这篇是网络上找到的QuickBMS实战例子。3 ~9 [% g" W: F3 d
, x3 S) {( p, r( c# C$ v8 @3 G
. W( i* H( z8 ]$ L3 m# }; M这几天的发现太惊人了。。。XeNTax才是mghack的最终目标。。一个坚持了20年的组织。 8 F' }* ?3 f( e
不多说了。。以AR为例子,讲解一下这个强大的通用解包器吧。。 ; G) Q. ^0 W- K# A
8 A0 l+ l% b$ J0 P准备工具:
! d2 [" [- ^7 {1.UE(或者其他hex编辑器)
8 R, c8 g" Y/ m. v4 _: e2.QuickBms(这才是主角) ( Z3 O* P8 v) ]: n( M
3.AstroRanger这个游戏的hsp资源文件(我们这里以附件中的BoneObject.hsp为例)
) U3 B4 M6 q3 f k" U- A
& r' a6 T; A1 v, X v7 H4 B4 a教程开始: 6 x+ Q4 s& R; K8 I y
1.首先在c:盘创建一个TEST目录,把QuickBMS和BoneObject.hsp放进游戏目录,准备研究解包。 , ^" W! z/ o5 h1 T$ }8 y a# d
2.创建一个新文本文档,命名为Astro_hspfile.bms,保存到同样目录下。 9 x: t6 N) P1 i& @- }
, q+ A( b7 L# M9 l
' T0 E7 H5 d# r: M3.用十六进制编辑器打开BoneObject.hsp,我们将对这个文件进行分析。 , ^9 ^# i3 }! i3 o
% i- [7 B% k! J* A* Z
8 V* ?/ N; h( w7 g我们在编辑器的右边看到一些类似文件名的文本。这说明AR对文件名并没有进行加密。 * G; h/ @- `3 I; I _- M
好了,别急着高兴,冷静分析出这个文件的打包方式才是我们的主题。 + F! h6 V" H) y, P# V# O9 |0 f
首先看到前4个字节20 50 53 48 或者 “ PSH”,倒转过来就是HSP加一个空格, : i" K9 j2 h3 g# U* n' f* k+ m
一般windows的文件都会在文件前N个字节做上“ID记号”,这个“ PSH”就是hsp文件的"ID记号".
+ k7 r9 _6 n" K用记事本打开Astro_hspfile.bms,我们写上脚本的第一行代码^_^.
) Y! e; ^2 j, z6 H4 |# x7 p" M3 j5 m0 i
引用 $ p9 J `9 P& w2 w" r$ I; i& W1 Q- N% c
idstring " PSH"
6 `8 q" T. x% B% E
1 s2 J( E$ I5 L: ?! s2 w& g& z& E4 O* `这行代码的意思是“如果访问的文件的最开始不是' PSH'的话,那么就不会尝试去访问它了”
9 u$ l5 ]4 U3 G# V) l
/ h0 }! J* Z0 X3 }7 N/ L5 p好了,接下来我们找一些自己能看懂的东西,例如那些像是文件名的地方。
" X( y+ a( @' U类似Datas\Texture\BoneObject\npc_nagoya_octopus01_body.dds这样的文件名一共有4个。
) F% g8 ?+ K& A$ h' c7 j7 h- E1 Y+ [. O% b- M! N
喂,别老盯着那些文件名看了。就算一直看着他们,他们也不会自己蹦出来的。
8 ?# ^. {% H6 [! @5 y; N: q+ Z我们回到文件头那里继续,之后的4个字节01 00 00 00,经过倒转字节后就是00 00 00 01,也就是1。 % |, i9 t+ x) y: r" B0 C4 n+ p& q
到这里我们好像没有什么和1有关的信息,暂时把它定义为“未知字节(unknow)”吧。 + J/ b1 l% q9 F
于是我们应该在bms文件里写上这么一句代码:
1 _, m0 S8 C% W+ u& u
" }3 I, E2 ^1 S4 t$ G( h引用 ( j ?9 T9 {. _& R+ E- B% q$ A
get UNK1 long
) Q; |0 f! R. ]8 a8 o
5 n) J/ a8 j9 }9 h0 o5 E这句的意思,就是从文件中获取4字节保存到变量“UNK1”中。
' H9 l9 ^9 ^1 M7 x; R! f
' v0 `# A3 ` ?% U% P: a& x继续。。后4个字节是04 00 00 00,倒转后是00 00 00 04也就是4。
, m# o& f4 a1 y2 x l( b- _很眼熟吧,没错,刚才我们看到4个文件名,那么基本可以确定这个4就是“文件数量”了。 7 A. D5 e+ i4 I5 Z% v8 o3 u
所以我们得把这个好消息同样告诉"BMS". + ^- {5 N M" q$ G
- \. ]$ G# b# w- \9 ~/ J/ h引用
* G) m! a. @8 nget FILES long
* N$ O, n# ? S$ @# v' b$ `" Y" D3 l) W* W
( n+ A" x% u& N+ G( | S
之后是4个00 00 00 00,这里得到的值是0, ( b A. p; T' l0 E4 r9 @
我们也不知道是做什么的,暂时设为NULL(空)吧
6 ?$ v$ ?8 }1 c* g, R# G( g6 J6 I! S% y8 [/ ]
引用
5 \' k3 x$ P: R) @' x( j9 pget NULL1 long , I9 f4 R1 L8 P+ ^, K1 W
1 {: | R9 H0 R6 ?4 |1 i
: J9 h& R7 B5 @1 ]8 v看到这里,接下来总算可以看文件名了。 - c9 E8 P, C3 j! i P1 Z1 u# [0 O
经过对比,每个文件名的文本加上其后的00一共是0x80也就是128字节.
