这篇是网络上找到的QuickBMS实战例子。
" U! `' @8 _$ o" `/ f' I
$ ^( P: S0 h9 v( m+ G4 @' p) _+ p! n: s, P# s: ~
这几天的发现太惊人了。。。XeNTax才是mghack的最终目标。。一个坚持了20年的组织。 * f- e9 h5 \/ P
不多说了。。以AR为例子,讲解一下这个强大的通用解包器吧。。
{+ l7 `0 q9 x' K3 P2 C/ [' N6 |5 i& v2 `2 c/ r+ d1 F
准备工具:
9 Z9 e* A6 t( a1.UE(或者其他hex编辑器) 0 x( Y, `. }2 b" [. E f
2.QuickBms(这才是主角) 6 D+ g9 _9 j' T3 O9 b% J
3.AstroRanger这个游戏的hsp资源文件(我们这里以附件中的BoneObject.hsp为例) ) Z& s, R3 x+ F1 q) b
1 {; z" m6 n2 a% v) L
教程开始:
1 ~' m3 ?# S3 X' f1.首先在c:盘创建一个TEST目录,把QuickBMS和BoneObject.hsp放进游戏目录,准备研究解包。 0 f2 U0 J' k& v: V! }; U3 O5 D1 a
2.创建一个新文本文档,命名为Astro_hspfile.bms,保存到同样目录下。
& W# Y2 p( e ^2 Y* P% e+ w8 o8 [5 F$ B5 r0 A
- l" Y ]: u) N1 N3.用十六进制编辑器打开BoneObject.hsp,我们将对这个文件进行分析。 ) Y3 i& F! t% o$ F) ~+ d$ I; k
) a, G" E. q1 O9 n
( R1 r8 O% s' W4 X4 v4 D# p' m我们在编辑器的右边看到一些类似文件名的文本。这说明AR对文件名并没有进行加密。
: R' K: B4 I- l. W4 r好了,别急着高兴,冷静分析出这个文件的打包方式才是我们的主题。
% J6 e. O* h8 F: }$ F$ m$ S6 J7 ~首先看到前4个字节20 50 53 48 或者 “ PSH”,倒转过来就是HSP加一个空格, 7 W# X7 w) l& G9 B- M
一般windows的文件都会在文件前N个字节做上“ID记号”,这个“ PSH”就是hsp文件的"ID记号". ) e; {$ S+ n$ r4 C7 E( q" ?0 l! A
用记事本打开Astro_hspfile.bms,我们写上脚本的第一行代码^_^. & \1 F" o, [4 ?3 U; \5 T/ O. \
/ {1 k7 w; q! D& Y- }5 Y
引用
, `+ W- q7 V8 S1 S3 J! H. S" Qidstring " PSH" , E# }. J* Z- |
- M p3 C2 U% M9 {$ B4 R. l1 T
这行代码的意思是“如果访问的文件的最开始不是' PSH'的话,那么就不会尝试去访问它了” $ L+ m* m d, d- g4 f! q
f, R& |; y/ z, j1 g+ m& {& P好了,接下来我们找一些自己能看懂的东西,例如那些像是文件名的地方。
0 k* b: L; n {0 ^4 v类似Datas\Texture\BoneObject\npc_nagoya_octopus01_body.dds这样的文件名一共有4个。
$ F9 L8 W0 h2 m0 c& }8 \7 P( v" m" a. l6 b$ D5 Q
喂,别老盯着那些文件名看了。就算一直看着他们,他们也不会自己蹦出来的。 : l- p5 ], p! A; C N6 ~3 M
我们回到文件头那里继续,之后的4个字节01 00 00 00,经过倒转字节后就是00 00 00 01,也就是1。
4 v/ p, n7 I' P! m- V; ?到这里我们好像没有什么和1有关的信息,暂时把它定义为“未知字节(unknow)”吧。 3 G1 o3 {( |9 _: `
于是我们应该在bms文件里写上这么一句代码:
$ R6 M$ r% x V$ H/ L8 T
& {+ w- _8 K' @9 Y7 k引用
