这篇是网络上找到的QuickBMS实战例子。9 O: n3 {6 W6 V# F, Y
; F2 O' v1 T) s2 c( H1 y
: |1 N3 n; t# ^" [9 f$ T
这几天的发现太惊人了。。。XeNTax才是mghack的最终目标。。一个坚持了20年的组织。
6 z3 a! Y1 v) u: ]不多说了。。以AR为例子,讲解一下这个强大的通用解包器吧。。 " l- d5 Z& L: F
5 z: |! b. q3 `7 a- I- q) i @" I准备工具:
5 V( R$ u2 R7 z' s# M1.UE(或者其他hex编辑器) % V% Q' x |# w# y* G7 R% \1 k
2.QuickBms(这才是主角) " l) D( h" D$ k+ e& F
3.AstroRanger这个游戏的hsp资源文件(我们这里以附件中的BoneObject.hsp为例)
2 x! ]( k6 I8 C5 o' P# P% P7 f4 ?0 b# n
教程开始:
2 P9 C7 A: x( \" H S1.首先在c:盘创建一个TEST目录,把QuickBMS和BoneObject.hsp放进游戏目录,准备研究解包。 * H0 I3 }0 h4 j
2.创建一个新文本文档,命名为Astro_hspfile.bms,保存到同样目录下。 3 q0 J2 e7 _- _. P1 d! {) A
( Z# z& }! A# Y' T
! T8 s% |) R9 V; v. h: j: C
3.用十六进制编辑器打开BoneObject.hsp,我们将对这个文件进行分析。
9 u7 N1 Z6 n" a
5 Z" q4 x& e6 a! b( D7 W* p! u, N7 o6 e
我们在编辑器的右边看到一些类似文件名的文本。这说明AR对文件名并没有进行加密。
k) O# n4 [: b! Z好了,别急着高兴,冷静分析出这个文件的打包方式才是我们的主题。 1 z4 H; [( O" `3 A4 h3 ~% t
首先看到前4个字节20 50 53 48 或者 “ PSH”,倒转过来就是HSP加一个空格, 9 J' h2 d! ]" P' o+ W3 d3 c: Q
一般windows的文件都会在文件前N个字节做上“ID记号”,这个“ PSH”就是hsp文件的"ID记号".
( L8 x. @$ ?9 }( b4 Q0 H用记事本打开Astro_hspfile.bms,我们写上脚本的第一行代码^_^. 3 k# \8 q2 U2 D, U( y1 ^! o
- }% C* c$ a4 D, V0 _# }$ ]
引用 % _+ c4 F- U+ F/ Q8 i8 m4 b
idstring " PSH"
$ v6 s* y. x5 d6 _6 v& v% }" P; D; D* F$ R, s
这行代码的意思是“如果访问的文件的最开始不是' PSH'的话,那么就不会尝试去访问它了”
& @; i0 m6 ^1 l; @2 N. Y* f5 o2 n7 d% P* P) a% h) K4 ? ^6 H- `
好了,接下来我们找一些自己能看懂的东西,例如那些像是文件名的地方。 7 T9 G# Z# `5 ]" f" i. [$ N
类似Datas\Texture\BoneObject\npc_nagoya_octopus01_body.dds这样的文件名一共有4个。 2 C1 U6 d3 x7 ?- n
: Z& a0 u2 I A
喂,别老盯着那些文件名看了。就算一直看着他们,他们也不会自己蹦出来的。 F- g6 X: K5 |* O
我们回到文件头那里继续,之后的4个字节01 00 00 00,经过倒转字节后就是00 00 00 01,也就是1。
9 G; p2 N% m" M2 L到这里我们好像没有什么和1有关的信息,暂时把它定义为“未知字节(unknow)”吧。 - c0 z9 p, g* {4 t& ? n
于是我们应该在bms文件里写上这么一句代码: ) @( t3 I+ G4 q+ M
1 I4 ?( ~2 x+ _引用 * K* `( `# ?" [4 _) M9 ~. x/ G
get UNK1 long
) e8 X3 O, d. }6 m5 @( |# U) G8 W+ A7 c5 |0 Z
这句的意思,就是从文件中获取4字节保存到变量“UNK1”中。 $ W; k6 N2 N* F
+ G4 k1 A# _6 G6 o" {
继续。。后4个字节是04 00 00 00,倒转后是00 00 00 04也就是4。
1 j; s; j8 C5 L; ~2 F9 h M很眼熟吧,没错,刚才我们看到4个文件名,那么基本可以确定这个4就是“文件数量”了。 ( z; {8 @0 N" W3 d1 {2 L2 K
所以我们得把这个好消息同样告诉"BMS". 2 J5 w5 S+ g* e1 o
9 g% _ u n. r
引用 ) t; |& |+ q2 z5 Z- o4 H6 v; m& | f
get FILES long
* e( N& u$ A% a& I/ W8 C, V) f! t1 B) d R ^7 f. L2 ]0 h
2 ?9 n8 @/ |. ^ s1 y9 H
之后是4个00 00 00 00,这里得到的值是0, & i2 i+ p$ @- }9 u9 ^
我们也不知道是做什么的,暂时设为NULL(空)吧
' {% m r1 u* V( L1 I2 ~" g3 q7 |: X& w
引用
% }; O( p* M i+ { _" gget NULL1 long
/ d& M" g+ c- `2 x
% } S* ~4 h7 g7 n% |9 l/ u8 Y& U1 ^: o. M
看到这里,接下来总算可以看文件名了。 1 g* c0 z! S: V% C9 {& ] @
经过对比,每个文件名的文本加上其后的00一共是0x80也就是128字节.
