关于静物2的分析

jinxin8866

00403CE0  |> /3B96 10110000    /cmp edx,dword ptr ds:[esi+1110]
2 m7 [) ~: A4 s0 n" `! w00403CE6  |. |1BC9             |sbb ecx,ecx
  A3 c3 z, }8 ^5 T7 j00403CE8  |. |23D1             |and edx,ecx
: a/ p( l0 y& {$ ?" o7 G& U00403CEA  |. |8B8E 0C110000    |mov ecx,dword ptr ds:[esi+110C]
00403CF0  |. |8A0C0A           |mov cl,byte ptr ds:[edx+ecx]
% B3 P6 T+ J; y; c) |, ]# u00403CF3  |. |3008             |xor byte ptr ds:[eax],cl                   ;  这个循环就是异或算法
00403CF5  |. |83C2 01          |add edx,1
6 R7 J2 p! J1 j8 C" M, a00403CF8  |. |83C0 01          |add eax,1
00403CFB  |. |83EF 01          |sub edi,1
& ~) \7 i  |" w; L00403CFE  |.^\75 E0            \jnz short SL2.00403CE0
0 M2 f# K" n( L  x$ R+ e

00401A42  |.  8D4C24 18        lea ecx,dword ptr ss:[esp+18]
00401A46  |.  51               push ecx
5 v+ S9 M$ f5 |6 Y00401A47  |.  8D4C24 24        lea ecx,dword ptr ss:[esp+24]
6 g7 S* q3 p2 G% _" I' G00401A4B  |.  C68424 58110000 >mov byte ptr ss:[esp+1158],1
00401A53  |.  C687 08010000 00 mov byte ptr ds:[edi+108],0
00401A5A  |.  E8 51240000      call SL2.00403EB0                           ;  读取字体函数的开始四个字节
00401A5F  |.  817C24 18 474D47>cmp dword ptr ss:[esp+18],42474D47          ;  此处可判断出开始的四个字节应该是魔幻数
+0 魔幻数
+4 段数，
下面开始是每段的头部
& b# }/ E4 c' `- `; @, W+46EE 正文
: H6 p: K. ]$ C0 d2 U5 S0 E% E" t, f% ]
0203DDE0  2F 45 58 54 44 41 54 41 53 46 4F 4E 54 2F 41 52  /EXTDATASFONT/AR
0203DDF0  49 41 4C 20 31 31 2E 45 4E 00                    IAL 11.EN.

0203DEE0              75 16 00 00 (EE 46) 00 00 2F 45 58 54      ..頕../EXT
0203DEF0  44 41 54 41 53 46 4F 4E 54 2F 41 52 49 41 4C 20  DATASFONT/ARIAL
0 }+ H2 ~, T* h' S; Q8 G0203DF00  31 32 2E 45 4E 00                                12.EN.
9 c- j2 G5 _. ~# I
9 s0 g# {% e; Y* B/ P2 C! w  }2 t9 r上面表中的数据除了括号中的(EE 46)，其余全部与解包后文件数据一致，
1675是这个段的长度，46EE是这个在文件中的偏移，每段偏移值的算法如下：
3 e1 M- `, h2 l
00401AE0  |> /899401 08010000  /mov dword ptr ds:[ecx+eax+108],edx         ;  edx=46ee
" ^% z0 S* \( ~! ]- E00401AE7  |. |8B06             |mov eax,dword ptr ds:[esi]                 ;  [esi]存放读取字符的地址
00401AE9  |. |039401 04010000  |add edx,dword ptr ds:[ecx+eax+104]
: B7 e2 ~) u; L00401AF0  |. |83C3 01          |add ebx,1
- n( |/ k" i9 H& j2 B( M& F( Y3 K* D/ [0 B00401AF3  |. |81C1 0C010000    |add ecx,10C
00401AF9  |. |3B5C24 14        |cmp ebx,dword ptr ss:[esp+14]              ;  [esp+14]=1C2
00401AFD  |.^\72 E1            \jb short SL2.00401AE0

shane007

首先对楼主的大力支持表示非常感谢！
想问一下，通过以上分析，能得出什么阶段性的结论吗？

shane007

或者说是否已经可以把字体文件的结构写出来了？

jinxin8866

Sl2fnt.dat文件格式分析如下：
+0 474D4742  这个魔幻数
; A7 L- f1 w# S7 @
5 o1 k7 {; m; ^. G+ t. I8 Z, C' K+4 C2010000  表示有01C2个文件
" d4 a9 D: |: |0 X0 O5 Y
+8 2F4558544441544153464F4E542F415249414C2031312E454E00
2 H% {. C0 C# ~7 D( |/EXTDATASFONT/ARIAL 11.EN.u
! v& q1 I$ {  v8 U3 e3 g& b( Q7 a这个应该是文件头部，ARIAL表示字体，EN表示英语 11表示字号

