这篇是网络上找到的QuickBMS实战例子。2 ?& r" [8 a' E! A9 ]; @7 G6 f
7 L/ O4 N( a6 h
& K8 a9 q5 X$ Y( ^3 S这几天的发现太惊人了。。。XeNTax才是mghack的最终目标。。一个坚持了20年的组织。
' r5 m! D( ?9 g K0 ~不多说了。。以AR为例子,讲解一下这个强大的通用解包器吧。。
Y/ L& ^+ S5 D5 V- y, Q7 U3 h. ~; i" r# Y, d
准备工具: $ E$ B, F+ \3 G- f3 R$ |6 K
1.UE(或者其他hex编辑器) $ _( Z* ~3 p, f: j2 t+ k M
2.QuickBms(这才是主角)
2 ]( f! w. [8 A( `7 D+ D& _3.AstroRanger这个游戏的hsp资源文件(我们这里以附件中的BoneObject.hsp为例)
4 j; W# s. P" c1 q1 F+ \
( E, Q' t3 w( z) T教程开始:
* ?" r! W% h4 w/ U3 i" G4 W1.首先在c:盘创建一个TEST目录,把QuickBMS和BoneObject.hsp放进游戏目录,准备研究解包。
1 {9 m6 u! \: }8 D2 R2.创建一个新文本文档,命名为Astro_hspfile.bms,保存到同样目录下。 ( h4 U. y% D# @4 e1 g, U$ e" w- P
! H0 u% h! ?- ~1 u% ^7 O+ ~# {, M/ C) B& P. y
3.用十六进制编辑器打开BoneObject.hsp,我们将对这个文件进行分析。 & W; j2 U! s. k" d1 O: e" e j" u! Q
, q( N: t0 k3 r0 j4 h( P
& U, I" x* @9 V+ R我们在编辑器的右边看到一些类似文件名的文本。这说明AR对文件名并没有进行加密。 " t, X0 n0 @- s& k9 s- G$ u0 Q" z' U
好了,别急着高兴,冷静分析出这个文件的打包方式才是我们的主题。 0 N: O$ b: g. U& N& u: H
首先看到前4个字节20 50 53 48 或者 “ PSH”,倒转过来就是HSP加一个空格, . n0 C. s- y5 K8 B1 R
一般windows的文件都会在文件前N个字节做上“ID记号”,这个“ PSH”就是hsp文件的"ID记号". * G! _7 H3 T. c* m
用记事本打开Astro_hspfile.bms,我们写上脚本的第一行代码^_^.
2 V* ^* v }9 b) _5 _; {3 f; F5 j& {+ M0 c
引用
) J% }6 x9 u3 qidstring " PSH"
* x$ Y9 S4 \2 L+ g" d! Y3 S8 G* Z6 x
这行代码的意思是“如果访问的文件的最开始不是' PSH'的话,那么就不会尝试去访问它了”
4 J6 C5 }1 k- \2 k( L+ i& p2 _/ [& U) e( Q3 o7 c
好了,接下来我们找一些自己能看懂的东西,例如那些像是文件名的地方。 : J# x: Z. H" n) N( s9 B& W6 S; w1 ?
类似Datas\Texture\BoneObject\npc_nagoya_octopus01_body.dds这样的文件名一共有4个。
( e# I2 `% c, x: F7 J- x: L
( t, |# U& ]7 W7 h# i: }喂,别老盯着那些文件名看了。就算一直看着他们,他们也不会自己蹦出来的。 # j. C* b* H4 d* ^ G
我们回到文件头那里继续,之后的4个字节01 00 00 00,经过倒转字节后就是00 00 00 01,也就是1。
+ K6 g |$ q, |. @到这里我们好像没有什么和1有关的信息,暂时把它定义为“未知字节(unknow)”吧。 9 C: W* O) f1 Y! `
于是我们应该在bms文件里写上这么一句代码:
) O4 M) D) L+ `, Q' z7 w6 K& X1 x) H; g7 | M! _
引用
4 ?( F# j" A4 }# E) zget UNK1 long 4 r4 E6 |, a" o- k7 J" R
$ o! ` B- o g$ L9 a8 N3 m- P这句的意思,就是从文件中获取4字节保存到变量“UNK1”中。
2 r! K4 b1 H8 t! F: v
8 x9 j, J. m M% \* `继续。。后4个字节是04 00 00 00,倒转后是00 00 00 04也就是4。 3 W0 q% i) [; T# W# a# O
很眼熟吧,没错,刚才我们看到4个文件名,那么基本可以确定这个4就是“文件数量”了。 " e' g) T" L" H/ V5 R
所以我们得把这个好消息同样告诉"BMS".
