这篇是网络上找到的QuickBMS实战例子。6 ~8 i$ G7 G8 t, g+ F" e$ F' m
Q" P, G: e# O& \, Q; d1 ]2 U* K
0 Y: f- V$ \, r- i
这几天的发现太惊人了。。。XeNTax才是mghack的最终目标。。一个坚持了20年的组织。
# Q3 r" v% d) J5 Z, m5 d不多说了。。以AR为例子,讲解一下这个强大的通用解包器吧。。
8 ^7 ]9 v+ a0 C( |+ F+ P9 A l6 I; m# R* q+ ^
准备工具:
% J% ^$ ~- u2 z n, A4 Z, t6 B. B! q1.UE(或者其他hex编辑器)
+ s5 [1 Q/ |+ s$ N% }! f2.QuickBms(这才是主角)
6 @9 M# I* X. y: v1 }) \5 Y3.AstroRanger这个游戏的hsp资源文件(我们这里以附件中的BoneObject.hsp为例)
& k- l1 _% u4 e) r% w" `
$ X1 W1 }/ b B$ G3 b教程开始:
; {1 {( P" n7 \: A1.首先在c:盘创建一个TEST目录,把QuickBMS和BoneObject.hsp放进游戏目录,准备研究解包。 1 D/ o% t9 x0 X( `
2.创建一个新文本文档,命名为Astro_hspfile.bms,保存到同样目录下。
- |: {1 Z, v I @' x7 I! Z: s( b @( y/ X( I& h
$ B8 a# R; C5 [2 s
3.用十六进制编辑器打开BoneObject.hsp,我们将对这个文件进行分析。 : Y) e3 Y) R) P& I
' ~# \0 e) ?1 {# n: D
o; u c% f s( ^. ~1 V我们在编辑器的右边看到一些类似文件名的文本。这说明AR对文件名并没有进行加密。 * Y- E( X' i$ X& i* D% C- }% g8 H" ?
好了,别急着高兴,冷静分析出这个文件的打包方式才是我们的主题。
8 F M4 @: {& F( {& Z$ v1 N首先看到前4个字节20 50 53 48 或者 “ PSH”,倒转过来就是HSP加一个空格,
- L3 N* A: M' e) F, x6 w+ l/ L5 L一般windows的文件都会在文件前N个字节做上“ID记号”,这个“ PSH”就是hsp文件的"ID记号".
4 M' T* ]1 h8 g+ n. ?- R用记事本打开Astro_hspfile.bms,我们写上脚本的第一行代码^_^.
7 \: G! q; I# b* S: c7 _
1 D ^: L" z6 U1 w2 `引用
/ P- T _4 u/ r% x0 lidstring " PSH" 7 s3 B: p5 M, r4 Z4 {: R# m
5 `% Z: _9 ?9 o4 m4 u: f4 M$ Z
这行代码的意思是“如果访问的文件的最开始不是' PSH'的话,那么就不会尝试去访问它了” 1 P) F$ r" ]! s, S* {- Z! o
9 Y4 Q0 e4 c' {+ r& { w7 t: r/ Q: }好了,接下来我们找一些自己能看懂的东西,例如那些像是文件名的地方。
3 v4 l/ ]% c( l1 J0 n+ ?* u类似Datas\Texture\BoneObject\npc_nagoya_octopus01_body.dds这样的文件名一共有4个。 ) e* `: `1 d1 i) O/ N5 L
; c# c2 n( |6 X" u- I+ w3 B喂,别老盯着那些文件名看了。就算一直看着他们,他们也不会自己蹦出来的。 6 F" j3 C- `2 H: t" P
我们回到文件头那里继续,之后的4个字节01 00 00 00,经过倒转字节后就是00 00 00 01,也就是1。 , G+ G( Q7 z% j
到这里我们好像没有什么和1有关的信息,暂时把它定义为“未知字节(unknow)”吧。
1 w* f! ?# |8 D于是我们应该在bms文件里写上这么一句代码: * }6 ?- y: I9 E+ D6 L9 e+ o
3 `2 \+ g1 `9 A引用