   751600 表示这个文件的大小
4 P0 B5 I: x4 w5 _( |5 Y
" G* {# i3 x# ]; E: O每个文件的偏移由上文中的最后那个函数得出
& a6 d! W* n9 P0 L1 n! p
; Z) s, l9 N5 ^" s+ e
" U; Z) ^. L# T4 W% y- E) R% w+46EE 此处开始是每个文件的正文

4 G2 y9 V$ K5 o+ z: ~如上面我举的这个例子，文件正文内容起始地址+46EE，
结束地址为+(46EE+1675)

shane007

这个其实不用分析，这个dat是个包文件，已经有解包器了啊。
- [5 G2 C: [$ k# \% f需要分析的是里面解出来的字体文件。字体文件的magic number是XCPK.

我想知道XCPK文件的结构。

shane007

http://aluigi.altervista.org/papers.htm
% Y* n. b& g6 [
这里有stilllife2 dat文件解包器，配合quickbms使用

jinxin8866

写屏函数：
02A0EA4C  |> /8B00        |/mov eax,dword ptr ds:[eax]
4 r2 h, f. O3 q- g02A0EA4E  |. |0FB70450    ||movzx eax,word ptr ds:[eax+edx*2]                    ;  [eax+edx*2]存放字符的UNICODE码
02A0EA52  |. |8B7C24 14   ||mov edi,dword ptr ss:[esp+14]
02A0EA56  |. |8B7F 2C     ||mov edi,dword ptr ds:[edi+2C]
02A0EA59  |. |8D04C0      ||lea eax,dword ptr ds:[eax+eax*8]
02A0EA5C  |. |8D0487      ||lea eax,dword ptr ds:[edi+eax*4]                     ;  eax存放字符编码表
每个字符码表占24（16进制）个字节
" j; V) R& [- Q$ M02A0EA5F  |. |8B7C24 0C   ||mov edi,dword ptr ss:[esp+C]
02A0EA63  |. |8D7C39 14   ||lea edi,dword ptr ds:[ecx+edi+14]                    ;  edi就是显存地址
. y! S( b/ a$ [- h! J02A0EA67  |. |D940 04     ||fld dword ptr ds:[eax+4]
% d! o/ M3 {& R: K9 Z. D2 c1 x02A0EA6A  |. |83C2 01     ||add edx,1                                              字符个数加一
02A0EA6D  |. |D95C24 30   ||fstp dword ptr ss:[esp+30]
02A0EA71  |. |D900        ||fld dword ptr ds:[eax]
& r+ }9 d8 Y* x* s9 x$ X" n02A0EA73  |. |D91F        ||fstp dword ptr ds:[edi]                              ;  edi就是显存地址
每个字符占1C个字节，最后的四个字节都是一样的，可以认为是结束标志
: {1 d! L5 E  X5 @. H02A0EA75  |. |D94424 30   ||fld dword ptr ss:[esp+30]
02A0EA79  |. |D95F 04     ||fstp dword ptr ds:[edi+4]
02A0EA7C  |. |8B7C24 0C   ||mov edi,dword ptr ss:[esp+C]
