AI逆向修改lua单机同人游戏《阿拉德英雄传》

a7285579

前言： 如果有大佬有空，研究一下这个游戏修改更好的方法，或者说揭秘一下原理，也算是满足童年愿望了。
链接: https://pan.baidu.com/s/1b8BdvN-XfKWL4nm46GVZdw?pwd=cc7h 提取码: cc7h //游戏下载地址 新系统需要用win7或者XP兼容运行，需要安装DX库

这款游戏最初版本快有10年了吧，当年还是小登的我，和小伙伴们发现了这个游戏，当时只会用CE改改地址用ODjmp一下，nop一下的程度。

然后接触这款游戏，最初版1.4 1.5是没有检测的， CE可以改一些东西，但是没有基址，原理就是lua虚拟机那一套。比如力量，速度啥的还不能改。改了就会修正。
最吸引人的就是这个视频工具测试视频，但是因为技术不行，就一直放到现在。 但是时代不一样了，有了AI趁着有空就去尝试了一下，居然搞定了一部分


正文：
1.首先这个游戏是EM游戏脚本制作大师做的，脚本都是lua支持中文代码。但是作者魔改了lua库 比如常用的  luaL_loadbuffer   lua_dostring  魔改了，函数1下断点，堆栈信息都不对。函数2压根就没有。 最后通过 luaL_loadstring  - lua_pcall这两个函数注入了我们的代码。我没接触过lua，通过AI解释，就是前者加载字符串代码，后者执行。


函数原型 int luaL_loadstring (lua_State *L, const char *s);   
功能
将Lua 代码字符串编译为一个函数，并把这个函数压入栈顶。
等价于：luaL_loadbuffer(L, s, strlen(s), s)。

参数

• lua_State *L：Lua 虚拟机状态（必须）
• const char *s：要加载的 Lua 代码字符串（如 "print(1+2)"）
  

int lua_pcall (    lua_State *L,    int nargs,    int nresults,    int errfunc);


功能
保护模式调用栈上的函数（安全调用，出错不会崩溃）。

参数

• lua_State *L：Lua 状态机
• int nargs：函数的参数个数（已压入栈）
• int nresults：期望的返回值个数（LUA_MULTRET 表示全部返回）
• int errfunc：错误处理函数在栈中的索引
  • 传 0 表示不使用自定义错误处理（最常用）
    
  
  

所以我们，需要找到这两个函数位置，还有 lua_State

函数位置我们在CE枚举DLL就可以定位到 下一步寻找L。也非常简单在函数返回处下断点。


进入游戏切换一下场景，就会断下，此时观察堆栈 这个结构确实符合，参数2我们查看文本直接可以看到部分代码。
参数1就是L ，单步执行，走出这个call，就会看到L的基地址。



lua_pcall重复上面的操作看堆栈， 结构也符合。直接照抄就行了。L和上面获取到的是一样的。

然后就会得到一个CE注入代码脚本：


[ENABLE]
alloc(code, 2048)
code:
pushad
push 0x00980000 //此处为申请的字符串地址，类型是代码页。为什么不直接写db写入因为试过了不支持中文代码。后面需要注入的代码都写在这里
push [Arad.exe+A051A]
call LScript.luaL_loadstring
push 0
push 1
push 0
push [Arad.exe+A051A]
call LScript.lua_pcall
popad
ret
createthread(code)
ret
[DISABLE]


之后就是注入lua代码，因为不会lua，后面全程DeepSeek发力。  不知道从哪里入手，DS告诉我可以遍历他的全局变量表。代码如下


local f = io.open("C:\\global_all.txt", "w")
if not f then
    f = io.open("D:\\global_all.txt", "w")
end
if not f then return end

for k, v in pairs(_G) do
    if type(v) == "table" or type(v) == "userdata" then
        f:write("--- " .. k .. " ---\n")
        local ok, t = pcall(function() return pairs(v) end)
        if ok then
            for kk, vv in pairs(v) do
                local ok2, val = pcall(function() return tostring(vv) end)
                if ok2 then
                    f:write(string.format("  %s = %s\n", tostring(kk), tostring(vv)))
                end
            end
        end
    end
end

f:close()