8 C2 _( C n" q5 k( Z; r
G* W( J- }) @% r) h1 R引用 8 k" N2 \7 v% q4 a8 e! R" z
get FILES long
9 I ~. P, W: s& L9 |
; d+ V2 q) E' X, T' d7 I& k
}' k& E5 `$ n; \* V8 U之后是4个00 00 00 00,这里得到的值是0, ; @( r L5 g! y `% n9 O9 P" ~7 N0 d# |
我们也不知道是做什么的,暂时设为NULL(空)吧 m% R) e/ B6 [' W5 V% b6 c+ o/ \
- l/ g) E' w' V0 | P引用
7 e+ v9 c% K5 n6 z5 h3 G' f# \get NULL1 long
7 V1 z) K1 ]% n6 T- \7 w8 A4 z: h0 A
" }( \3 s! B" x% O: Q% G8 h$ Y
看到这里,接下来总算可以看文件名了。
7 m9 H' I* I9 P& J, z. \& |经过对比,每个文件名的文本加上其后的00一共是0x80也就是128字节.
/ h6 \8 A! R" \3 R3 K所以我会写上这样一行代码: ) a0 I! s1 m8 `5 T$ x( E
; n% Q& ?' s4 d* [; A' e- f1 o
引用
3 w: \4 R3 S% i0 ~5 bgetdstring NAME 0x80 8 m8 A" Z" k" T. s; x2 ]5 |
7 t3 M% [9 j/ k, K
意思是获取0x80字节保存到 文本型变量 NAME 中. , t1 ^ M; O, V, _9 B1 w5 b7 X
文本型变量在遇到00的时候会自动判断为文本结尾,所以文件名后的00都会在保存时候被自动删除^_^ 7 ~) G) V8 y6 n7 ~# M' [
W0 T7 [( U3 s2 B$ @- d2 w3 e奇怪,在第一个文件名和第二个文件名之间还有3个LONG长度的字节, 9 E7 R8 _# |4 Q1 F, v, Y8 Z, {
以之前解PAK的经验来看,这里一般都是文件开始位置、文件长度、文件加密key之类的东西, ) X. g: {0 a4 P
但是我们现在还不清楚具体哪个是哪个,就暂时定义为“未知数据”吧。 V! _. H+ O+ K# K
D( k/ t, p& e2 T2 T" u; l t引用 5 N+ e( a5 J$ p9 }+ D \
get UNK2 long
! a. w Y( a7 P @+ S+ P2 sget UNK3 long " y; x6 m; u: ?" l
get UNK4 long
, b$ r n! j8 G8 z# r! j1 q
v$ V/ {/ h5 j8 E3 G7 a1 C5 G6 k" f' o
到此为止我们已经初步了解了文件列表部分的循环结构了 & n: U4 @7 v; o0 A- K
我们目前手头写的脚本代码如下:
. `% k9 x' n6 q9 g3 ^$ A( b5 F
# `8 s5 Q1 J9 ~引用 # q3 X. K. h7 _6 a% ?: a% k3 w/ x
idstring " PSH" 5 M, }: u5 D+ e8 s. `! E
get UNK1 long
1 }" m1 s/ f4 V0 O# [, D* hget FILES long : W# `. j% k' W$ F! s: w4 m
get NULL1 long & m3 D( R. V, t9 w0 S' Z) i$ S
getdstring NAME 0x80
) J, D1 Z7 g. gget UNK2 long
. M3 y8 r4 E6 {2 qget UNK3 long . {1 a9 \8 i7 S+ r6 e A2 U, z
get UNK4 long 8 m) d& ]$ K( _! }7 {4 J$ d1 k
* }3 s- j( Q S: i$ a' ?1 y! m6 J- F/ k. I