3 M* i' F, @/ d( i, Y所以我会写上这样一行代码:
0 I, D$ U" }$ k* t% K- ^0 G( w1 @4 ~. e2 t& O; M$ B
引用 5 W; F8 M! R* \0 E- @0 s
getdstring NAME 0x80
# _4 ?) n4 a( b, Z: ^4 {4 Q- ~
& I! M, M6 N/ O6 W意思是获取0x80字节保存到 文本型变量 NAME 中.
4 C. q! ^4 D, Q2 I5 r文本型变量在遇到00的时候会自动判断为文本结尾,所以文件名后的00都会在保存时候被自动删除^_^ ! F+ i7 G* f3 h
! e/ L }6 j8 o: j2 ^6 M2 M" v
奇怪,在第一个文件名和第二个文件名之间还有3个LONG长度的字节, * I" F2 o7 X; p9 p. Y8 H
以之前解PAK的经验来看,这里一般都是文件开始位置、文件长度、文件加密key之类的东西,
! K4 i$ d) M/ N2 t0 m. A但是我们现在还不清楚具体哪个是哪个,就暂时定义为“未知数据”吧。 1 r: H% O4 D( o
$ J0 _8 M% G2 v+ a& w0 o* F' W, n
引用
' Z" J! ?1 U4 {3 L Uget UNK2 long 1 A/ d$ r+ O7 L$ V- s8 h
get UNK3 long ( \% p5 n- r" R
get UNK4 long - ?( {4 K! g3 }/ Y8 e, T. l& i
5 d- F) }- j0 N( Q6 I) S( n0 e/ H3 i. H$ T/ W4 t0 x6 ~" x2 V
到此为止我们已经初步了解了文件列表部分的循环结构了
+ J) _" u- }' G. H3 s: ]我们目前手头写的脚本代码如下: $ ?) z) \/ h. i* d% }3 [
0 }9 ?, {5 h& D
引用
6 F7 |6 D3 D% R7 Kidstring " PSH"
6 l8 f5 j% f5 w# J: pget UNK1 long ( T# Q+ x0 i9 x6 l% S
get FILES long % @7 ]# |; C% \* w7 Z$ C& v& N
get NULL1 long , `: R: s% q" R. F6 W1 O7 v+ y% X
getdstring NAME 0x80 2 v1 {# I0 d# d& }
get UNK2 long - F1 N2 R8 N# ?3 c# N' o' [
get UNK3 long 3 b3 o0 p8 e( ~6 d+ V+ W
get UNK4 long
Y7 K" G. L1 L
9 w9 I( q5 P6 E
# ~+ F' C6 F# x9 ~6 y& _6 w光是上面的代码仅仅也就只能取到第一个文件名而已。
8 x& S. J; t3 a' ^我们需要给他们加上一个循环脚本,让他们能读到所有文件名,代码如下: 8 U x- h; K p& a* Y+ u* d
+ N# u/ |8 J# r3 w1 Y/ C
引用 4 y" e7 n2 G/ c! [0 k6 M
idstring " PSH" - u( _+ @ n( x5 s/ Q: o
get UNK1 long
4 r! J7 w \9 B( Tget FILES long
% {7 H0 {0 R3 |# Xget NULL1 long
- H% G3 h1 O4 V" X5 i- Gfor i = 0 < FILES 4 | t- F9 L' N; G
getdstring NAME 0x80 & u3 N2 t% u6 d$ t1 ^3 C# y* n
get UNK2 long
) d6 r! `6 n$ P2 }get UNK3 long 5 t& |+ N8 A, T3 C# ?( n
get UNK4 long
4 q( y- \- z2 C6 ]8 r9 mnext i
4 b2 P! f) }7 F3 _
* l) E% F$ h! L) f" \) s; _6 H- v0 T' R8 V* d
即使加了循环,我们还是没有能保存出文件,因为还没有加入log保存命令。
0 A C8 J, P' Mhoho,天亮了,暂时分析到这里。
1 V- S' n+ g1 ^- O% ]最终代码如下。已经可以解包所有hsp文件喽: * O8 ]$ {, t# u' \' w9 b
/ m! g: b' O' v1 y/ P引用
$ J+ O( R3 k* S2 |' `/ ]0 ~idstring " PSH"
7 h6 |& G E; |7 |" yget UNK1 long 8 t# L3 x1 t' q7 v. `
get FILES long
. {# v: k2 P$ N8 F5 H4 Z0 T: e) pget NULL1 long 0 Y: j; I+ ^5 Y! Z) l
for i = 0 < FILES
- A; |1 ^- p% G0 Y; D# r9 V# R/ Pgetdstring NAME 0x80 , l1 Y% R. P- Z3 v9 r
get ZSIZE long
# S( S. ~0 H2 b& f( Q; A- v' x6 `get SIZE long % x7 n- W& o" e
get OFFSET long
$ q$ t/ o% _5 }8 b9 F4 j) }8 lclog NAME OFFSET ZSIZE SIZE
* Q& z' |5 y2 h. y$ i0 dnext i
0 W9 J; l" K* J1 T4 C7 i
# L2 x, m' r* s$ B把上面的脚本保存后 ( a: ?6 x! t; B% S+ a2 j
新建一个txt内容如下:
; f R) Q- ^& \: g4 u) Lquickbms astro_hspfile.bms BoneObject.hsp . # [2 W, y% ~6 M8 M
注意保存最后的"."然后把内容保存为hsp_extractor.bat
' E7 C" Y9 g' T) g p* d: r6 V之后运行hsp_extractor.bat就能看到解包后的结果啦。。 8 f0 G$ y2 P1 u
睡觉睡觉。。。 |
发表于 2009-7-31 21:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
很美好
很差劲
发表于 2009-8-27 09:06
