坎达拉克沙吧 关注:205贴子:6,321
我主要借助两个工具来完成逆向:FCEUX和IDA Pro。
前者是一个专业的NES ROM模拟器,除了可以用它爽玩红白机游戏之外,还可以进行断点调试、内存监视和修改、PPU查看等高级工作。后者则是一个功能强大的反汇编器,配合NESLDR插件和NES Bankswitch插件,可以比较准确地将NES ROM文件(*.nes文件)反汇编为MOS 6502汇编代码。
《嘉蒂外传》的ROM文件大小为128KB,采用UNROM(2号Mapper)。这意味着该游戏没有CHR-ROM,而其PRG-ROM分为8页,每页16KB。第8页始终固定在ROM的$C000~$FFFF区域,第1~7页需要按照需求,随时加载入ROM的$8000~$BFFF区域,这个过程就叫做换页。
UNROM的卡带电路一般是使用一片74HC161四位二进制计数器和一片74HC32四组二输入或门组成,当然这不是重点。使用汇编代码换页的方式很简单,只要向$8000~$FFFF区域写入1个字节即可,该字节的低3位就确定了将哪一页换入。
前者是一个专业的NES ROM模拟器,除了可以用它爽玩红白机游戏之外,还可以进行断点调试、内存监视和修改、PPU查看等高级工作。后者则是一个功能强大的反汇编器,配合NESLDR插件和NES Bankswitch插件,可以比较准确地将NES ROM文件(*.nes文件)反汇编为MOS 6502汇编代码。
《嘉蒂外传》的ROM文件大小为128KB,采用UNROM(2号Mapper)。这意味着该游戏没有CHR-ROM,而其PRG-ROM分为8页,每页16KB。第8页始终固定在ROM的$C000~$FFFF区域,第1~7页需要按照需求,随时加载入ROM的$8000~$BFFF区域,这个过程就叫做换页。
UNROM的卡带电路一般是使用一片74HC161四位二进制计数器和一片74HC32四组二输入或门组成,当然这不是重点。使用汇编代码换页的方式很简单,只要向$8000~$FFFF区域写入1个字节即可,该字节的低3位就确定了将哪一页换入。
输入上一楼所示的密码后,我们来到了一个房间,同时嘉蒂的各项参数也填充完毕。按Select键,查看详细信息。
我们按照从上到下、从左到右的顺序,解读各项参数。因为密码必然与这些参数之中的某个子集有关联。
(1) SC:分数,范围[0, 9999990]。在游戏中不会出现不是整10的分数值;
(2) CHIP:能量值,范围[0, CHIP_MAX]。发射特殊武器一般都会消耗该值;
(3) SHOT:特殊武器数量,一般由CHIP_MAX和USE_CHIP共同决定;
(4) 心形:HP值和HP槽,在正常游戏的情况下,HP槽长度的取值范围[8, 32]。心形右方的数字则是当前HP值,用槽中蓝色区域表示;
(5) AREA:区域编号,范围[0, 10],一般由X、Y共同决定;
(6) X、Y:当前坐标,在正常游戏的情况下,范围均为[0, 23]。其下方就是游戏地图,其左上角坐标为(0,0),右下角为(23,23),也就是X轴正方向向下,Y轴正方向向右;
(7) KEY:钥匙,一共有7把(图中取得了4把)。每取得一把新的钥匙,就可以进入对应的传送门,地图的可探索区域也相应变大;
(8) CHIP_MAX:最大能量值,达到一定分数或得到宝物可以提升,在正常游戏的情况下,其级别从低到高为:50、100、150、200、400、800、1200、1600、2400、4000;
(9) ATTACK和SHIELD:攻击力、防御力,分别用枪和盾的数量表示,前者范围[1,4],后者范围[0,7];
(10) WEAPON_POWER和USE_CHIP:当前选中的特殊武器的等级,以及单发该武器消耗的能量值。等级也可以由下方的武器图标颜色看出,蓝色为1级,绿色为2级,紫色为3级;
(11) 特殊武器列表:目前拥有的所有特殊武器及其等级,还没有得到(0级)的就不会出现。一般来讲,将第一行的4个(全向弹、侧面波、正面波、防护球)简称为1~4号武器,将第二行的5个(榴弹、火球、双子弹、旋转弹、激光)简称为5~9号武器,将第三行的3个(正面光剑、侧面光剑、EE弹)简称为10~12号武器。12号武器EE弹比较特殊,采用计数的方式,使用它不消耗能量值,其等级也只有1级。