" E% _( ]( a. s3 U* Bget UNK1 long @# U0 R( o" r# V
& A* e' E2 Z1 u这句的意思,就是从文件中获取4字节保存到变量“UNK1”中。 ( a F: O6 g' ?; r
) b" z, q- m# j' P% a
继续。。后4个字节是04 00 00 00,倒转后是00 00 00 04也就是4。
3 S7 \9 b& v9 H4 m! L$ h) s8 g2 x很眼熟吧,没错,刚才我们看到4个文件名,那么基本可以确定这个4就是“文件数量”了。 $ A; A. |, D2 q, _. M
所以我们得把这个好消息同样告诉"BMS". 0 L. [8 f2 v, U: h3 T5 Q9 B* O) z
/ a$ O& v8 T' x) M. s
引用 0 y* X2 A/ t8 E& ]& T9 D
get FILES long
$ q$ m0 ]* l8 K( ?! N1 o
$ Q. F8 J; t1 Q7 y3 A! M, m( X0 @( v4 [3 S/ ^+ \2 M4 Z
之后是4个00 00 00 00,这里得到的值是0, ; {3 u% K3 d) T
我们也不知道是做什么的,暂时设为NULL(空)吧
r% }6 G& w' i: z
) O" b C/ P2 ~2 ]& R引用 " B( G7 @) g! b; ^1 T) E) A
get NULL1 long 0 |8 w! n- v9 F( I
4 s" r7 V9 ?+ D, V3 V3 V ^
0 o/ H5 [0 {9 s, o+ l看到这里,接下来总算可以看文件名了。
) e% A2 D0 g& Z* e经过对比,每个文件名的文本加上其后的00一共是0x80也就是128字节.
8 N- [" e+ [4 G5 U- `/ o7 A所以我会写上这样一行代码: , O8 \2 P2 K+ o9 p w7 ~7 ^6 y
, i1 N4 Y# k- q8 h! s3 |3 p
引用
- Y6 T4 S" z, ]6 {6 O" \8 Kgetdstring NAME 0x80
; O8 J2 _2 F# k9 f* B0 q( [! j0 {- O4 g8 o' R* P+ z5 C+ ^) r. q+ ^: h
意思是获取0x80字节保存到 文本型变量 NAME 中.
6 e' l% C% Z, _- z文本型变量在遇到00的时候会自动判断为文本结尾,所以文件名后的00都会在保存时候被自动删除^_^
" x! t' }3 m- z
6 R5 W" x* v" p" _& o. U9 D b奇怪,在第一个文件名和第二个文件名之间还有3个LONG长度的字节,
4 x+ l1 I2 ^ v% C' T5 `- l" b2 Q以之前解PAK的经验来看,这里一般都是文件开始位置、文件长度、文件加密key之类的东西, 8 z% t$ z, r6 S1 z2 t
但是我们现在还不清楚具体哪个是哪个,就暂时定义为“未知数据”吧。 + A+ K" Z$ S% ]5 L3 e
) m6 _' i+ y3 p% q* C, D; N/ k, r
引用 1 C/ u" Q( c4 k" V8 d- @
get UNK2 long 2 o: n! V! q& S4 l* p) e5 s
get UNK3 long % j# L6 @( q! R( J5 V5 n5 o
get UNK4 long % f- Q. U+ H9 m- c
! o0 ~' `' {; P! r, ~
/ B1 N8 Z: L. b
到此为止我们已经初步了解了文件列表部分的循环结构了
& z: E: u' U& F8 q9 S, H我们目前手头写的脚本代码如下: * A" K- t" ~: D
* R5 L' H9 z* s- b9 K9 L# M引用
% `" B$ y! M8 b6 s$ V) I' uidstring " PSH"
- d* v; ?& [/ }) Jget UNK1 long
4 ~4 z5 s. g1 [get FILES long
/ d/ [$ h+ ^$ H; M# \/ A( V" H M+ nget NULL1 long " B" `1 n3 V! o7 Y& ~5 q# F. y/ F
