个错误呢，就是在项目属性里修改字符集为使用多字节字符集，这样编译就可以正常的通过了。

///

附录：