7 f' t6 x7 d9 O* q( l5 Bget UNK1 long 9 P D2 T0 Y* N! s+ E. N: r3 n
: [ O4 L7 Z9 v' r N
这句的意思,就是从文件中获取4字节保存到变量“UNK1”中。 3 Z0 ], K* ?. C* m) W* T& j6 `6 T
! M5 @+ i& r* Z$ f9 z继续。。后4个字节是04 00 00 00,倒转后是00 00 00 04也就是4。 " f8 |0 w" e- k2 }2 z, w/ f7 m0 |
很眼熟吧,没错,刚才我们看到4个文件名,那么基本可以确定这个4就是“文件数量”了。
, c) J- d% y4 A所以我们得把这个好消息同样告诉"BMS". + A- _2 K; A+ x+ X- A
$ j. G0 X0 J) S+ @+ ?. y/ b
引用 6 i2 ^& z$ D s$ m/ i6 a7 ^
get FILES long 2 z3 w) d+ w6 _7 I( J
* V' {5 t% r" s* b0 d H
. z- w U9 c8 q" O# K) u之后是4个00 00 00 00,这里得到的值是0, " O9 f# A( q; }# ?# J2 S2 @1 b
我们也不知道是做什么的,暂时设为NULL(空)吧
: k% |& H4 i+ w' f, \3 u5 ]* b6 n: Q- Q& g' e
引用 $ c% d0 X8 F [& N2 y! R
get NULL1 long
; m8 a% q- J& P4 ~" s; C
6 u0 P( ^0 n( \) f6 D8 d, b$ M, f8 g' ^$ B5 W- Q. L6 ]$ a% z
看到这里,接下来总算可以看文件名了。 - ^# @0 y7 w$ D
经过对比,每个文件名的文本加上其后的00一共是0x80也就是128字节.
. {* q k6 g( y: _0 l7 ?/ G所以我会写上这样一行代码: 8 ?; t' \$ b( U1 p/ C3 ~$ \
: k H- S( y. R8 ?/ ^+ O' z- e引用 * J- k9 a$ Q5 @8 h; v/ }. _
getdstring NAME 0x80
) }8 T( [! D; C' K5 A. H5 e
, O( N& R d" p6 [6 u" x Z意思是获取0x80字节保存到 文本型变量 NAME 中. 4 k4 t k# T; n* |
文本型变量在遇到00的时候会自动判断为文本结尾,所以文件名后的00都会在保存时候被自动删除^_^ 9 r' W" m6 S9 i4 u5 A
7 p# s' _" f ^3 O奇怪,在第一个文件名和第二个文件名之间还有3个LONG长度的字节,
H' W$ a% x( V) S8 Q! [1 ]以之前解PAK的经验来看,这里一般都是文件开始位置、文件长度、文件加密key之类的东西,
y" G7 [! x ^, u但是我们现在还不清楚具体哪个是哪个,就暂时定义为“未知数据”吧。
4 e- V$ R$ y' g$ b+ e% t, v* ^# e: w& X! R4 b0 H5 {/ Y
引用
& H) I( ^ f* p7 cget UNK2 long ! ?. S: v3 v9 B* N! t9 Q0 A
get UNK3 long $ Q" |) e8 @4 A! J
get UNK4 long
$ M, ?; b3 `3 F: e
1 B) [% O+ w; r- O) g7 K1 y; X5 ^9 g [% v# M
到此为止我们已经初步了解了文件列表部分的循环结构了 ) r( @- A9 Q# n- k$ {) Z
我们目前手头写的脚本代码如下:
' N1 }! m8 H1 \' c |* V
7 M5 F7 F+ a6 K% m7 S6 m引用
; E6 t$ [. M4 x) {+ n- L/ aidstring " PSH" . o& H% J7 a! h, m3 M) D
get UNK1 long
+ p. |; q* q$ o1 P9 _$ c+ fget FILES long - z8 r* y7 E( q
get NULL1 long
- B. g! T% E' { `3 ^getdstring NAME 0x80
