冒险解谜游戏中文网 ChinaAVG

标题: CSI:NY包文件格式初步分析 [打印本页]
作者: 深绿    时间: 2010-2-27 17:55
标题: CSI:NY包文件格式初步分析
要制作打包器,先得分析包文件格式,对CSI:NY的包文件格式初步分析如下:, |) N$ f) v; g" C/ }$ e

9 k' [( @- P8 i, X( Q4 y包文件,可以分成三部分:+ b3 n$ A$ q7 _: v2 `3 M6 J3 y: \0 G
1、文件头,0x00~0x0B,12个字节3 [  U. }/ e) L/ W, n
0x00~0x08  头部标识,8字节,为475246050146524700719CAA ,“GRF  FRG”
: O$ R" Q* T. P1 J0 }0 k0x08~0x0B 文件名表偏移量 4字节
! R4 j- @0 q+ _% B- p
" u9 ?9 Q. u( Z3 I$ x9 L2、数据块
; `+ m2 ?/ R+ I- AN个zlib压缩的数据块,依次存放" t2 ]. u+ P% Y1 `& b$ L3 n! [; H
( c. d- M5 T% f- G! |  v
3、zlib压缩过的文件名表
; T  B. j4 N9 h+ l' i6 u. q* A% `5 j$ M2 Q0 G
——————————————————
' a2 y# V6 }- P8 J& M对于解压后的文件名表,可以分成两部分:' a9 j; }1 p& l
1、文件头,0x00~0x0A  10个字节
5 w0 Y  ~6 B, T: L1 g6 e+ |- f0x01~0x06 头部标识,6字节,为05000174734C,“   tsL”- F$ X* r7 n5 [
0x06~0x0A 文件数量,4字节
2 l6 W% F! l; \5 X
' ^- E5 D$ t  S) S2、文件数据/ [3 r$ z/ s  \' [- C
每一个文件的数据又如下9 }- O) r( S2 l9 S+ O2 r, R' Y
0x01~0x05 未知,估计可能是序号之类 5字节
' b$ S; k2 X% A% ?0x06~0x0E 标识符,8字节,为0145495201727453,“ EIR rts”
! q! l  m- J% H: ~6 L& Q" u' T0x0F~0x13 文件名长度N 4字节" p1 }& @5 \- d2 Q- C
N字节 文件名3 R- N# k/ j; K2 \
4字节 偏移量,即该文件压缩后的zlib块在包文件中的位置, Y, t$ v% I0 r" Q$ N( c
4字节 文件大小(压缩前,即原始大小)  A9 K+ R' R) {4 }' n! e
1字节,结束符 0x01! }) h( z8 i8 m2 Q6 `0 j

4 m2 x' c' Y0 c) n. f3 G- Q3 z——————————————————' X) L5 H1 f3 M' Y/ Z' S5 R
那么,如果替换包文件中的文件,已知需要修改的地方有:
! R7 a8 R' V% }# c8 Z% R# z包文件头的文件名表偏移量;文件名表中偏移量、文件大小。
4 b+ h4 M, q; ~& R( i% y+ i( c: G. a% ^; i: K
基于以上分析,我手工制作了一个新的包文件,用一个中文字体ttf文件替换掉包里的一个ttf文件,同时修改以上部分。修改后的包文件用老外的解包工具解包后就可以得到原来的资源文件和那一个替换后的ttf,所以上述几个部分的修改应该没有问题。
  P5 d" i$ F( D7 r9 a3 Q: s
' |& F) S, K( V! o但是将这个包文件替换到游戏里,游戏无法运行。所以猜测包文件中还有地方需要修改,根据以上分析,最有可能就是文件名表每一个文件的头5个未知字节。
5 i& v! D. P4 y) i! y) N- l; i" ~- o, o9 w4 v8 G6 R
按顺序提取一些文件的这5个字节,同时计算其数值差,如下:/ O/ h0 [" F2 b$ O# X
003AD140.temp —390— 003AD4D0.png —20—% E5 m! U$ D5 O9 X! v8 b: P+ h
003AD4F0.png —50— 003AD540.emi —50—
6 K' f, p: m( e* T- b 003AD590.png —80— 003AD610.png —68—7 X7 O+ q/ W: Q; j
003AD678.ttf —68— 003AD6E0.ttf —68—
, \1 t  r6 R( [) C2 ]' A$ d/ Z003AD748.png —50— 003AD798.anim! w" q/ h, s. S9 L5 x
+ J" h" \% I5 P9 I$ ?9 s
00547718.png —68— 00547780.jpg —68—
  p  C0 ~0 ]# U; B 005477E8.png —68— 00547850.jpg —68—
: K' |3 x4 \, q' {: i 005478B8.png —80— 00547938.theme0 ~- ?4 j2 S9 R