之后得到了一个全局变量表，选一个主要的内容 ，一个叫“Q_主角”的全局变量还有一些他的属性方法。

于是乎，我们注入一段代码， Q_主角.攻速=-9  默认攻速 注入后 血量经验等级蓝量都可以这么改。

新问题：
这么修改移动速度和力量等数值的时候，都会被修正回去。
DeepSeek最终的解决方案，遍历完整和主角相关的 函数，属性方法。


local obj = Q_主角
local f = io.open("C:\\Q_dump.txt", "w")
if not f then return end

local function writeLine(...)
    f:write(string.format(...) .. "\n")
end

writeLine("========== Q_主角 完整属性遍历 ==========")
writeLine("对象类型: %s", type(obj))

-- 1. 如果是 table，直接 pairs
if type(obj) == "table" then
    writeLine("\n[直接 table 遍历]")
    for k, v in pairs(obj) do
        writeLine("%s = %s (type: %s)", tostring(k), tostring(v), type(v))
    end
end

-- 2. 检查元表
local mt = getmetatable(obj)
if mt then
    writeLine("\n[元表存在]")
    writeLine("__index 类型: %s", type(mt.__index))

    if type(mt.__index) == "table" then
        writeLine("\n[元表 __index 表遍历]")
        for k, v in pairs(mt.__index) do
            writeLine("%s = %s (type: %s)", tostring(k), tostring(v), type(v))
        end
    elseif type(mt.__index) == "function" then
        writeLine("\n[__index 是函数，尝试提取上值]")
        local i = 1
        while true do
            local name, val = debug.getupvalue(mt.__index, i)
            if not name then break end
            writeLine("upvalue %d: %s = %s (type: %s)", i, name, tostring(val), type(val))
            -- 如果上值是 table，也直接展开
            if type(val) == "table" then
                writeLine("  --> 展开该上值表:")
                for kk, vv in pairs(val) do
                    writeLine("    %s = %s (type: %s)", tostring(kk), tostring(vv), type(vv))
                end
            end
            i = i + 1
        end
    end

    -- 3. 其他元方法也可能存有信息（如 __pairs 可能重定义遍历行为）
    if mt.__pairs then
        writeLine("\n[元方法 __pairs 存在，尝试调用]")
        local ok, iter, state, start = pcall(mt.__pairs, obj)
        if ok then
            for k, v in iter, state, start do
                writeLine("%s = %s (type: %s)", tostring(k), tostring(v), type(v))
            end
        end
    end
end

-- 4. 如果是 userdata，尝试 uservalue (Lua 5.2+)
if type(obj) == "userdata" then
    local ok, uv = pcall(debug.getuservalue, obj)
    if ok and type(uv) == "table" then
        writeLine("\n[uservalue 表遍历]")
        for k, v in pairs(uv) do
            writeLine("%s = %s (type: %s)", tostring(k), tostring(v), type(v))
        end
    end
end


f:close()


最终得到了只关于主角的一些属性和函数，主要看函数 DeepSeek说，可以寻找关于移动相关的函数，然后在函数赋值完移动速度以后我们在hook 赋值一遍。

默认移动速度，修改后 ，不能修改的问题解决。

后续扩展：
遍历关于怪物的一些数据比如修改血量，等等。还有调用死亡处理函数（这里没太弄明白）效果不太好。


总结一下，这次的修改，了解了一种没接触过的修改游戏方法。在AI写代码的加持下一路走的很顺。虽然还有好多问题没有解决但是也挺满足了。


最后我还试了一下dump了一下lua文件。 dump出来了，但是lua字节码，但是不是标准的lua库还没办法还原就有点难受...