都第五篇了，好长，这是个坑，没多少人看为什么要写这个，我就当是为了部落……还有什么没写？选中单位3星，随处建造（优雅），科技全开，转移单位所属（优雅），立即胜利（这个这个不怎么好意思发，我自己没找到）。还有地图其他玩家数据，当然还有我目前还没试过的出售建筑CALL，自动修理，枚举地图上全部单位（然后可以配合出售建筑，卖掉全部不属于自己的）还要写多少篇才能完结呢。。还还有心灵探测（从来不想实现，去造个心灵探测器会死），奶牛总统等特殊兵种（红警全能王谷子猫绿色珍藏版中的自定义函数好长好复杂，红色警戒2修改大师貌似是Timer不断修改内存数据，想找个更优雅的方式），需求不太高的建造队列上限（V1.006官方版是30，共和国之辉99），建造个数上限（抱歉，笔者没发现有个数上限），还有传说中我都没用过的可联网用的切换阵营，遭遇战参数修改。坑越挖越大

来吧，跟我继续填坑，这一篇就讲选中单位3星吧。

（十一）选中单位升3星——三步走

1.寻找单位的血量——第一步，把冰箱门打开

首先查找到一个单位的血量，然后根据谁修改了这个值，就能找到这个单位对象的起始地址。

做好准备工作，造一个盟军战车工厂A，一辆灰熊坦克。精确搜索4字节数值1000，让灰熊坦克去打一下，只打一下，然后搜索958——也就是灰熊坦克打盟军战车工厂的伤害是42。重复2～3次，就能得到3个左右的地址，依次尝试修改吧。然后查找谁修改了这个值，但千万别摧毁了此建筑。得到指令005D3E65 - mov [esi+6C],eax，但这不重要，ESI的值对下一步才重要，还有+6C就是单位HP的偏移。记下ESI的值，即战车工厂对象的起始地址，此处记作地址A=0C5D7648。

再建造一座盟军战车工厂B，重复以上步骤找到其起始地址B=0745FF70。

2.寻找选中单位指针——第二步，把大象放进冰箱

现在你的CT表中应该有4个地址：

然后游戏选中盟军战车工厂A，新搜索精确数值地址A（0C5D7648），然后选中盟军战车工厂B，搜索精确数值地址B（0745FF70）。应该只剩一个结果了，记作指针A=0D7B44D0，将其添加到CT表，不是的话，重复上述步骤。

选择灰熊坦克，指针A的值会变成另一个，记作地址C=07781CD8，然后+6C=07781D44，07781D44这个地址就是灰熊坦克HP的地址。将其锁定，然后建造另一辆坦克去攻击它，如果一直打不死，说明指针A正确，指向的就是当前选中单位。

然后搜索指针A的地址0D7B44D0，就能得到当前选中单位的基址[game.exe+640C64]，然后找到选中单位的数量基址game.exe+640C70。

3.完成修改3星——第三步，把冰箱门关上

单位等级偏移是+11C，修改成0x40000000就是3星。最简单的实现选中3星，用Timer完成：1.首先获取选中单位数目。2.从选中单位基址读取第一个选中单位的起始地址，基址+4就是第二个单位的起始地址，+8就是第三个选中单位……3.修改所有选中单位的等级。

这里有一个大概的游戏单位对象描述，这些东西都是通过分析和对比得出来的（CE有个功能叫分析数据/结构）：

class GameUnit ： public BaseA, public BaseB, public BaseC, public BaseD
{//从内存结构上来讲，起始地址的前4个DWORD，就是虚函数表指针...DWORD    dwTrigger;      //+34，关联标记（用过地图编辑器就知道了），链表int      nGroup;         //+1AC，所在编队0~9int       nHP;            //+6Cint       nX;             //+1A0，X坐标int       nY;             //+1A4DWORD    dwGrade;        //+11C，等级Player*    pOwner;         //+1B4，所属者....//sizeof=0x608，因为继承了4个类，上面的这些可能都是基类的内容//详请百度C++多继承内存布局
}

但是上面给出的实现选中3星有2个问题，一是没有判断是不是玩家的单位，偶然点了一下电脑的兵，也变成3星了……，解决方法：判断pOwner指针是不是指向玩家；二是建筑物也能变成3星……解决方案是，根据第一个DWORD，也就是第一个函数表指针，判断单位类型。我实在是没找到有什么变量指示了类型，只能用函数表指针了。（后注：最后一篇——第十篇，给出了一个极有可能是获取类型的成员函数）

（十二）优雅的转移单位所属——升3星引发的血案

上面看到有一个pOwner指向单位的所属者，如果把电脑的单位，修改成指向玩家的呢。经过测试，修改后确实可以控制或出售。但是带来一些问题：

1.如果你强行修改了电脑的基地，并卖掉了，接下来摧毁了所有电脑的剩余单位，发现并不能取得胜利。这是因为，游戏的数据记录乱了——电脑在某些情况下认为他还有一个基地，但是却又不能用这个基地造东西；想卖掉投降，确又发现没有建筑可卖。灵异事件发生，不知道如何处理，只好尴尬的不能让你赢了。

2.如果你把电脑的兵营占有，会发现不能造对方的兵种。这就说明还有一些操作没有完成，比如增加建造选项。

3.如果你把一个没人占用的油田更改给自己，却发现油田根本不工作。这就说明还有一系列操作用来激活油井。

最容易想到的解决方法就是，同时修改相关联的数据，然后调用相关函数完成操作，难度系数4星半。分析出完整的数据结构那是相当不容易，还要写复杂的脚本完成善后的操作。但是，换个角度想想，游戏中应该有相应的完整的函数。因为玩任务模式的时候，经常会触发事件，然后别人的建筑变成我方建筑了。

最初查找谁修改了所属，然后是用工程师去占领建筑，找到一个更改所属的CALL，相关位置：

然而使用上面的CALL还是存在油井不工作的问题（笔者后注：其实上面的CALL返回第二层，依然能找到类似下面的代码从而解决问题，只是当时过分迷恋地图编辑器了，不过也有额外收获）。

于是我去创建了一个自定义地图，当我建造一个修理厂的时候，把地图上的核弹发射井转移给我。查找谁修改了所属者，第一层返回，还是CALL上面的同一个函数地址：

继续返回第二层，来到这里：

分析这附近的代码（截图范围不够大），收获有：地图上所有单位数目（敌方、我方及中立的建筑、步兵和坦克等）（game.exe+640C30），地图上所有单位数组（game.exe+640C24），游戏单位的+34偏移是触发关联标记，一个链表。由此可以遍历地图上所有单位。

最后写出转移所属的脚本：

//转移单位所属，可胜利
pushad
push 0    //提示语音
mov eax,[00A35DB4]  //当前玩家数据基址
push eax  //转移给谁
mov eax,[00A40C64]  //当前选中第一个单位基址
mov ecx,[eax]  //ECX=单位地址
mov ebx,[ecx]
call [ebx+378] //更改所属函数
popad
ret

还可以得出一个问题，CALL [EBX+378]，EBX指向游戏单位的第一个函数表，0x378偏移说明是第222个函数……好大一个类，还能维护么，好替它担心。

To be continued…

转载请注明来源，http://www.cnblogs.com/viewll/p/4770378.html