Steam 游戏《Crashlands（崩溃大陆）》修改器制作

日期：2020.02.15

博客期：155

星期六

【温馨提示】：

　　只是想要修改器的网友，可以直接点击此链接下载；

　　只是想拿CT文件的网友，可以直接点击此链接下载；

　　没有博客园账号的网友，可以选择百度网盘下载：

　　　　地址：https://pan.baidu.com/s/1OCZBFbhb9BiOuJ59Wwv40g

　　　　提取码：cras

　　夸克网盘下载：

　　　　地址：https://pan.quark.cn/s/6ca469cab614

　　　　提取码：cDh9

　　如果修改器失效了，你们可以在博客园本页直接评论，也可以给我发邮件告诉我，就是不要到百度云上去说了，百度云我好久不登录一次的！大家给我发邮件的话，记得要注明是哪个游戏，内容当然是越详细越好啦！邮箱地址：nightskysxs@163.com

　　博客防爬取部分：https://www.cnblogs.com/onepersonwholive/p/12312322.html

　　B 站测试视频 bv 号：BV1af4y1k7fX

　 当前最新研究的版本如下图：

　　当前最新的修改器图示：

前言

　　今天是寒假最后一天了，最后写个修改器作为结尾吧！今天本来想做《打造世界》的修改器的，奈何本人水平菜，搞不懂（有人会问了——博主，你不是有人做了修改器，自己就不做了吗？我的回答是：嗯！M佬确实已经在 WeMod 里写了，但是无限物品一项我怎么也没实现【无效】）！只好半路转移来做崩溃大陆了，当然今天因为时间原因还是只做一部分了，剩下的我在寒假以后补充回来！

修改内容

　　今天先做无限血量吧！使用的方法——人造地址！嗯，凡是用到这个方法的都需要 Home 键做初始化！

　　我已经找了 10 级以上的偏移地址了，居然没能找到可以用的！唉~

　　我知道，这个游戏最麻烦的地方在于收集资源，我也会在寒假过后尽快地把这部分补齐的。（水平有限，开学以后时间也有限）

血量绑定效果展示

后续更新内容-----------------------------------[ 2020-07-09, 更新内容 ]

　　我知道那个生命值的失效了，但奈何本人太菜了，真的找不到数据啊！我看那个里面根本没有映射关系，每次输出的信息都是随机分布的。且不建立映射，我也不知道它是怎么读到这个数据的，于是我转头去做物品数量修改了，这个物品数量修改说简单是理解起来简单——每一次搜索双浮点数（Double）找到的 2 个值都进行修改就完事了。但要说它难是物品的存储地址也没有映射，没办法只能一对一对地找，而且修改它的值的位置是一段共用代码，它可能修改的值有几千种可能，从这里面找到一种合适的来的方法貌似是行不通的。于是，我可以先暂时采用集 10 个物品，召唤神龙（归变为 49999 ）的方法。

　　对应找到地址的两段分别进行汇编：

后续更新内容---------------------------------[ 2020-12-07, 更新内容 ]

　　好了，之前一直都想不到有什么方法能够完成断点的处理。因为那一段共用代码是每一秒执行数百次以上的，所以我们找不到对应修改的跳转。不过还是有方法的，我仔细研究发现了一种方法：

　　1、首先，进入游戏找到每秒伤害，如下图：

　　2、选择好 Double (双浮点) 类型的搜索，（如上图，我应该搜索 79.0 ）点击搜索更换武器，再次搜索就可以得到地址：

　　3、得到了两个地址，将其中一个改为 9999999 ，之后绑定住数值，去攻击怪物，看能不能一击干掉怪物。亲测，数值较大的为有效的值，另外一个是用于展示的。我们需要监听是什么修改了此地址的值。之后点击“关闭”，让它修改。

　　4、然后进入到反汇编程序。

　　5、可以看到是 "Crashlands.exe"+1519 的地址段，我们在这里设置一下书签。然后选择工具 ---> 自动汇编，选择模板 ---> CT 表框架代码，再次选择模板 ---> 代码注入，之后改成如下代码，并分配到当前 CT表：

　　6、我们激活一下这部分代码，之后看 "Crashlands.exe"+1519 的地址段，记录下的跳转地址（亲测是 03330000），跳转到这里，然后记录上书签。