我们按照从上到下、从左到右的顺序,解读各项参数。因为密码必然与这些参数之中的某个子集有关联。
(1) SC:分数,范围[0, 9999990]。在游戏中不会出现不是整10的分数值;
(2) CHIP:能量值,范围[0, CHIP_MAX]。发射特殊武器一般都会消耗该值;
(3) SHOT:特殊武器数量,一般由CHIP_MAX和USE_CHIP共同决定;
(4) 心形:HP值和HP槽,在正常游戏的情况下,HP槽长度的取值范围[8, 32]。心形右方的数字则是当前HP值,用槽中蓝色区域表示;
(5) AREA:区域编号,范围[0, 10],一般由X、Y共同决定;
(6) X、Y:当前坐标,在正常游戏的情况下,范围均为[0, 23]。其下方就是游戏地图,其左上角坐标为(0,0),右下角为(23,23),也就是X轴正方向向下,Y轴正方向向右;
(7) KEY:钥匙,一共有7把(图中取得了4把)。每取得一把新的钥匙,就可以进入对应的传送门,地图的可探索区域也相应变大;
(8) CHIP_MAX:最大能量值,达到一定分数或得到宝物可以提升,在正常游戏的情况下,其级别从低到高为:50、100、150、200、400、800、1200、1600、2400、4000;
(9) ATTACK和SHIELD:攻击力、防御力,分别用枪和盾的数量表示,前者范围[1,4],后者范围[0,7];
(10) WEAPON_POWER和USE_CHIP:当前选中的特殊武器的等级,以及单发该武器消耗的能量值。等级也可以由下方的武器图标颜色看出,蓝色为1级,绿色为2级,紫色为3级;
(11) 特殊武器列表:目前拥有的所有特殊武器及其等级,还没有得到(0级)的就不会出现。一般来讲,将第一行的4个(全向弹、侧面波、正面波、防护球)简称为1~4号武器,将第二行的5个(榴弹、火球、双子弹、旋转弹、激光)简称为5~9号武器,将第三行的3个(正面光剑、侧面光剑、EE弹)简称为10~12号武器。12号武器EE弹比较特殊,采用计数的方式,使用它不消耗能量值,其等级也只有1级。
好了,总结一下,我们刚才输入的密码为:
7AO5 1M!Z zf!M 18WE
6nYZ 8JQc JagS fYHA
对应的状态是:
分数678110,能量1200/1200,HP槽17/17。位置是0号区域,坐标(16,9)。攻击力3,防御力5。拥有1号~4号钥匙。1~11号武器的等级分别为3、2、2、3、2、2、1、2、2、2、2,12号武器数量为114。
下面,我们需要借助内存监视和修改的方式,一一确定这些数据分别存储在RAM中的哪些位置,这样才可以推断出生成密码的逻辑藏在哪里。这项工作有些类似于用金山游侠改经验值,但更加艰苦和繁琐。为了避免篇幅过长,这里稍作叙述,然后给出各项数据的内存映射关系。
7AO5 1M!Z zf!M 18WE
6nYZ 8JQc JagS fYHA
对应的状态是:
分数678110,能量1200/1200,HP槽17/17。位置是0号区域,坐标(16,9)。攻击力3,防御力5。拥有1号~4号钥匙。1~11号武器的等级分别为3、2、2、3、2、2、1、2、2、2、2,12号武器数量为114。
下面,我们需要借助内存监视和修改的方式,一一确定这些数据分别存储在RAM中的哪些位置,这样才可以推断出生成密码的逻辑藏在哪里。这项工作有些类似于用金山游侠改经验值,但更加艰苦和繁琐。为了避免篇幅过长,这里稍作叙述,然后给出各项数据的内存映射关系。
以坐标为例。在密码输入框打32个字母J(这是一个著名的故障密码),进入游戏之后,嘉蒂位于(12,23)处。打开FCEUX的RAM Search工具,查找目前X坐标的值12,找到了6项。然后控制嘉蒂向上移动1格,向左移动2格,来到(10,22)处。
可见,$0052处的值恰好由12变成了10。重复一次上面的过程,也可以看到$0053处的值恰好由23变成了22。作多次重复实验,就基本可以断定$0052存储当前X坐标,$0053存储当前Y坐标。
另外,我们还可以通过已有的金手指来更方便地推断某些数据项的内存地址。例如获得所有钥匙的秘籍“04B0-01-FF”,可得知钥匙数据存储在$04B0处。但钥匙只有7把,一个字节却有8bit。再次打开FCEUX的RAM Watch工具,经过试验就可以断定,$04B0的最高位无效,低7位分别存储7~1号钥匙的拥有情况。
