【代理DLL汉化研究】利用Hook拦截模型和贴图的方案

shane007

理论上这个方法能拦截任何使用Direct3D的游戏的模型和贴图数据。
0 N/ H* s8 F4 y/ v" E: x. f& K
6 Q) R7 }2 t( B7 \, A- }; p1 i原文
http://www.palunion.net/bbs/thread-155869-1-1.html

0 j  v( L9 F& U9 h大概思路是这样的：
7 I* F6 u: w/ D" u2 s- |0 }1.利用Drect3Dcreate8函数创建一个D3D接口，这个接口返回了一个指向direct3d8函数列表的指针。这个指针需要替换成自己编写的hookD3D接口指针，hookD3D接口指针同样利用Drect3Dcreate8函数创建。
5 G; p+ r$ x0 p
- ~. F7 L# D4 K* ]2.利用Direct3Ddevice8 函数创建一个设备接口，通常Direct3D游戏都使用DrawIndexedPrimitiv绘制3D模型到屏幕，同样要将此接口替换成自己编写的hook3Ddevice8设备接口，以便游戏调用DrawIndexedPrimitiv前可以保存模型数据到文件。

3.最简单的Hook是利用DLL实现，将自己编写好的d3d8.dll存放到游戏目录下，如果游戏原本是读取c:\windows\system32\d3d8.dll，现在变成读取当前目录下的d3d8.dll。
$ M8 ~6 ~$ U: `) D6 l
8 U7 B' P' f9 \( S2 ?3 D2 A9 h伪代码如下（这只是方案，没经过任何测试）：
a=“'c:\windows\system32\d3d8.dll'”
$ T6 S! S0 P6 O' d0 V8 g9 xb=“Direct3DCreate8”

+ ?  o. {! U$ O1 bD3DCreate8（SDKVersion）
- G; u" X, h1 R/ |: I{
5 s4 D/ q  V( |c=LoadLibrary（a）
1 u( B; N/ B4 @; Wd=GetProcAddress（c，b） //d=Direct3DCreate8
4 W! Q  @0 o* s" j0 Xe=d（SDKVersion） //e=Direct3DCreate8(SDKVersion),e保存了direct3d8函数列表的指针
0 S: Q! r2 q! Q2 s; g! _7 KhookD3D(e,IDirect3D8_CreateDevice,MyCreateDevice,CreateDevice)
}
//*address是direct3d8函数列表的指针，functionNum是要替换的函数在direct3d8函数列表中的序列号，NewFunction是自己编写的新函数，saveOldFunction是保存被替换的函数
hookD3D(*address,functionNum,NewFunction,saveOldFunction)
{
1 E9 }8 D& Q! K0 C3 vf=functionNum*4 //函数地址每个占4字节，所以乘以4
if （*f！=*NewFunction）//判断是否已经保存了saveOldFunction函数地址
{
g=saveOldFunction//保存saveOldFunction函数地址
VirtualQuery()查询页属性
, K- w- H6 U: D/ a# DVirtualProtect()将NewFunction地址替换成saveOldFunction
8 F' a6 N9 l5 P+ j}
}
- ]; ^: D2 c1 n- {, A% n, {7 d: F
; t* A7 e1 i) D6 q" d, OMyCreateDevice（obj,Adapter,DeviceType,hFocusWindow,BehaviorFlags,pPresentationParameters,ppReturnedDeviceInterface）
" ~2 d7 i" @, c2 P. Z, G1 b2 e{

CreateDevice(obj,Adapter,DeviceType,hFocusWindow,BehaviorFlags,pPresentationParameters,ppReturnedDeviceInterface)//调用原来的CreateDevice函数
0 m; f  _2 }* o) `- i+ L2 {h=**ppReturnedDeviceInterface //3d3设备指针接口
! w4 a$ H- b) P/ Khook3Ddevice8（obj,h，IDirect3DDevice8_DrawIndexedPrimitive，MyDrawIndexedPrimitive，DrawIndexedPrimitive）//hook3Ddevice8的编写可以参考上面的hookD3D
}

, L' K: v: V5 }4 j( bobj：索引缓冲区起始地址，Type：图元的类型，MinIndex：最下的索引数组元素值，NumVertices：顶点的数目，StartIndex：开始的索引数组元素值，PrimitiveCount：绘制的基本图元数量
) B. L9 r+ w; X8 G: f5 vMyDrawIndexedPrimitive （obj,Type,MinIndex,NumVertices,StartIndex,PrimitiveCount）
{
save（obj）//保存模型
% D5 N) }7 s) [DrawIndexedPrimitive（obj,Type,MinIndex,NumVertices,StartIndex,PrimitiveCount）//调用原来的DrawIndexedPrimitive函数
}
; @6 @  {9 N/ J+ l8 I
按照上面的理论，要获取一个静态模型只需
1.替换CreateDevice中的SetTexture和SetMaterial，获取贴图和材质数据，用d3dxsavetexturetofile函数保存贴图数据。
2.替换CreateDevice中的Createindexbuffer，获取顶点索引数据。
4 U& s6 Z4 z, N7 _! [4 q2 M; ~3.计算3角形的数量，（顶点索引总大小/每个顶点索引大小）/3即可求出。
3.替换CreateDevice中的Createivertexbuffer，获取顶点数据，并且可以获取顶点的组成格式FVF的大小。
4.求出顶点的数量，将顶点数据的总大小/每个FVF的大小，即可求出。
5.创建一个D3DXMesh来保存模型数据
: X( Q% t$ ]/ f* h5 g- M5 T. L8 j6.将贴图、材质、顶点索引，顶点数据写入d3dxmesh
6 W7 n9 t; J" E$ v' R4 a/ Q. j6 O$ l: I7.用d3dxsavemeshtox将d3dxmesh数据保存成x文件。

5 j" u7 p1 S. J5 k使用这种方法不仅能提取游戏的模型，还可以修改游戏里的贴图和模型显示。我暂时没时间实现上面的理论，精力旺盛的人不妨试一下。
: j' E) K9 l2 @2 z" n- s1 v3 v* P当然使用这种方法要躲过游戏中的Hook检测，不过要躲避游戏中的Hook检测也不难，已经有不少人讨论过，例如NP。
这种方法类似GA，但GA的设计是通用的，所以专用性有时不太好，如果能针对每个游戏的特点设计替换函数，那么提取出来的模型应该比GA的质量要好。
, Y+ W$ f4 M4 ~. M2 t* n7 @7 S7 z# J
( A0 P9 k. k$ ~: L& Z还有一个缺点是虽然使用这个办法提取模型不需要分析自定义的模型文件格式，但很明显要将整个游戏都玩一遍并且没有遗留任何关卡才能保证提取出游戏中全部的模型数据。