光是上面的代码仅仅也就只能取到第一个文件名而已。 8 k" w2 n# N3 [ Q' \
我们需要给他们加上一个循环脚本,让他们能读到所有文件名,代码如下:
1 B3 Q) F6 k/ r+ |8 ]( y/ r4 y: W5 A& Q3 W
引用 9 g/ n" k, ~! _0 `6 g8 U" G6 m
idstring " PSH"
; l/ L* B, e: h) x# y, Q3 Fget UNK1 long 5 `1 ~8 {. H8 q: n7 K* _
get FILES long 1 N$ W# E5 Q5 K$ V4 a7 N2 Q4 x5 E
get NULL1 long
3 k6 g- B# K4 Nfor i = 0 < FILES - r; P6 W; w- U9 U
getdstring NAME 0x80 , Z5 Z$ @4 U4 F, q
get UNK2 long % p! M" e3 d1 D3 w
get UNK3 long
, X- v8 p' W! l5 @; W! Bget UNK4 long
1 i! L) a& U z' W& P/ C) B8 S: g& d& p; Pnext i 0 ]" J; U0 B' r5 K" R8 \$ m' g; m
+ c% q2 w; S2 N+ l- M* l2 Y9 z0 {2 _2 y% w, [& A' y& g! m" q
即使加了循环,我们还是没有能保存出文件,因为还没有加入log保存命令。
& Z* d& f! o0 Z2 F6 h0 q. whoho,天亮了,暂时分析到这里。
$ |2 L9 D7 K2 r& Y' P最终代码如下。已经可以解包所有hsp文件喽: R$ ]; n" s, D: ]* A' }3 Z/ i
' t4 z2 O0 s; I引用 ( h" X9 C9 G2 p% T! h2 }
idstring " PSH" 2 I3 f% V/ P7 T
get UNK1 long
4 T: H1 r( n( N* W7 I# g, nget FILES long % m' _& p3 a7 i. ~6 ^
get NULL1 long
7 A1 }0 M$ A/ W+ T9 Bfor i = 0 < FILES & G1 b8 a) u) b5 k5 p9 ?, z* S' h
getdstring NAME 0x80 i4 q' J) M, m8 r+ t
get ZSIZE long
# E8 o X- R: g( H: z4 Gget SIZE long
8 x, B* L; ?* r; v1 F! ~& Eget OFFSET long 5 g& [0 h0 |) i8 L$ ^
clog NAME OFFSET ZSIZE SIZE
; f. Z+ V8 `# y( X x( anext i
2 |7 I0 N- I& Q8 j2 w* w1 W r$ U- T! w
把上面的脚本保存后 ' T& a( p3 N/ O# B' I: t
新建一个txt内容如下: 2 o. c# ~2 F7 r
quickbms astro_hspfile.bms BoneObject.hsp .
& F; R4 n0 [2 ^2 t" ~4 K" e& ^注意保存最后的"."然后把内容保存为hsp_extractor.bat ' L) a& I$ P5 C3 Q
之后运行hsp_extractor.bat就能看到解包后的结果啦。。 : D l( L9 e, V3 H4 Y7 P& U
睡觉睡觉。。。 |
发表于 2009-7-31 21:46
![【1115号】双子思维5:致命戏法ChinaAVG汉化版[1.35G]](data/attachment/forum/202409/13/185355ool5hoogw798k9z5.jpg)
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
很美好
很差劲
发表于 2009-8-27 09:06