可见,$0052处的值恰好由12变成了10。重复一次上面的过程,也可以看到$0053处的值恰好由23变成了22。作多次重复实验,就基本可以断定$0052存储当前X坐标,$0053存储当前Y坐标。
另外,我们还可以通过已有的金手指来更方便地推断某些数据项的内存地址。例如获得所有钥匙的秘籍“04B0-01-FF”,可得知钥匙数据存储在$04B0处。但钥匙只有7把,一个字节却有8bit。再次打开FCEUX的RAM Watch工具,经过试验就可以断定,$04B0的最高位无效,低7位分别存储7~1号钥匙的拥有情况。
当然,上面说起来简单,但工作量还是很大的。经过非常多次的重复验证之后,我们可以得出游戏数据的内存映射关系如下。
$0046——能量值上限等级。这个等级与最大能量值一一对应,比如0级=>50、1级=>100、3级=>200、6级=>1200等等。
$0047、$0048——最大HP格数、实际HP格数。
$004A、$004B——攻击力、防御力。
$004C、$004D——当前能量值,前者为低字节,后者为高字节。
$004E、$004F——最大能量值,前者为低字节,后者为高字节。
$006B——主武器射击速率。前文中未出现过,可以通过宝物提高,范围[0,5]。
$0052、$0053——X坐标、Y坐标。
$0170~$0175——分数。$0170代表百万位,$0171代表十万位……$0175代表十位。
$04AC~$04AE——特殊武器的等级。每2bit存储一种武器的等级(除12号武器外,它只用1bit)。从每个字节的高位向低位计,$04AC=>4、3、2、1号武器等级,$04AD=>8、7、6、5号武器等级,$04AE=>12、11、10、9号武器等级。
$04AF——12号武器的数量。
$04B0——拥有的钥匙。从低位向高位计,每个比特分别代表是否拥有1~7号钥匙,最高位不用。
上面这些内容是整个逆向破解工作的基础,下面就进入汇编代码的世界。
$0046——能量值上限等级。这个等级与最大能量值一一对应,比如0级=>50、1级=>100、3级=>200、6级=>1200等等。
$0047、$0048——最大HP格数、实际HP格数。
$004A、$004B——攻击力、防御力。
$004C、$004D——当前能量值,前者为低字节,后者为高字节。
$004E、$004F——最大能量值,前者为低字节,后者为高字节。
$006B——主武器射击速率。前文中未出现过,可以通过宝物提高,范围[0,5]。
$0052、$0053——X坐标、Y坐标。
$0170~$0175——分数。$0170代表百万位,$0171代表十万位……$0175代表十位。
$04AC~$04AE——特殊武器的等级。每2bit存储一种武器的等级(除12号武器外,它只用1bit)。从每个字节的高位向低位计,$04AC=>4、3、2、1号武器等级,$04AD=>8、7、6、5号武器等级,$04AE=>12、11、10、9号武器等级。
$04AF——12号武器的数量。
$04B0——拥有的钥匙。从低位向高位计,每个比特分别代表是否拥有1~7号钥匙,最高位不用。
上面这些内容是整个逆向破解工作的基础,下面就进入汇编代码的世界。
使用IDA Pro打开《嘉蒂外传》的ROM文件,用Bankswitch插件调入PRG-ROM的第4页,定位到$83B0处,开始读代码。
开头的几句话是一个循环,索引寄存器Y作为计数器使用。该循环运行16次,每次将$(049F+Y)中的内容复制到$(0438+Y)中。也就是说,$04A0~$04B0中的内容被复制到了$0439~$0449中。这样,$0445~$0447中存储有武器等级,$0448中存储有12号武器数量,$0449中存储有钥匙信息。
从“LDA byte_46”到“ROL byte_441”这一段中的9条指令又完成了一项功能。它先将[$0046](能量值上限等级)存入累加器A中,然后每次将A算术右移一位,[$0441]循环左移一位,共4次。这样,能量值上限等级就被倒序存入了$0441的低4位。
