本文配套源码
注意:以下是在WinXP SP2+VC 6.0下调试通过的,别的版本的Windows没有经过验证.
最近闲暇时间迷上了扫雷,有的时候经常遇到模棱两可的地方,很容易死到.于是就在想,要是我一开始 就知道哪个地方有雷就好了.遂打开OllyDBG,对扫雷程序(WinMine.exe),进行了一番跟踪.好在 WinMine.exe没有加壳,直接看它的IMPORT TABLE,在两个可疑的API上下断点,一个就是GDI.BitBlt,这个 是程序来画地图的,另一个就是User32.GetDlgItemInt,这个用来获得扫雷地图大小,和雷的个数的.
下完断点,运行.随便点一下地图,调到断点处. 分析如下
01002657 |. push 0CC0020 ;//BitBlt第九个参数,是SRCCOPY
0100265C |. mov esi,eax ;
0100265E |. mov eax,dword ptr ss:[esp+C] ;//eax存放点击的方块的横坐标
01002662 |. mov edx,ecx ;//ecx存放点击方块的纵坐标
01002664 |. push 0 ;//nYSrc=0,BitBlt第八个参数
01002666 |. shl edx,5 ; //纵坐标左移5位
01002669 |. movsx edx,byte ptr ds:[edx+eax+1005340] ; //获得地图上的值
01002671 |. push 0 ; //nXSrc = 0,BitBlt第七个参数
01002673 |. and edx,1F ;
01002676 |. push dword ptr ds:[edx*4+1005A20] ; //nXSrc = 0,BitBlt第六个参数
0100267D |. shl ecx,4 ;
01002680 |. push 10 ; //nHeight = 10 (16.),BitBlt第五个参数
01002682 |. push 10 ; //nWidth = 10 (16.),BitBlt第四个参数
01002684 |. add ecx,27 ;
01002687 |. shl eax,4 ;
0100268A |. push ecx ; //nYDest,BitBlt第三个参数
0100268B |. sub eax,4 ;
0100268E |. push eax ; //nXDest,BitBlt第二个参数
0100268F |. push esi ; //hDestDC,BitBlt第一个参数
01002690 |. call dword ptr ds:[<&GDI32.BitBlt>] ;
关键部分就在byte ptr ds:[edx+eax+1005340] ,由于Winmine的方块是从左上角坐标位(1,1)算起的, 所以这个地址的初始位置在0x1<<5+0x1+0x1005340=0x1005361处,显示内存内容,经过几次分析,发 现0f代表没雷,8f代表有雷,10代表边界,通过验证,结果得到证实.