; I' u( }8 n6 `可以观察到,这些数值之差几乎都是几个恒定的值,0x80、0x68等. J8 J1 H: }! c% g! g8 R
本来猜测是根据文件格式不同而产生不同值,但注上格式后查看似乎和文件格式没什么关系6 k+ J* [, q% S$ `
——————————————————————————————————————————* d2 l9 U' s$ ~" c: S4 k
目前的分析就到这儿,先写出来,各位高手如有相关心得,万望不吝赐教4 f/ `6 k9 G4 |8 D* ]! l. g

) z8 u5 b" f: O2 A; I# K另外写了个根据修改后的文件改写文件名表中各数据的小程序,不过手工都还没成功,暂时先搁着吧....
' N9 n& l+ W, s% t; O; N9 A; K5 h' v  g% j8 }
——————————————————————————————————————————
6 c/ i- d4 J9 _+ U3 U& ^% F- `10.02.28更新:
& U. X6 W' k0 W# s% I( W! k( q今天用filemon(现在叫ProcessMonitor了)监视了一下,发现是自己粗心,在修改文件名表的时候漏了一个,改完后可以显示中文。那么上述那5个字节就可以暂时不考虑了。
4 i7 g. j4 D- A7 I. g1 A汉化抓图见帖:https://www.chinaavg.com/read.php?tid=20946
作者: shane007    时间: 2010-2-27 20:26
收到,我觉得你这篇分析写得非常地好,结构十分清晰,可以说是一个可以给以后来的新人学习的样板。
# j5 A8 Y: k4 x/ C5 }$ B! \" _5 G$ U0 S7 ^9 }# I
回到主题,我也觉得那5个字节十分可疑。
' b. Y2 ?" j8 r3 q# R+ P5 ^估计老外的那个解包器没有用到那5个字节,所以解包完全没问题。
' |9 r5 O( I2 r! t+ W" `" Y但是游戏可能用了,所以导致游戏无法运行。
# Y, g- ?' T, r9 |8 c如果是这样的话,请你做一个试验,用原版的包文件,挑选文件名表里的一个文件,在那5个字节里,每次修改1个字节,把值增大或减小一点点。测试游戏是否能运行,换不同的位置测试多次。
( T% s; k1 p& f& z8 Q如果每次都出错的话说明游戏的确是要用到那5个字节。
9 ^6 c' Y3 z  M
9 [" I3 C) c9 t7 ]& v对了,也许还可以用filemon看看,看看游戏出错的时候,游戏最后读取的偏移量是哪里。, j8 p, Q5 f& U( ]
2 T$ i" b3 y5 B8 K/ D* g
你的差值测试法我没看明白。
% N7 D' b8 I* L$ u+ K: X+ i, O是前后2个文件的这5个字节的数字差还是什么?
# \$ m6 \( {. W/ d% Y$ V$ U比如下面的390和20各代表什么意思?  U6 i( _" J' k( R
003AD140.temp —390— 003AD4D0.png —20—
作者: shane007    时间: 2010-2-27 20:28
TO 枫叶
4 y6 L* v  B" O
5 r& f9 B- P/ V8 |" P) F我觉得写得这么好这么详细的汉化分析文章以后也应该要加威望。
作者: 深绿    时间: 2010-2-28 14:21
2010.02.28更新
作者: shane007    时间: 2010-2-28 14:49
恭喜了!
作者: shane007    时间: 2010-5-5 12:16
顶上来
作者: shane007    时间: 2010-9-28 07:52
再顶上来
作者: shane007    时间: 2010-11-29 22:30
再顶上来 1
作者: shane007    时间: 2011-4-6 08:45
再顶上来 2



欢迎光临 冒险解谜游戏中文网 ChinaAVG (https://chinaavg.com/) Powered by Discuz! X3.2