这篇是网络上找到的QuickBMS实战例子。
X9 A$ O% L& a8 J* p/ H7 j: ^9 `- i7 U: [9 U2 p
* P4 D2 F' a4 |) s* P( `6 U
这几天的发现太惊人了。。。XeNTax才是mghack的最终目标。。一个坚持了20年的组织。 : M* M3 |( d2 R/ [8 `* @
不多说了。。以AR为例子,讲解一下这个强大的通用解包器吧。。
1 k- W: ]* ^/ X# v$ u/ I" \, I' n5 Q+ ` b
准备工具:
6 Z1 ^( F2 ~" t( r1.UE(或者其他hex编辑器) ( F$ p0 x) m& i& n4 _
2.QuickBms(这才是主角)
0 _9 m, s! v4 j( R% n2 i2 y, {3.AstroRanger这个游戏的hsp资源文件(我们这里以附件中的BoneObject.hsp为例)
) m* m( f& s( X% y# w" p
8 e) w3 e6 E; V% z* R教程开始: 6 q4 R% R6 G( j; M, i. p
1.首先在c:盘创建一个TEST目录,把QuickBMS和BoneObject.hsp放进游戏目录,准备研究解包。 9 j3 J! R. x' x) w
2.创建一个新文本文档,命名为Astro_hspfile.bms,保存到同样目录下。 & N1 Y( U% U! w" t) ]& L1 q
2 ~3 k1 m. A" _4 O8 B/ x+ Q
4 w: B) L: {1 _( V' U3.用十六进制编辑器打开BoneObject.hsp,我们将对这个文件进行分析。 6 K% y, V$ K3 r# K" C
3 [& h1 L! l$ L- E* o/ s( _2 q, r6 a6 v; R
我们在编辑器的右边看到一些类似文件名的文本。这说明AR对文件名并没有进行加密。 4 K1 a5 N( g1 t8 o% S
好了,别急着高兴,冷静分析出这个文件的打包方式才是我们的主题。
! d: C7 R% o# G, n# j首先看到前4个字节20 50 53 48 或者 “ PSH”,倒转过来就是HSP加一个空格,
% ?0 R! i# m& E6 \7 Y. k一般windows的文件都会在文件前N个字节做上“ID记号”,这个“ PSH”就是hsp文件的"ID记号".
0 b" j! f( u8 m3 Z用记事本打开Astro_hspfile.bms,我们写上脚本的第一行代码^_^. 5 p6 F2 I+ V9 R, O; i$ x3 V! E& z
; C5 [% m# m/ o4 t9 C: l7 z# }0 U
引用 " e6 p) E/ R: C/ t- ?
idstring " PSH" . h9 L! I. m- [+ g4 a9 m# _2 v
3 o% s% q* X& r$ l2 ^. l这行代码的意思是“如果访问的文件的最开始不是' PSH'的话,那么就不会尝试去访问它了” * z5 y5 O$ n& T+ z
, E: M6 B w3 H; x. x. p好了,接下来我们找一些自己能看懂的东西,例如那些像是文件名的地方。
7 e! p( V1 T4 G9 P8 c5 O$ Z' r类似Datas\Texture\BoneObject\npc_nagoya_octopus01_body.dds这样的文件名一共有4个。 `$ n3 w' ~" q( P
. ]2 z$ W+ E- r- G, v
喂,别老盯着那些文件名看了。就算一直看着他们,他们也不会自己蹦出来的。 + x$ o# U2 J8 s+ K0 z9 \' A J5 D
我们回到文件头那里继续,之后的4个字节01 00 00 00,经过倒转字节后就是00 00 00 01,也就是1。 / b. k: v7 b6 C r8 d
到这里我们好像没有什么和1有关的信息,暂时把它定义为“未知字节(unknow)”吧。 " ` h9 v9 l: o2 X
于是我们应该在bms文件里写上这么一句代码:
+ X8 {6 j: R5 y4 K/ j) P( I" t( ?8 K% k* l" _% q6 d
引用
7 J. X& c$ |" K+ `) Q4 I2 X/ sget UNK1 long 6 @* g" C# h2 N9 i7 Y* n
4 X1 _/ n% i3 s3 ^) [' P1 i这句的意思,就是从文件中获取4字节保存到变量“UNK1”中。
* a2 N% |; {! L* R, d
3 |6 Z! {. C" \9 M7 L4 M3 F) m, l继续。。后4个字节是04 00 00 00,倒转后是00 00 00 04也就是4。 6 {9 {2 {8 U# p; f! B
很眼熟吧,没错,刚才我们看到4个文件名,那么基本可以确定这个4就是“文件数量”了。
$ }& _0 h) L7 W所以我们得把这个好消息同样告诉"BMS". 6 {5 C$ j' y9 ~, r
( [2 m7 |1 f8 y( m% r
引用
. z* R+ d- `( M$ d+ t/ \( C/ f- Pget FILES long " q' U6 [6 L' n+ ]' ^
% [4 x' d4 B, B6 g4 l& n J) X" k& y& @0 g
之后是4个00 00 00 00,这里得到的值是0,
- `5 P8 a5 C$ b6 g9 R我们也不知道是做什么的,暂时设为NULL(空)吧
: a: z3 @5 D! B3 }0 S* S
) M& o1 p5 ~& [- U( R5 W引用 & T+ ]$ C1 s" E9 t; w
get NULL1 long
0 k; k8 |/ V u9 l! X S) I. q! z, ?) F- d0 u6 a. ] Y
: L; T; b* z% J6 M. Y- V5 J
看到这里,接下来总算可以看文件名了。 # a X' C4 P. L, R4 p% |
经过对比,每个文件名的文本加上其后的00一共是0x80也就是128字节.
