网站 › 『软件调试区』 › 来聊聊LOL的换肤是如何实现

六哥。 发表于 2023-5-18 00:33

来聊聊LOL的换肤是如何实现

#1.游戏介绍


从上图我们可以知道，LOL是MOBA类型的游戏，MOBA类型的游戏分析学会，那么其他MOBA类型的游戏也就非常easy。

**进入正题：**

# 2.前戏（需要准备的数据）
**皮肤编号**
MOBA类型的游戏皮肤都是有自己的ID编号的，一般默认皮肤的ID为0。之后的皮肤按照顺序每次递增1。同理手游的王者荣耀也是moba类型游戏，皮肤ID也同样可以这样，默认的皮肤ID为0，往右边数每次递增1。

**检测皮肤的机制**
MOBA检测游戏皮肤，会在角色死亡重生之时检测皮肤ID与对应的角色名称，而皮肤ID与名称通过键值对形式存储。说人话就是：男的不能穿女的衣服，女的不能穿男的衣服，不是人的不能穿人的衣服，人不能穿不是人的衣服，每次复活都会重新校验你的皮肤，也是为了防止有人篡改皮肤数据，如下自己画的抽象图（不怎么玩LOL，用同类型王者荣耀做个栗子，皮肤是随便想着写的，并没有按照游戏中皮肤顺序写！）

# 3.上操作
**3.1：查找换肤call可以通过皮肤ID或者是名称进行访问下段调试，如果通过皮肤ID，需要借助换肤插件，原皮搜0，换第二个皮肤搜1，第三个搜2以此类推。或者原皮搜索0，换皮肤搜索变动的，没有换搜索未变动，在0与变动和未变动三者去筛选数据。这里楼主采用名称下端访问。如下图，右键名称地址，查找谁访问了该地址：**
```
00580F12 - 8A 01- mov al,      //这里我们直接看下汇编代码
01378857 - 8B 16- mov edx,
0137886D - 8A 06- mov al,
00DD9A4B - 80 3E 00 - cmp byte ptr ,00
00DD9A51 - 80 3B 00 - cmp byte ptr ,00
00DD9A80 - 8A 06- mov al,
01391191 - 8A 07- mov al,

```

我们对此处下断
```
00580F12 - 8A 01- mov al,
```
下段之后，ecx保存的是人物名称，循环每次递减，那么此处的代码以及第一个call就是作为校验名称的。我们继续往下走，发现第二个call的参数调用了人物基址与名称，那么我们直接F7跟进第二个call，一直往下走跳过上面的判断，上面都是一些无用的参数，一直走到下面的地址，edi保存的是人物基址，那么换肤call就是在该地址下了，我们F7跟进call（忘记截图了，我把地址粘贴出来）
```
League of Legends.exe+18CBD5 - 8D 8F 182B0000      - lea ecx,
```
进入call之后
```
League of Legends.exe+11CE5E - 8B 46 18            - mov eax, { eax=0，这里是默认的原皮ID }
League of Legends.exe+11CE61 - 8B CB               - mov ecx,ebx { 这里的ecx保存的就是人物基址，可以往上找ebx的来源 }
League of Legends.exe+11CE63 - 6A 01               - push 01 { 固定值 }
League of Legends.exe+11CE65 - 89 43 24            - mov ,eax { eax是皮肤的ID }
League of Legends.exe+11CE68 - E8 23B2FEFF         - call "League of Legends.exe"+108090 { 换肤call }
```

这里往上找ebx来源
```
League of Legends.exe+11CE46 - 8B D9               - mov ebx,ecx
```

ebx来源于ecx，到了程序头部，没有找到ecx来源，下段跳出。

发现ecx来源于：
```
League of Legends.exe+18CBD5 - 8D 8F 182B0000      - lea ecx,
```
其中edi保存的就是人物地址。那么我们完整的换肤call就找到了。

可以使用注入工具，注入代码执行。也可以HOOK，HOOK的好处就是人物死亡之后，皮肤不会恢复原皮。这里就不演示效果了，把写好的CT代码粘贴出来，你们自行研究。

```

//code from here to '' will be used to enable the cheat
alloc(newmem,2048)      
alloc(id,2048)          //申请内存
label(returnhere)
label(originalcode)
label(exit)
registersymbol(id)//人造指针

newmem: //this is allocated memory, you have read,write,execute access
//place your code here

originalcode:
push 01
mov eax,          //通过CE添加ID，修改皮肤
mov ,eax

exit:
jmp returnhere

"League of Legends.exe"+11CE63:
jmp newmem
returnhere:





//code from here till the end of the code will be used to disable the cheat
dealloc(newmem)
"League of Legends.exe"+11CE63:
push 01
mov ,eax
//Alt: db 6A 01 89 43 24
```

不过还有一个问题，使用换肤call后防御塔以及小兵都会改变皮肤，也就是说防御塔、小兵、人物共同使用一个皮肤call，小兵多次死亡调用会导致游戏崩溃情况，所以需要自行判断edi是否是人物基址，是就执行换肤，不是就跳过。
# 4.结束
大家还想聊什么，可以回复，视情况而定。还有关于CE不能调试LOL问题，自行下载编码，重新编译DBK64.sys驱动文件，改个名字即可。

brightming 发表于 2023-5-18 00:55

我知道用换肤软件会被封号 但开挂的一般不会封

jws6994 发表于 2023-5-22 08:49

2842752363 发表于 2023-5-18 08:07
来台服，台服不封，爽的雅痞

老乡，赶紧回来，马服发金条了{:301_997:}

2842752363 发表于 2023-5-18 08:07

qupide 发表于 2023-5-18 06:38
厉害，厉害！换皮肤大概率会被鹅厂封号

来台服，台服不封，爽的雅痞

abodadi 发表于 2023-5-18 00:47

人才，明天来鹅场上班

fldslkxs 发表于 2023-5-18 06:20

以前用挂件工具还有自娱自乐皮肤小工具，现在都当做外挂封了

qupide 发表于 2023-5-18 06:38

厉害，厉害！换皮肤大概率会被鹅厂封号

blindcat 发表于 2023-5-18 07:45

学习了，感谢大佬分享

蛋蛋的傻 发表于 2023-5-18 07:55

之前换肤是一直较为稳定的，去年下半年开始就封换肤了

daoye9988 发表于 2023-5-18 07:56

没有网络不能玩，要有单机版就好了

hello学习 发表于 2023-5-18 07:58

这个厉害了

jaxfeng 发表于 2023-5-18 08:04

以前的R3nzSkin，一个开源的，弄得很好。奈何实在看不懂啊。
https://github.com/R3nzTheCodeGOD/R3nzSkin

查看完整版本: 来聊聊LOL的换肤是如何实现