开头的几句话是一个循环,索引寄存器Y作为计数器使用。该循环运行16次,每次将$(049F+Y)中的内容复制到$(0438+Y)中。也就是说,$04A0~$04B0中的内容被复制到了$0439~$0449中。这样,$0445~$0447中存储有武器等级,$0448中存储有12号武器数量,$0449中存储有钥匙信息。
从“LDA byte_46”到“ROL byte_441”这一段中的9条指令又完成了一项功能。它先将[$0046](能量值上限等级)存入累加器A中,然后每次将A算术右移一位,[$0441]循环左移一位,共4次。这样,能量值上限等级就被倒序存入了$0441的低4位。
接下来,将[$0447]与#7FH做逻辑与运算,将其最高位置0。这是显而易见的:$0447中存有12~9号武器的等级,但12号武器仅需要1位就可以记录,因此要将最高位置0。
然后,将[$0047](最大HP量)与#FFH相比较,如果相等的话,要将其值改为0,否则不用更改。前面说过,这个值是HP槽格数乘8得来,而最大值是32*8=256。显然,一个字节是无法表示256的,因此必须要用0来表示最大值。
继续向下看。
将A与[$006B](主武器射击速率)做或运算。由于[$0447]最小值为8,因此并不需要低3位来记录,将[$006B]嵌到它的后面,实在是再合适不过了。这两项数据就被存储到了$044A处。
做个标记。我们现在已经读完了“STA byte_44A”这一句,已经明确的数据项有:武器等级、EE弹数、钥匙信息、能量值上限、最大HP量、主武器射击速率。
然后,将[$0047](最大HP量)与#FFH相比较,如果相等的话,要将其值改为0,否则不用更改。前面说过,这个值是HP槽格数乘8得来,而最大值是32*8=256。显然,一个字节是无法表示256的,因此必须要用0来表示最大值。
继续向下看。
将A与[$006B](主武器射击速率)做或运算。由于[$0447]最小值为8,因此并不需要低3位来记录,将[$006B]嵌到它的后面,实在是再合适不过了。这两项数据就被存储到了$044A处。
做个标记。我们现在已经读完了“STA byte_44A”这一句,已经明确的数据项有:武器等级、EE弹数、钥匙信息、能量值上限、最大HP量、主武器射击速率。
下面还有一大段,从“byte_170”、“byte_171”等可以直观判断出,这是对分数进行操作的逻辑。鉴于它的下面就是RTS了,那么加油把它分析完吧,当然后面的事情更多。
从“LDA byte_170”到“STA byte_44D”,完成如下的工作:将[$0170]存入$0019,[$0171]存入$0018,[$0172]存入A,调用子程序loc_844D,然后把结果存入$044D中。那么,来看这段子程序,它处理分数的十进制高3位。
这段代码看起来比较复杂,因为十进制运算用汇编代码来表达,一般都要用位移运算来凑出。如果记[$0171]为α,[$0172]为β,[$0173]为γ,那么这段子程序执行完毕之后,A = (100 * α + 10 * β + γ) mod 256。
大家可以模拟算一下上面的ASL和ROL指令,可以分别凑出整的100倍和10倍。另外,由于一个字节的最大值是#FFH,因此这里只能剩下模256之后的余数。这个结果被存入了$044D,我们把这个值叫做“分数的高3位余数”。
从“LDA byte_170”到“STA byte_44D”,完成如下的工作:将[$0170]存入$0019,[$0171]存入$0018,[$0172]存入A,调用子程序loc_844D,然后把结果存入$044D中。那么,来看这段子程序,它处理分数的十进制高3位。
这段代码看起来比较复杂,因为十进制运算用汇编代码来表达,一般都要用位移运算来凑出。如果记[$0171]为α,[$0172]为β,[$0173]为γ,那么这段子程序执行完毕之后,A = (100 * α + 10 * β + γ) mod 256。
大家可以模拟算一下上面的ASL和ROL指令,可以分别凑出整的100倍和10倍。另外,由于一个字节的最大值是#FFH,因此这里只能剩下模256之后的余数。这个结果被存入了$044D,我们把这个值叫做“分数的高3位余数”。
完全看不懂,96的路过