f# }/ C; G; X% Y% v* Y& t所以我会写上这样一行代码: + B+ @* M) B& P
% \# m9 }# v8 L `! }7 [
引用 : l1 b$ c0 b ~( N
getdstring NAME 0x80 - a4 T6 K6 J. ~. I, h8 r
. R4 J2 o/ L5 t0 W意思是获取0x80字节保存到 文本型变量 NAME 中. ( @/ k* y- s; F! W
文本型变量在遇到00的时候会自动判断为文本结尾,所以文件名后的00都会在保存时候被自动删除^_^ ' Q; S; u3 X7 }" i9 M2 k
6 w5 L# W- F5 d" `* P; u
奇怪,在第一个文件名和第二个文件名之间还有3个LONG长度的字节, & m- K* ^4 B+ O" Q9 A
以之前解PAK的经验来看,这里一般都是文件开始位置、文件长度、文件加密key之类的东西, - I- i" ^: S6 W+ t7 D
但是我们现在还不清楚具体哪个是哪个,就暂时定义为“未知数据”吧。 2 U0 O5 P) ^ z- C, L4 _' {
$ H( J2 @. S4 O7 z0 Y+ G1 j引用 # Z i% C) O5 T( w! Z
get UNK2 long 9 M+ _& l; ^0 B
get UNK3 long
, E; ?+ [: K2 A/ o# ?/ D9 O oget UNK4 long + M6 ]) m4 }' K" p" D+ s7 Z3 w
; E( m+ t3 Y+ h% c" `9 W% ]5 i0 Q; F, @
到此为止我们已经初步了解了文件列表部分的循环结构了
- }0 x4 h4 r2 b( e: K6 u& J我们目前手头写的脚本代码如下: 0 C' K' [9 B0 x/ \
7 d7 \7 l0 A# j x$ C$ a; b r引用 , `' ^; K V+ [' W7 \% r- S1 e
idstring " PSH" / T& B- _- d& s! S4 F
get UNK1 long ' n/ d x' \8 u
get FILES long
# e! [# Y3 N6 v% N }' q- Jget NULL1 long 1 n0 A }7 B- |7 g$ b
getdstring NAME 0x80 ) x3 X! x3 `7 t4 T" H' y
get UNK2 long
1 a% z$ a) Z6 J( T& G/ }, l6 |9 _0 `get UNK3 long + S) I4 W" i% n
get UNK4 long
5 T& b& n- H9 `* I, a! z- \- S8 Y" U2 Z1 c
1 e# f% c# Z: o P, L# T' L2 n6 i* g光是上面的代码仅仅也就只能取到第一个文件名而已。 $ [3 g# D2 s& X3 t1 h
我们需要给他们加上一个循环脚本,让他们能读到所有文件名,代码如下: 5 k8 t* r" a; E/ J2 y% G. ?. g, M7 c2 ~
- _& p' X. A R' B
引用 8 `: k. A4 s8 {1 X+ k: r6 |. {
idstring " PSH" 2 T/ I6 l( _% ~" [0 ?; @
get UNK1 long
% {9 y$ C+ S9 t( f% X1 Yget FILES long
. Z X8 w" H; j Z2 c4 K& p$ Vget NULL1 long 4 F# l' K4 g0 x1 G( u
for i = 0 < FILES 0 v- g8 f$ h1 i }) c" ]
getdstring NAME 0x80
6 c+ G' h. `- q0 n1 w( m1 tget UNK2 long
0 t% d6 ~4 @* rget UNK3 long
' z. I) r3 t0 e |! F, Fget UNK4 long . [ g7 E5 ^, V: B; N" T1 L
next i
- a {0 x( f8 e1 e# F/ g5 V( c
1 P! ~; i" B' c; p- V! r0 t: a2 X# c' H6 ^$ I) `, l% b% z: J
即使加了循环,我们还是没有能保存出文件,因为还没有加入log保存命令。
0 g. `3 d0 J. ^( Bhoho,天亮了,暂时分析到这里。 ! e2 s5 [8 g9 d) i0 d
最终代码如下。已经可以解包所有hsp文件喽:
$ Y$ ? F( b' F. A) ^$ Z: g: l1 w* t" i3 U0 ^
引用 * s; u W0 m. l) D- r- y
idstring " PSH" . i! o4 d/ H! p* D8 I2 s: c
get UNK1 long
. l/ R. M' p& X" yget FILES long 7 k9 c% e. c, r* R) R% A1 y( W# R
get NULL1 long ( D3 [, V- k4 m N6 K& y( [
for i = 0 < FILES
- G: ?. M3 c' k9 y$ L/ `% |getdstring NAME 0x80
; i' C. a1 E+ N, @2 T$ |get ZSIZE long
# t T" ^$ m, x+ `get SIZE long
m* n! n! a [9 b1 j2 Jget OFFSET long 5 b5 s s! b# K7 p% x* J7 L) n
clog NAME OFFSET ZSIZE SIZE ' e+ K" l9 s* ~
next i
' P1 p" u5 v9 N8 Y* A% z# D, x) Y1 ^+ E4 _0 B0 `8 R
把上面的脚本保存后
: X) N- k7 T, ?新建一个txt内容如下:
2 Z) b. v2 k1 x7 Tquickbms astro_hspfile.bms BoneObject.hsp .
# [4 X, L! K7 T: Q$ h4 A# R/ C注意保存最后的"."然后把内容保存为hsp_extractor.bat 5 g8 A9 R3 X* C+ g% p& F- p
之后运行hsp_extractor.bat就能看到解包后的结果啦。。
$ r2 ]; M& n0 J' Y5 B* C& W睡觉睡觉。。。 |
发表于 2009-7-31 21:46
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
很美好
很差劲
发表于 2009-8-27 09:06