　　7、在刚刚跳转到的地方设置断点如下：

　　8、返回去继续换装备，看看断点的状况：

　　9、我们选择视图 ---> 堆栈跟踪，得到结果如下：

　　10、我们就找到了连续多个的跳转：

　　”Crashlands.exe“+1BDFF9B

　　”Crashlands.exe“+1E62B49

　　”Crashlands.exe“+1E6123D

　　那我们就直接跳转到 ”Crashlands.exe“+1BDFF9B 地址段，找到 call ”Crashlands.exe“+14F0,设置断点发现，它的 ecx 的值是从 282B3670 到 282B38A0 变化的。而其中 282B36B0 是我们的修改值——攻击力。所以这一部分代码执行应该是赋值给玩家的这一系列的属性。那么，我们向上一步一步做监听，去寻找 ecx 的赋值语句。其中下图的 nop 一句不会被执行，而是直接执行的 mov ecx,[eax+0C] 一句。所以我们寻找上一步就需要搜索代码段，选择搜索 ---> 查找汇编码。左边大框输入当前的执行到的地址（我的是 Crashlands.exe+1BDFF70，搜绝对地址 024CFF70 ,如下图），右边将起始地址的后四位改为 0，点击搜索。

　　11、搜索结果如下，找到 JNE 一句，跳转并设置书签：

　　12、之后，我们向前寻找 ecx 改变的原因，似乎是 mov ecx,[esi+00000114] 一句，所以现在的线索就变成了 esi 的值，不过我们可以取巧在前面一句设置断点，观察数值的变化（eax 和 edx）

　　13、得到的数值变化关系为：

　　一开始，eax 为 282B3670，edx 是 00000000，之后每一次运行，eax 都自增 10，edx 都自增 1，所以我们可以根据 edx 的值，判定我们索取的 eax 的值。

　　14、我们在 add esp,08 一句进行汇编，目的是找到 edx 对应的初始 eax 值。

　　15、然后，回到游戏刷新数据，让代码段执行，查看地址

　　16、选择添加地址，选择指针，最开始的地址输入 reset_data_of_base，第一偏移量设置为 40，就可以实现不查找内容直接找到攻击力的地址。

　　17、我们修改这个值到 9999999，然后绑定住，就可以实现一击必杀了。

　　PS:新的修改器已经更新，其他功能我再摸索争取做的和《九张羊皮纸》那样吧。

后续更新内容----------------------------------------[ 2020-12-29 至 2020-12-31, 更新内容 ]

　　先按照之前的内容把调用好的代码进行绑定，搞定可以直接完成 “一击必杀” 的效果，我之前看了 WeMod 上已经有了它的修改器。功能有两项——把资源型物品改成 99 以及血量绑定999，但是之后的强大怪物能不能不被秒杀，这我没有做测试。不过前期应该可以配合着使用。我给大家看看直接的截图：

　　以上是 29 号的研究，只不过是在更新攻击力的代码那里判断一下是不是攻击力的地址，如果是那就修改成 99999999 ，否则不用管。

　　下面是对应代码：

　　之后我进行了对物品修改的研究：

　　1、首先，搜索物品的数量（双浮点）

　　2、找到一组相同的值。这个时候，可以只修改其中一个值，查看是否可以建造。

　　3、找到其中真实值以后，选择 “是什么访问了这个地址”。（访问是要找修改之前，是什么地方读取了这个地址。修改是要找把值最终修改的地方）

　　4、回到游戏中，更改一下物品数量。

　　5、查找到是 "Crashlands.exe"+1E7B425 一处的代码访问了 [eax+10] 的值。

　　6、在这里设置断点会发现它会不断的停在这里，不会执行我们需要的代码。

　　7、所以我们采用老方法，在这里比较一下是不是那个值（才怪）。我们直接查看是代码停止的时候，刚好是哪些特殊的 eax 值，发现真正停到的值就只有两个它们的地址之间相差 208.

