血偏移4，蓝8，经验12，坐标x16，坐标y20。。依次类推。

游戏一般会维护一个“对象列表”，就是把“对象“在内存中的地址存放在特定的数据结构之中，这个数据结构可以是”数组“，”链表“，”树“之类的。

走路CALL

技能CALL

捡物CALL

选怪CALL

喊话CALL

死亡回程CALL

等

后卫大师教你过程注入
起首提一下，因为文章美满是我手写，所以打不了太多，请包含，因为我已经供给了源代码，所以我在这里具体讲一下理论，至于想看代码的下载代码就可以了。代码中关于注入的项目组做了具体的注释。MFC界面项目组的注释没有写，（毕竟成果太肤浅了。）
     好，言归正传。
     所谓DLL注入，既把一个DLL文件放到目标过程中。
     下面介绍2种注入体式格式：
     1.长途线程注入。
     2.哄骗hook注入。（可以过卡巴斯基）
因为本文篇幅限制，不写如何编写DLL。
一.起首讲一下长途线程注入的办法：
1.假设我们已经写好了一个DLL文件。
2.设置本过程权限为debug权限，既调试权限，可以打开其他过程。代码如下：

BOOL SetToken（void）
{
 HANDLE hToken;
 TOKEN_PRIVILEGES Privileges;
 LUID luid;
 OpenProcessToken（GetCurrentProcess（），TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY | TOKEN_READ，&hToken）;
 Privileges.PrivilegeCount=1;
 LookupPrivilegeValue（NULL，SE_DEBUG_NAME，&luid）;
 Privileges.Privileges[0].Luid=luid;
 Privileges.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
 if（!AdjustTokenPrivileges（hToken，FALSE，&Privileges，NULL，NULL，NULL）!=0）
  return FALSE;
 CloseHandle（hToken）;
 return （GetLastError（） == ERROR_SUCCESS）;
}
3.获得目标过程的句柄。
OpenProcess（权限类型，是否可被持续，过程ID）功能:返回目标过程句柄.
4.在长途过程平分派内存，用来存储，我们要注入的dll的路径
VirtualAllocEx（hProcess， NULL， cb， MEM_COMMIT， PAGE_READWRITE）;

//VirtualAllocEx（）函数功能：为制订的过程分派虚拟地址
//参1：要分派的过程句柄
//参2：要分派的虚拟地址的地位，0默示，主动分派地位
//参3：分派的大小
//参4：MEM_COMMIT默示，分派物理内存或者页面内存，并且初始化内存为0
//参5：存储选项：PAGE_READWRITE默示可以在页面内存中 “读写”
//返回值：若是分派内存成功，则返回分派内存的地址，若是分派失败则返回NULL，调用GetLastError（）查看错误原因

5.在长途过程中刚才分派的内存处，写入目标DLL路径：
WriteProcessMemory（hProcess， pszLibFileRemote，PVOID） pszLibFile， cb， NULL）
//WriteProcessMemory（）函数功能：在制订过程中写入内存
//参1：写入过程的句柄
//参2：写入内存的肇端地址，必须是已经创建的地址，比如上方用VirtualAllocEx（）在过程中创建的内存地址
//参3：写入内存中的数据内容的缓存
//参4：写入数据大小
//参5：一个选项，0默示忽视
//返回值： 非0值默示成功， 返回0则默示写入错误。调用GetLastError（）查看错误原因

6.获取LoadLibrary（）函数地址，因为要用他来动态加载DLL，该函数在kernel32.dll文件中
PROC AdrMyDllDir=（PROC）::GetProcAddress（::GetModuleHandle（TEXT（"kernel32.dll"）），"LoadLibraryW"）;//W代表UNICODE版本，说实话，A代表多字节字符集，本人喜好UNICODE版本

GetProcAddress（）
FARPROC GetProcAddress（HMODULE hModule，LPCWSTR lpProcName）; 
//功能：返回指定的DLL输出函数的函数地址
//参数1：DLL模块句柄
//参数2：DLL输出函数的函数名
这个函数的返回值，就是LoadLibraryW的地址了