+ n0 W0 S& @( b0 N% ?get UNK2 long
) p& a; [1 ]# ?0 m5 E2 J" j5 dget UNK3 long + L4 c+ H" |4 G' L2 ]* B2 b( S
get UNK4 long 0 \. y& H8 d! T Q; b0 f5 O) S; C1 C
7 @+ \9 s# m0 ]9 Q) V
' ]* Q7 t+ \9 o3 V. ~+ R/ H! d
光是上面的代码仅仅也就只能取到第一个文件名而已。 w2 `! H3 g( v W
我们需要给他们加上一个循环脚本,让他们能读到所有文件名,代码如下: 2 X+ ?: Z0 \/ O, F+ x& t$ c
" a# P5 e& v* N% j1 D
引用
. B C$ _0 G1 ~' t5 Q& P' o7 J8 Fidstring " PSH" - M5 O5 b1 C7 l r8 x) x* I* H9 A
get UNK1 long 8 F, }' w/ U/ A/ [
get FILES long 3 N* R n1 j2 N& I( }2 }6 ]" g
get NULL1 long " k5 o! n! @2 O1 w
for i = 0 < FILES
* X. n! U; r* _. q* kgetdstring NAME 0x80
6 P9 G1 p7 X. b6 ?: hget UNK2 long
4 Z* r' i2 h6 V6 u& w! |6 Pget UNK3 long 3 W$ s' \ i0 P0 C+ c% Y/ q
get UNK4 long
8 V+ z$ f9 g% W3 j8 s. Nnext i
1 T2 m: g' j7 O1 d- ?; S2 A: ~8 @7 y. F8 C* f
3 h) _- U+ Q# W1 \: K6 n" r
即使加了循环,我们还是没有能保存出文件,因为还没有加入log保存命令。 0 v2 u: F; L5 G5 Y( a$ K
hoho,天亮了,暂时分析到这里。
. h4 u4 l' @- v, e5 w3 J最终代码如下。已经可以解包所有hsp文件喽: * I+ `- c( m# ^, C5 p' i
9 y7 t9 x7 j' b, l引用
' k! h: L$ S) b7 @8 m: E6 E/ Bidstring " PSH"
7 Q# U2 n4 N3 Y4 O. @get UNK1 long 4 V0 C+ ~' M7 o) P
get FILES long : ^9 D ?7 o" D- V6 S
get NULL1 long 3 X& W) r$ r2 b6 j! U$ Z: D( {
for i = 0 < FILES / A7 F! s; O+ k
getdstring NAME 0x80 % Y; A2 f4 u9 d1 R% \6 h5 g
get ZSIZE long 5 z2 n, s0 p+ y }- q7 s% N7 R
get SIZE long * ? S7 w) _: H* d
get OFFSET long
, T+ l% s, m3 J! qclog NAME OFFSET ZSIZE SIZE 9 d j4 N' j7 f: b- j5 v: Q) i" r7 k
next i
1 W: {7 _- z% s$ Z8 b/ C* k3 l" f2 f6 n* W' m$ S
把上面的脚本保存后 & w* m0 R- Z, p' Z2 D
新建一个txt内容如下: H* w3 D2 k' ]
quickbms astro_hspfile.bms BoneObject.hsp .
7 v: G9 T; } U! U& g% a$ F* h注意保存最后的"."然后把内容保存为hsp_extractor.bat 2 m9 v$ ^# [6 I- h4 ^
之后运行hsp_extractor.bat就能看到解包后的结果啦。。
- j% \$ {( G* G+ |; N睡觉睡觉。。。 |
发表于 2009-7-31 21:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
很美好
很差劲
发表于 2009-8-27 09:06