getdstring NAME 0x80 0 e. j8 P- @$ W9 A' F7 z: L$ {
get UNK2 long # ]& p, l% \! m8 M" I, Y3 {
get UNK3 long
' a" V+ H: V) f( K7 k9 Xget UNK4 long ! |. U* n o1 A' G$ q `
. c2 p; j" E: Q( a- l# o# D
" b) n% M& U x; ~4 M9 D% G
光是上面的代码仅仅也就只能取到第一个文件名而已。
, n5 r" z9 {" [# j4 B我们需要给他们加上一个循环脚本,让他们能读到所有文件名,代码如下:
, a" @+ f8 @( {- o6 g3 M
8 U. Z9 }$ j4 F) P8 Y引用 - l: ^3 A0 r9 Z8 m
idstring " PSH" 6 v) z8 e9 u) n
get UNK1 long
( v1 g) {" i7 O" ^get FILES long
Y, } r, z1 B$ j: m0 x) b6 Gget NULL1 long ' ?$ @) [: ^9 r) U5 T
for i = 0 < FILES
$ I! M# y; D& ]- f* M5 [getdstring NAME 0x80 ' Z( ]) h; C: e; f( e
get UNK2 long 0 a% Q# H$ w8 Q$ H
get UNK3 long # D K3 L+ x5 R/ P" Q8 b" c
get UNK4 long 4 V# `! v) Q5 X2 {; {2 y& z: R
next i 2 }6 r) R" m4 M, [! k, }' Q+ ?* ?
, G% s8 _( M1 ?7 s5 c1 y2 v9 o
6 z" \" u2 b0 t) {9 h8 `即使加了循环,我们还是没有能保存出文件,因为还没有加入log保存命令。
w. N8 ~# x8 Phoho,天亮了,暂时分析到这里。 7 W* s) m. {+ M9 W% ~
最终代码如下。已经可以解包所有hsp文件喽:
% m$ u" l0 b0 R- n+ {, [1 h* B% Y" |* m( W6 Q! B
引用 1 K1 P6 o: \6 i4 y
idstring " PSH"
% V3 C. ? k6 v6 U/ l( k! Aget UNK1 long
4 g9 j. u" U* R# h5 X: Mget FILES long I7 a$ S: A. C; O* L6 i
get NULL1 long 0 W. D; E1 j* O" ~' y
for i = 0 < FILES
/ z4 M: ^0 D) |6 D9 dgetdstring NAME 0x80
! |& v$ o5 ?$ Y( y! U- Eget ZSIZE long
: q# X! H6 C) Y, [/ R7 a* b0 Aget SIZE long & Z2 |2 F% X0 Q1 ^4 g" \
get OFFSET long 1 }) d4 ]3 Y& w( p9 q5 V o% ~, G
clog NAME OFFSET ZSIZE SIZE 6 k( c: o" c. N) |& Q* Z1 ~
next i
9 \- G, E0 i% L( t! Y% Q+ X4 n$ J- B3 t3 J
把上面的脚本保存后
( Q+ s* T: C6 s" }- e. y新建一个txt内容如下:
9 y4 a" [0 Q8 a* Iquickbms astro_hspfile.bms BoneObject.hsp .
+ F# r7 ^& q- u注意保存最后的"."然后把内容保存为hsp_extractor.bat i+ D6 h" R8 s: ]* R
之后运行hsp_extractor.bat就能看到解包后的结果啦。。
$ k- E# M% Y) ~! t! L* ~# q) w睡觉睡觉。。。 |
发表于 2009-7-31 21:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
很美好
很差劲
发表于 2009-8-27 09:06