　　8、我们写代码进行比较，如果是这两个地址就跳过正常执行。继续设置断点。回去采集一项资源。

　　9、发现最终会出现一个 FFFFFFFF 的停止符，我们一并设置跳过，然后看看可不可以把剩下的数据改了。

　　10、结果是可以改了，但是一切换地图就又会崩溃。经过长期重试，我总结原因：打开地图的时候，会更新地图的数据，而它恰恰是不能修改的。

　　11、而且上述的效果也不是很持久，因为之前跳过的那两个地址也是变化的。这就很难办了，起初我决定设置两个全局变量，当读取到是那两个变量的时候再跳过，但是这个和后面地图的代码无法达到兼容的效果，所以最终还是要靠一系列数值上的排除。

　　12、一次比较是否相等，还不如比较谁大谁小。本着这样的原则，我们首先排除掉 ebx 、ecx 不等于 00000000 的项，找到 [eax+10] 的值，分别存取它的双浮点的值和 4 字节的值。

　　13、之后发现双浮点的值对应 4字节都是 0 ，我们可以直接排除 4字节状态下的 [eax+10] 不是 0 的项。

　　14、之后，发现地图对应的双浮点是 354.00、378.00、22.00。所以，我姑且让 [15,1000] 区间内不通过。其余的修改为 49999 就好了。

　　对应代码：

　　为了更好的修改物品数量，我们考虑把之前的数据项也改掉（记得之前找到两个“物品地址”，只有一个进行了监听）。我们对第二个进行修改。

　　然后，对另外的数据进行监听，然后修改好代码：

　　接下来是血量，我们也是直接选择改上限值和真实值，我们把数据改成 99999999 , 是的。

　　为了上述图像的美观，我又改了如下代码：

测试效果

　　绑定血量测试

　　物品数量绑定测试

　　以上测试仅针对下图版本，如果是此版本的用户，可以私自联系我，找到这一版本的修改器。（网络空间实在有限，我就仅在个人磁盘中保存）

后续更新内容----------------------------------------------[ 2021-01-18 至 2021-01-20, 更新内容 ]

　　我看到有人 AT 我，是因为游戏貌似更新了哈！哈？我努力钻研、并在2020年年底做完修改器，准备完结了，结果 2021 年 1 月就更新了。估计官方看我最近不写修改器，指定给我安排呢！

　　到 20 号这一天，我才做好 “无限物品” 和 “一击必杀” 两项，讲道理啊，真的不好做！我遇见的修改器里面最难做的了。

研究版本

研究过程：

　　1、一击必杀

　　思路还是找到修改攻击力的代码，将它改成 “把攻击力绑定在 99,999,999 ”。（先找到攻击力地址，查看是什么访问了这里，根据断点找到上一级返回的地址，就知道是调用的那个 CALL 了，最后在那里记录下地址，再把修改地址的地方改写）

　　(1)、搜索 Double 类型（双浮点），找到对应下图的地址（如果找到两个，可以把一个改成 99,999,999 并绑定看看是不是会一击必杀）【和之前一样】

　　(2)、右击选择 “是什么访问了这个地址”，回去按 “Q” 看看是什么地址访问的。如下图：

　　(3)、找到如下图的汇编，点击 “显示反汇编程序”，之后查找反汇编地址的窗口就可以了，保留我们点击以后的窗口。找到的地址是 "Crashlands.exe+A70C" (物理地址：0066A70C)，那么，我们可以设置一下地址书签方便我们找到这个地址。

　　(4)、分析 movsd [esi],xmm0 一句，这句汇编代码的意思是将 xmm0 的数据（Double类型）存到 esi 寄存器所显示的地址当中去。

　　(5)、我们如果在这里设置断点，发现程序会一直检测到断点，而想要的断点都不是我们需要的断点。造成这种结果的原因可能是这是一段较为基础的共用代码，在其他的线程中经常会被调用。（看到地址只是+A70C 就知道大概率是静态部分的代码）

　　(6)、采取的办法依旧是在对应上方 movsd [esi],xmm0 一句处做汇编处理：（绿色的是源码，橙色的是要写上去的代码）

　　　　originalcode:
　　　　　　cmp esi,1578AF70
　　　　　　jne exit
　　　　　　jmp exit

　　　　exit:
　　　　　　movsd [esi],xmm0
　　　　　　pop esi
　　　　　　jmp returnhere

　　(7)、把代码激活以后在 jmp exit 一句中设置断点，之后打开堆栈跟踪（视图里最上面那个），如下图：

　　(8)、找到如下图一样的跳转表。找到了下表，就可以把断点取消，然后恢复游戏状态。之后，取消上面的代码的激活状态。

　　(9)、我们还是和上次一样准备去寻找给 esi 赋值的对应 edx 为 0 的值。先跳转到表上第二行的 “Crashlands.exe+3A7B3D7”地址，并设置书签。

　　(10)、根据上一次修改攻击力的经验，我们这一次要找到前面类似于 Crashlands.exe+A??? 的地址。各位，我觉得下图的它就不错。对，也只能是它——Crashlands.exe+3A7B38B。