5 |2 _# r2 I7 V9 r+ w02A0EA80  |. |D940 04     ||fld dword ptr ds:[eax+4]
) c/ G  j1 D0 g: y. ~) ^02A0EA83  |. |8D7C39 30   ||lea edi,dword ptr ds:[ecx+edi+30]
; o, c0 E& I$ V0 `02A0EA87  |. |D95C24 30   ||fstp dword ptr ss:[esp+30]
02A0EA8B  |. |D940 08     ||fld dword ptr ds:[eax+8]
5 B  C0 P2 e, f. P02A0EA8E  |. |D91F        ||fstp dword ptr ds:[edi]
/ W$ K2 o6 l9 P. P3 J5 ^02A0EA90  |. |D94424 30   ||fld dword ptr ss:[esp+30]
02A0EA94  |. |D95F 04     ||fstp dword ptr ds:[edi+4]
02A0EA97  |. |8B7C24 0C   ||mov edi,dword ptr ss:[esp+C]
02A0EA9B  |. |D940 0C     ||fld dword ptr ds:[eax+C]
02A0EA9E  |. |8D7C39 4C   ||lea edi,dword ptr ds:[ecx+edi+4C]
02A0EAA2  |. |D95C24 30   ||fstp dword ptr ss:[esp+30]
5 y; t4 b2 d1 X) i0 r1 [$ r+ A$ F02A0EAA6  |. |D900        ||fld dword ptr ds:[eax]
02A0EAA8  |. |D91F        ||fstp dword ptr ds:[edi]
02A0EAAA  |. |D94424 30   ||fld dword ptr ss:[esp+30]
% |! c+ l1 |  d$ P+ F2 c6 |" \02A0EAAE  |. |D95F 04     ||fstp dword ptr ds:[edi+4]
  i0 h1 x' B0 q6 c02A0EAB1  |. |8B7C24 0C   ||mov edi,dword ptr ss:[esp+C]
02A0EAB5  |. |D940 0C     ||fld dword ptr ds:[eax+C]
: S! q+ \6 \/ ~+ _02A0EAB8  |. |8D7C39 68   ||lea edi,dword ptr ds:[ecx+edi+68]
5 u) h' ^# m9 Y) g4 V$ i02A0EABC  |. |D95C24 30   ||fstp dword ptr ss:[esp+30]
02A0EAC0  |. |83C1 70     ||add ecx,70
02A0EAC3  |. |D940 08     ||fld dword ptr ds:[eax+8]
02A0EAC6  |. |D91F        ||fstp dword ptr ds:[edi]
4 e3 Y" ~: y/ I& X+ ^02A0EAC8  |. |D94424 30   ||fld dword ptr ss:[esp+30]
9 n7 Q- h8 S7 d+ {/ i/ s02A0EACC  |. |D95F 04     ||fstp dword ptr ds:[edi+4]
( f! [8 P3 H6 W& _$ z02A0EACF  |. |8B46 58     ||mov eax,dword ptr ds:[esi+58]
02A0EAD2  |. |03C3        ||add eax,ebx
& D: p! r/ I# P# v. F6 h02A0EAD4  |. |3B50 08     ||cmp edx,dword ptr ds:[eax+8]
0 z1 m9 R) |2 [02A0EAD7  |.^\\0F8C 6FFFFF>|\\jl xcDxShad.02A0EA4C