9 S! T8 W, l' @3 @所以我会写上这样一行代码:
, r+ r' d# ?. z4 I! C* X
8 b" [- A3 z" M8 c# q0 b* X- [引用 9 q( b8 Q/ N; X6 X5 M7 ]
getdstring NAME 0x80
+ G: K# c4 u# O. }+ K& H9 w! n# e% `# }/ H8 A5 u9 H; M
意思是获取0x80字节保存到 文本型变量 NAME 中. 2 x/ m5 Z. H& \# Q% t4 |6 U8 o4 j7 V
文本型变量在遇到00的时候会自动判断为文本结尾,所以文件名后的00都会在保存时候被自动删除^_^ 5 u. J% q7 j1 p2 E0 E
0 N* p4 C/ C) r+ w( _奇怪,在第一个文件名和第二个文件名之间还有3个LONG长度的字节,
0 T9 o% b: [! \8 x1 D: \8 ~. S以之前解PAK的经验来看,这里一般都是文件开始位置、文件长度、文件加密key之类的东西, : ~2 Q: D/ D6 E* X0 L* ?5 H, ~* u
但是我们现在还不清楚具体哪个是哪个,就暂时定义为“未知数据”吧。
& k6 N* y; P0 f' T. z
- U- S& z# `7 _引用 + D, {6 t/ V) y% V3 ~
get UNK2 long - f3 Q/ N& R/ o
get UNK3 long 7 e8 \7 T9 X! G$ F
get UNK4 long
) o2 c2 N3 @5 f" G. I" x( a0 L; n( @/ s0 G; M
1 k5 R$ K; p) s& t1 g$ }
到此为止我们已经初步了解了文件列表部分的循环结构了 ! @* k- c' ~! O! W- p: f2 `# ^
我们目前手头写的脚本代码如下:
4 @! [* _2 n( z/ H. H% R+ M$ ^
, {% O7 H; I9 R引用 , f4 U/ f7 l# b
idstring " PSH"
9 @: D. b2 w) w* C ~6 N- @get UNK1 long ! }. U: s1 A+ X/ K
get FILES long
# N) J- w/ x0 @9 E! e8 n2 ~get NULL1 long
1 h- f6 N5 p1 c5 E L- B7 I9 Sgetdstring NAME 0x80 & ]4 f+ b3 _" G
get UNK2 long ' `- h! r* C; `/ ]
get UNK3 long $ b ]3 Q" [" f
get UNK4 long
$ J0 D% s. o6 ?( `" w& k
/ e% x8 Y2 X. u" O8 T! Z) H7 |) W
光是上面的代码仅仅也就只能取到第一个文件名而已。 9 I! l0 b, R; z# k; I
我们需要给他们加上一个循环脚本,让他们能读到所有文件名,代码如下: 8 ]3 J4 U3 ?3 _; R1 }' ?1 c# N
" Q' y& A1 c( t% o: P+ c: P引用 6 u- U5 ?. @8 x2 f/ q, G9 g
idstring " PSH"
+ D; A, _- L( n& nget UNK1 long
0 w% R% p' {! lget FILES long
2 P5 i$ b, V; ]% |get NULL1 long ) I; S0 F w' f' G3 v- k8 g
for i = 0 < FILES
1 ]4 q0 t! u. \& G# O( u: z# Rgetdstring NAME 0x80 ) [1 Q( {& X! [/ `$ q0 W M( _' i
get UNK2 long ' n) R9 w* Q$ o; b6 Z9 w# p
get UNK3 long * ?2 L ^" H. J: V7 u! H' m6 {
get UNK4 long * G. {& b% V. @
next i / M% o3 C/ ]/ P; x$ J
% E# G! O# T7 P& ]) V% I6 |1 J/ {
: ^8 G3 D! B6 b" o0 y4 i$ |2 X6 }即使加了循环,我们还是没有能保存出文件,因为还没有加入log保存命令。
o6 g# j9 S- Z7 W4 x4 F+ shoho,天亮了,暂时分析到这里。 / K7 Z% s. |4 M( M) |, m) M
最终代码如下。已经可以解包所有hsp文件喽:
! Y" X' ^% c2 ~" ^+ m) R8 ?
+ o% g, I, q% t6 r引用 3 E% l/ D4 O& H" J5 e( @9 c
idstring " PSH" 9 T3 y8 V0 ?8 V' `- u
get UNK1 long @1 t. C. x6 c5 w* Y& y: m) U8 T5 o
get FILES long ; ~2 u* W, \- P3 m
get NULL1 long % m" [; J, F9 {
for i = 0 < FILES
, g- L; R; [- X. Ggetdstring NAME 0x80 ) y6 E: o& f4 _4 O: T. v4 J+ _' B
get ZSIZE long & v( q& ]. n0 x1 c
get SIZE long ; a- Q4 `' ?* U4 N8 c
get OFFSET long 9 A! u# A1 P, K' y. C# ~8 e) F( p
clog NAME OFFSET ZSIZE SIZE
" N1 g* m7 H! p0 l0 I# H7 m* ]8 o* unext i ) o: l" [2 M4 g9 I" g2 Y
1 z2 v( S7 m5 B! r
把上面的脚本保存后 / E4 W2 l5 w7 g6 }5 u
新建一个txt内容如下:
! c( Y: O5 R3 gquickbms astro_hspfile.bms BoneObject.hsp .
) ?3 t# D, m3 f' R注意保存最后的"."然后把内容保存为hsp_extractor.bat * n, u0 ^4 T: Z5 D, z
之后运行hsp_extractor.bat就能看到解包后的结果啦。。 3 w6 u/ P9 s+ X6 |* i2 z6 ]2 J4 v
睡觉睡觉。。。 |
发表于 2009-7-31 21:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
很美好
很差劲
发表于 2009-8-27 09:06