　　(11)、在上面一处设置断点，之后回去按 Q 进入页面，再按 Q 退出，得到如下的规律。（edx 没有再变，与其这样说，还不如说是只有 eax 在从 0 到 23【十进制：35】变化）

　　(12)、因为 eax 在调用 CALL 之前是我们观察的关键，我们需要在前面知道 eax 是 0 的时候，对应执行的后面的代码也对应着做修改。但是，在代码执行的过程中间，eax 的值就会被丢弃，我们到后面无法得知原本 eax 的值。

　　(13)、那怎么办呢？我们需要在调用 CALL 之前的代码中把 eax 的值保存下来，用于我们后面代码的判断。简而言之，就是注册新内存让整体代码都可以被调用。

　　 (14)、在 Crashlands.exe + 3A7B38B 处或者前面的“没有修改 eax 值的”的代码处做汇编，可以 AOB 也可以直接代码注入。

　　(15)、这样在激活这个代码以后，就可以提供一个临时数据 reset_data_of_tmp ，它帮我们记录 eax 值的状态。

　　(16)、在上图 call 的后面一句，设置断点。发现 eax 的值是规律的 +10 变化的。其中这些地址都是我们玩家的一些属性，只不过我们需要的只是攻击力那一项而已。

　　(17)、上述地址我们可以得到最基础的那个地址，然后下面的所有属性的地址都能够找到

　　(18)、我们在取消那个地方的断点，恢复游戏运行，然后在那里进行汇编。（绿色是源码，橙色是汇编码）

　　　　newmem:
　　　　　　push edx
　　　　　　mov edx,[reset_data_of_tmp]　　　　// 前面汇编代码已经保存了的 “eax” 的值
　　　　　　cmp edx,00000000　　　　　　　　 // 如果 CALL前面 eax 值是 0，我们需要将对应的 CALL 后面的 eax 值记录到 reset_data_of_base 中
　　　　　　pop edx
　　　　　　jne code
　　　　　　mov [reset_data_of_base],eax
　　　　　　jmp code

　　　　code:
　　　　　　mov [esi+0C],eax
　　　　　　push [ebp+08]
　　　　　　jmp return

　　(19)、总体的汇编如下，也可以使用 AOB 注入，直接注入也可以，我就用 AOB 了。

　　(20)、上面得到的 reset_data_of_base 是基础地址，[reset_data_of_base + 40 ] 才是攻击力！reset_data_of_base + 40 是攻击力的地址。

　　(21)、现在我们激活上面的代码，再回到一开始修改地址的地方—— Crashlands.exe+A70C ! 才怪！是代码为 call Crashlands.exe+A70C 的地方——Crashlands.exe+3A7B3D2！

　　(22)、在这里汇编，如果被修改的地址（esi）是攻击力的地址（ reset_data_of_base + 40 ），那么我们就改 esi 里的值变成 99,999,999 。

　　(23)、代码解析：（绿色是源码，橙色是汇编码）

　　　　originalcode:
　　　　　　call Crashlands.exe+A480
　　　　　　push edx
　　　　　　mov edx,[reset_data_of_base]　　//找到基础地址
　　　　　　add edx,40　　　　　　　　　　 // + 40 变成攻击力的地址
　　　　　　push ebx
　　　　　　mov ebx,F423F　　　　　　　　 // ebx = F423F 　　　　　　　　// 99,999,999
　　　　　　cvtsi2sd xmm0,ebx　　　　　　 // xmm0 = (double) ebx
　　　　　　movsd [edx],xmm0