6 U8 w$ F* s% ?& }' D- v; `本游戏字符编码采用UNICODE，
( t/ |" M1 n% X! _) Z& \3 ]& K对字符码表的操作：
10028807  |> /0FB702      /movzx eax,word ptr ds:[edx]        读字符的UNICODE码
4 n$ R1 m& D! ~9 [5 a$ u2 L1002880A  |. |8D04C0      |lea eax,dword ptr ds:[eax+eax*8]
' q( r( B. l% {, s" H* v1002880D  |. |8D0483      |lea eax,dword ptr ds:[ebx+eax*4]   根据UNICODE码求得字符码表的地址
10028810  |. |33C9        |xor ecx,ecx
( v' }5 @* i# [$ C10028812  |. |DB40 20     |fild dword ptr ds:[eax+20]
10028815  |. |D95C24 14   |fstp dword ptr ss:[esp+14]
1 g2 d2 f; V- Z0 D# A8 ^10028819  |. |D94424 14   |fld dword ptr ss:[esp+14]
% U- D% c" n& K6 E" D1 z- a1002881D  |. |D9C0        |fld st
1002881F  |. |D84E 14     |fmul dword ptr ds:[esi+14]
10028822  |. |D94424 0C   |fld dword ptr ss:[esp+C]
# z* ^4 r+ g4 p% E9 M10028826  |. |D9C0        |fld st
: n% n( J4 f4 i10028828  |. |DEC2        |faddp st(2),st
1002882A  |. |D9C9        |fxch st(1)
1002882C  |. |D95C24 14   |fstp dword ptr ss:[esp+14]
3 o, A7 J7 R! X0 X10028830  |. |D8D3        |fcom st(3)
9 Q. K6 ]6 {. \3 ?& `' ?10028832  |. |DFE0        |fstsw ax
10028834  |. |F6C4 01     |test ah,1
/ x8 h! C& [5 i  ^3 w8 s10028837  |. |74 2B       |je short xcEngine.10028864
0 l+ K* b6 \1 r! q/ A* G8 d10028839  |. |D94424 14   |fld dword ptr ss:[esp+14]
1002883D  |. |D8D3        |fcom st(3)
$ \: f; i) t+ ?( U1002883F  |. |DFE0        |fstsw ax
) Y6 L. H" U5 Q! ?, Y7 V10028841  |. |F6C4 41     |test ah,41
5 o+ r: j  c+ Y: m10028844  |. |7A 04       |jpe short xcEngine.1002884A
10028846  |. |DDD8        |fstp st
5 E7 Q+ {+ p5 q" }6 M& Q3 f# i10028848  |. |EB 1A       |jmp short xcEngine.10028864
1002884A  |> |D9C9        |fxch st(1)
$ P$ d: Z0 f, \2 g1002884C  |. |D8D3        |fcom st(3)
1002884E  |. |DFE0        |fstsw ax
10028850  |. |F6C4 05     |test ah,5
10028853  |. |7A 04       |jpe short xcEngine.10028859
10028855  |. |DDD9        |fstp st(1)
5 }2 e* E; X+ Z, n, s8 q. c/ d5 f10028857  |. |EB 0B       |jmp short xcEngine.10028864
- f2 r* n) L" [2 |' V2 z/ P10028859  |> |D9C9        |fxch st(1)
- }/ C9 s: ~5 ~# k* q+ Q% q1002885B  |. |D8DC        |fcomp st(4)
, z0 K0 r4 T% @1 H" D1002885D  |. |DFE0        |fstsw ax
: y! W+ J; c. V1 C1002885F  |. |F6C4 41     |test ah,41
/ I! o3 a3 R- P+ w10028862  |. |75 05       |jnz short xcEngine.10028869
10028864  |> |B9 01000000 |mov ecx,1
10028869  |> |85C9        |test ecx,ecx
2 z) k6 K, G3 L: m# t1002886B  |. |8B4424 18   |mov eax,dword ptr ss:[esp+18]
1002886F  |. |D940 14     |fld dword ptr ds:[eax+14]
- a# N/ R: `: G6 o10028872  |. |DECA        |fmulp st(2),st
% J" M" J8 b* G10028874  |. |DEC1        |faddp st(1),st
10028876  |. |D95C24 0C   |fstp dword ptr ss:[esp+C]
1002887A  |. |75 05       |jnz short xcEngine.10028881
# s/ u4 e3 `1 q1002887C  |. |834424 10 0>|add dword ptr ss:[esp+10],1
. X9 X/ ~) h. S% Z10028881  |> |83C2 02     |add edx,2
9 u* N" q( g. U8 a( R) j& _10028884  |. |83EF 01     |sub edi,1
10028887  |.^\\0F85 7AFFFF>\\jnz xcEngine.10028807
* ^2 g+ [) S! P4 r由于算法采用了浮点数指令，本人不太懂，边学习边研究中。。。。。。。。。

shane007

加油！UNICODE码内核的游戏？
* J/ I( o" d- o/ Z  l看来汉化有希望啊。

shane007

只要知道游戏读取字符图片以后，以何种格式，放到哪个内存地址。
即使我们无法解压字库，也可以通过内挂一个DLL,传入字符编码，把我们自己的字符图片写入对应的内存地址。从而达到汉化的目的。

jinxin8866

找到了内存中字库的地址，可在下面这个位置下断，
# ^0 p3 F$ t( d0 Q, v
02A0EA5C  |. |8D0487      ||lea eax,dword ptr ds:[edi+eax*4]                     ;  eax存放的就是字库的地址
2 E" H* ]" U' [( x1 u这个字库不是点阵的，经过修改，字符的形状可发生变化，应该是矢量字库