7.创建长途线程，既在目标过程中创建一个线程，这里的线程跟通俗的线程不合，通俗线程有线程处理惩罚函数ProcThread（）
CreateRemoteThread（）
HANDLE CreateRemoteThread（
  HANDLE hProcess，
  LPSECURITY_ATTRIBUTES lpThreadAttributes，
  SIZE_T dwStackSize，
  LPTHREAD_START_ROUTINE lpStartAddress，
  LPVOID lpParameter，
  DWORD dwCreationFlags，
  LPDWORD lpThreadId
）;
//函数功能：在制订过程中的虚拟地址中创建一个线程
//参数1：过程句柄，线程被创建在这个过程中
//参数2：安然等级，0默示默认安然等级
//参数3：创建线程的大小，0默示体系主动分派线程实际须要的大小
//参数4：线程肇端地址，应用LPTHREAD_START_ROUTINE 定义的线程，并且线程是在长途过程中已经存在。
//参数5: 给线程函数传递的参数
//参数6：创建标记，若是参数是0，则线程创建后立即运行
//参数7：线程ID，若是 ID给0 ，则不返回创建线程的ID

::CreateRemoteThread（hProcess，0，0，（LPTHREAD_START_ROUTINE）AdrMyDllDir，bufRemote，0，0）；
这里的AdrMyDllDir存放LoadLibraryW ，也就是说把LoadLibraryW当做线程处理惩罚函数，传入的参数bufRemote存放的是目标DLL文件的地址。

二。下面讲解一下如何用hook既钩子注入DLL文件。
起首给不懂钩子的人简单介绍一下道理：所谓hook，既钩子。hook会在应用法度接到消息之前，阻碍应用法度的信息，比如鼠标键盘钩子会阻碍一个应用法度的鼠标键盘信息。要做盗号木马？用WH_KEYBOARD类型的hook
1.我们要跨过程应用钩子，要把hook函数写在DLL文件中，这是微软明白规定的。也有其他办法，这里不久不多论述
2.在DLL文件中 设置钩子.
这里须要调用线程ID，threadId，我们会鄙人面调用DLL的调用端中写入
hhookGetMsg=::SetWindowsHookEx（WH_GETMESSAGE，GetMessageHookProc，::GetModuleHandle（TEXT（"dll.dll"）），threadId）;
//参数1：钩子类型
//参数2：钩子处理惩罚函数
//参数3：钩子地点的模块
//参数4：钩子要阻碍的线程ID，若是要设置全局钩子，这里给0。
把这个SetWindowsHookEx（）函数写在一个导出函数中，容许调用dll文件的法度调用
_declspec（dllexport） void SetHook（DWORD threadId）
{
 hhookGetMsg=::SetWindowsHookEx（WH_GETMESSAGE，GetMessageHookProc，::GetModuleHandle（TEXT（"dll.dll"）），threadId）;
}
SetHook（）就是本dll的导出函数
3.在钩子处理惩罚函数中写入功能，当钩子截取到WM_NULL消息的时辰，注入DLL文件。因为WM_NULL消息，是个没用的消息，应用法度一般不会收到这个消息，除非我们本身发送一个这个消息，所以我们在注入DLL的时辰，只要给要注入的应用法度发一个WM_NULL消息，当钩子截取到WM_NULL的时辰就注入钩子，就可以了。
LRESULT CALLBACK GetMessageHookProc（int nCode，WPARAM wParam，LPARAM lParam）
{
MSG* pMsg=（MSG*）lParam;
if（WM_NULL==pMsg->message）
 ::LoadLibraryW（TEXT（"D://MyDLL.dll"））；
}
好了，编译DLL项目，产生DLL文件。

4.编写调用端，调用钩子
起首获取窗口句柄
HWND FindWindow（          LPCTSTR lpClassName，
    LPCTSTR lpWindowName
）;
返回窗体句柄。hWnd.
hWnd=FindWindow（0，要注入dll的窗体的名称（例如：千千静听））
哄骗hWnd，查找窗体线程ID
threadId=GetWindowThreadProcessId（hWnd，0）；
好了，我们有了线程ID了，可以调用钩子了。
SetHook（threadId）;
这时钩子已经加载到目标线程中了。
向目标窗体发送WM_NULL消息
SendMessage（hWnd，WM_NULL，0，0）;
钩子会在目标窗体受到消息前受到WM_NULL消息。因为钩子处理惩罚函数中做了断定，当受到WM_NULL消息时，加载DLL文件。所以DLL文件就注入到目标线程中了。