　　　　exit:
　　　　　　pop edx
　　　　　　jmp returnhere

　　2、无限物品

　　(1)、先搜索到物品的两个地址，以木材为例。（搜索双浮点 Double）

　　(2)、我们把在工作台那里显示的数据称为 True 地址，把另外一个在 “建造模式” 下显示的数据称为 False 地址。

　　(3)、那么我们如何给它们两个做好标记呢？很简单，只修改一个地址，之后回去打开工作台看看木材数量有没有变化。如果变化了，那就是 True 地址。

　　(4)、对 True 地址的 “是什么操作码访问了该地址” 以后是这样的结果：（蓝色代码处记录书签A）—— Crashlands.exe+3FD9F55

　　(5)、对 False 地址的 “是什么操作码访问了该地址” 以后是这样的结果：（蓝色代码处记录书签B）—— Crashlands.exe+3FD7D04

　　(6)、现在我们有一点是十分确定的，这两部分代码都是共用代码！这就需要分别用我之前用的“特别值法”试出来堆栈排布。

　　(7)、我们先看看 True 地址的试探！

　　(8)、上面有几点：（需要长时间的一个一个比较观察）

　　　　a. [esi] 的值永远是 Double 类型的 224

　　　　b. edx 的值永远是 00000000

　　　　c. [eax+10]的值应该是 Double 类型的整数

　　(9)、所以，我们要把不满足上述关系的地址排除掉！满足的就修改到 49999！

　　(10)、！！！上！！！汇！！！编！！！

　　(11)、True 地址就可以被修改了，（起码在工作台那里）有过的资源就可以当无限使用。

　　(12)、False 地址就比较特殊。它这里调用的是一个多类型的共用代码——我无法根据找到的特殊寄存器值进行比较，筛选出合适的地址。（结果不完美）

　　(13)、所以，我们要回溯！我们继续找堆栈关系，如下图：

　　 (14)、每一次修改会被执行两次，分别对应 Crashlands.exe+9FF563 、Crashlands.exe+9FF74E,这两个都是 Crashlands.exe+3FBC100 的 CALL 返回后的地址。

　　(15)、所以我们要让它每一次修改的时候执行的必须是我们通过 Crashlands.exe+9FF563 、Crashlands.exe+9FF74E 地址调过去的才可以被修改。所以，我们在最后一个 CALL 的左右两次进行数据设置，先设为1，再设为 0 。当我们进行地址访问时，如果这个数是 1，我们做修改；否则不改。

　　(16)、如下方代码，给定 bit_tag 全局变量。让它去左右是否改为 49999。

　　(17)、确定了当 [bit_tag] 是 1 的时候修改，我们就把数据改为 49999！

　　(18)、代码激活的顺序，注意有需要到全局变量的，一定要让带有它的内存申请部分代码的代码项先激活。如下图，只有父项先激活，才可以激活它的子项。（只有先取消激活它的子项，才能取消激活它的父项）

　　3、绑定血量（99,999,999）

　　给大家看看效果：

　　嗯，更新已经是 2021-01-25 ，思路如下：

　　(1)、找到访问数据的地址或者修改数据的地址（亲测修改数据的地址可行，其余的代码量和访问量过大）。找到地址是 Crashlands.exe + A70C !

　　(2)、按照 “惯例”，我们使用特殊值法找到地址跳转的三级。

　　Crashlands.exe+52FE31　　有用，记录

　　Crashlands.exe+3A52D2E 有用，同上

　　Crashlands.exe+3F9A90C　真没用

　　(3)、记录好断点回归的三个地址以后，我们在一开始处设置断点，观察结果：

　　(4)、我们需要的是这里的 ecx 值，判断它是我们需要的结果我们就修改它。

　　(5)、如果只是判断它不是 1 就更改的话，结果就是我们的血量绑定到 99,999,999了，而怪物的血量同样的被绑定了。

　　(6)、这个时候，我们需要判断——什么时候这个地址修改的不是自己的血量值，而是怪物的。我们看到怪物血量所对应的堆栈跟踪是如下图这样的：

　　(7)、这样我们可以确定了—— 通过 Crashlands.exe+3A52D2E 之前的地址访问 Crashlands.exe+52FE31 之前的地址的是修改自己的血量，而通过 Crashlands.exe+23F1791 之前的地址访问 Crashlands.exe+52FE31 之前的地址的则不是。

　　(8)、那么我们就故技重施！在 Crashlands.exe+3A52D2E 前后声明全局变量，先赋值 1，再赋值 0 。判定为 1 时修改，否则不改。

　　(9)、之后就是确定修改的代码了，如下：

　　(10)、那么，我们留一个疑问？我们根据《Nine Parchments》的修改经验，用这段代码改成 “是我的血就无限着呆着，是怪物的血就清零”，是不是就可以做成另一类的 “一击必杀” 了呢？我在这里先给出我自己的看法（因为我没尝试，所以说看法）：嗯~这段代码好像不止用来修改人的血量，如果要尝试，也试着从 Crashlands.exe+23F1791 上故技重施！还有不排除外在己方 NPC 的问题，还有怪物血量访问的问题。

　　4、Buff 时间固定（我设置到 90 秒固定）

　　先看看效果：