你可以把你的DLL文件中写入很多功能，并且DLL已经被目标法度加载了，也就是说，你的DLL法度已经打入到目标法度内部了，所以如今你可以随心所欲了

void InjectDLL(DWORD PID,char *Path) 

{
  
  DWORD dwSize;
  
  HANDLE hProcess=OpenProcess(PROCESS_ALL_ACCESS,false,PID);
                           
  dwSize=strlen(Path)+1;

  LPVOID lpParamAddress=VirtualAllocEx(hProcess,0,dwSize,PARITY_SPACE,PAGE_EXECUTE_READWRITE);

  WriteProcessMemory(hProcess,lpParamAddress,(PVOID)Path,dwSize,NULL);

  HMODULE hModule=GetModuleHandleA("kernel32.dll");

  LPTHREAD_START_ROUTINE lpStartAddress=(LPTHREAD_START_ROUTINE)GetProcAddress(hModule,"LoadLibraryA");

  HANDLE hThread=CreateRemoteThread(hProcess,NULL,0,lpStartAddress,lpParamAddress,0,NULL);

  WaitForSingleObject(hThread,1000);

  CloseHandle(hThread);

}

另一种是直接注入代码，代码如下：
//函数名：InjectCode

//功能：封装远程注入的函数

//参数：进程ID

//参数：被注入函数指针<函数名>

//参数：参数

//参数：参数长度

void InjectCode(DWORD dwProcId,LPVOID mFunc, LPVOID Param, DWORD ParamSize) 

{ 

  HANDLE hProcess;//远程句柄

  LPVOID mFuncAddr;//申请函数内存地址   

  LPVOID ParamAddr;//申请参数内存地址

  HANDLE hThread;   //线程句柄

  DWORD NumberOfByte; //辅助返回值

  CString str;   

  //打开被注入的进程句柄 

  hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwProcId);

  //申请内存

  mFuncAddr = VirtualAllocEx(hProcess,NULL,128,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

  ParamAddr = VirtualAllocEx(hProcess,NULL,ParamSize,MEM_COMMIT,PAGE_EXECUTE_READWRITE);

  //写内存

  WriteProcessMemory(hProcess,mFuncAddr,mFunc,128, &NumberOfByte);   

  WriteProcessMemory(hProcess,ParamAddr,Param,ParamSize, &NumberOfByte);

  //创建远程线程

  hThread = CreateRemoteThread(hProcess,NULL,0,(LPTHREAD_START_ROUTINE)mFuncAddr,

    ParamAddr,0,&NumberOfByte);

  WaitForSingleObject(hThread, INFINITE); //等待线程结束

  //释放申请有内存

  VirtualFreeEx(hProcess,mFuncAddr,128,MEM_RELEASE);

  VirtualFreeEx(hProcess,ParamAddr,ParamSize,MEM_RELEASE);   

  //释放远程句柄

  CloseHandle(hThread); 

  CloseHandle(hProcess); 

} 

     1.修改游戏代码(改变游戏的流程，使跳转的外挂自己的代码中)

     2.修改游戏IAT（IAT Hook的方式挂钩游戏的Send()和Recv()函数，实现修改数据处理      的 目的）

     3.安装消息钩子（当有特定消息发生时，外挂函数来处理）

   1.通过调用CreateProcessW()、OpenProcess()、ReadProcessMemory()、WriteProcessMemory()等API函数使游戏作为外挂的子进程被打开以实现辅助和游戏之间的通信，从而对游戏数据进行恶意修改，以达到其相应的辅助功能。

     2.FindWindow()、GetWindowThreadProcessId()、OpenProcess()、ReadProcessMemory()、WriteProcessMemory()

      有一个类似Process的客户端，成功打开游戏后退出，不写单独的dll，或者将写好的dll文件拷贝到游戏进程--通过WriteProcessMemory--并CreateRemoteThread启动它的执行。