HANA5 游戏逆向

前言

某著名百合R18游戏
以前尝试逆过一次,半途而废了。今天想起来再逆一下,记录下逆向的过程。

游戏文件结构:
在这里插入图片描述

游戏资源extract

主要目标是弄明白游戏资源:SE、CG这些怎么加载解密的。

还是像万华镜那样下三个API断点:

在这里插入图片描述

以SE为例分析结构:

0~8:签名

0~54:固定结构的头部

剩下读的A0刚好读到这里:在这里插入图片描述

最后的65读到这里:

在这里插入图片描述

0~7:签名

0~53:固定长度头部

54~END1:

END1~END2:文件名,长度应该是来自0C处的值。

再看看MSD结构分析下:

0~7:签名

0~53:固定长度头部

54~END1:

END1~END2:文件名,长度来自0C 0D的WORD值。

08 09处的WORD指示的是END2结束后下一部分开始的位置。

先跟踪下DATA的读取调用,在sub_43C330(ReadHeader)

跟一跟sub_43C1A0看到对三种版本进行了判断:

在这里插入图片描述

HANA5对应的都是FJSYS,所以return 4。

可以看到这里就有0x54这个值(固定头部长度)出现了:

在这里插入图片描述

后面两段内容的读取就在这里:

在这里插入图片描述

调试了下,除了那个*(_DWORD *)(this+44)!=4不明所以外,其它就是原先想的那样,读取了后面两部分的内容。

掠过后面几个文件读取后,在这里发现了异样:

在这里插入图片描述

OP.MPG,但我搜索本地却没有这个文件🤔。内存中的也能这么读?(不行吧)

(嘶,
在这里插入图片描述

但是我看没引入CreateFileMapping啊。。。)

对应在这个函数sub_442BC0(CVideoPlayer::Play)

好吧,这里读取是失败了的。。。(突然想到可以自己放一个OP.MPG,楽)

在这里插入图片描述

对应的这里应该就是这个ogg:

在这里插入图片描述

可以跟ogg文件对比,格式是一样的:

在这里插入图片描述

对应的是BGM文件的01ED处:

在这里插入图片描述

也就是根本没有压缩,加密。。。服了。。。

提取出来看看。

01ED开始3D7C95字节。

确实能够成功播放:

在这里插入图片描述

逆天,小日子真就不加密的。。。

下面就是找一下对应的offset字段和size字段是在header哪里设置的。

现在回来看就很清楚了:

在这里插入图片描述

写个脚本全部提取出来。

import struct
filename = r"BGM"
with open(filename,"rb+") as f:data = f.read()start1 = 0x50
num = 0
size = []
offset = []
idx = data[start1+4]
while (1):size.append(struct.unpack('<I', data[start1+0x8:start1+0xC])[0])offset.append(struct.unpack('<I', data[start1+0xC:start1+0x10])[0])num += 1if(idx+8 != data[start1+4+0x10]):breakstart1 += 0x10idx = data[start1+4]print(num)def extract(offset,size,num):output = "M" + str(num).rjust(2,"0") + ".ogg"with open(output,"wb+") as f:f.write(data[offset:offset+size])print(f"[+] {num} : Done!")for i in range(1,num+1):extract(offset[i-1],size[i-1],i)

在这里插入图片描述

在这里插入图片描述

MSD的格式也是类似的:

在这里插入图片描述

只是不知道这MSD是啥。。

像是类似配置文件?

DATA也是一样,只是bmp的size是固定的:

在这里插入图片描述

稍微改改脚本就能提取:

import struct
filename = r"DATA"
with open(filename,"rb+") as f:data = f.read()start1 = 0x50
num = 0
size = []
offset = []
idx = data[start1+4]
while (1):size.append(struct.unpack('<I', data[start1+0x8:start1+0xC])[0])offset.append(struct.unpack('<I', data[start1+0xC:start1+0x10])[0])num += 1if num == 7:breakstart1 += 0x10print(num)def extract(offset,size,num):output = "M" + str(num).rjust(2,"0") + ".bmp"with open(output,"wb+") as f:f.write(data[offset:offset+size])print(f"[+] {num} : Done!")for i in range(1,num+1):extract(offset[i-1],size[i-1],i)

在这里插入图片描述

接下来就提取IMG,结构也是一样的。

只是注意到每个PNG前都有0x60 size的MGD文件(?)

稍微改下脚本:

import struct
filename = r"IMG"
with open(filename,"rb+") as f:data = f.read()start1 = 0x50
num = 0
size = []
offset = []
idx = data[start1+4]
while (1):size.append(struct.unpack('<I', data[start1+0x8:start1+0xC])[0])offset.append(struct.unpack('<I', data[start1+0xC:start1+0x10])[0])num += 1start1 += 0x10if start1>=0xC50:breakprint(num)def extract(offset,size,num):output = "M" + str(num).rjust(2,"0") + ".png"with open(output,"wb+") as f:f.write(data[offset+0x60:offset+size])print(f"[+] {num} : Done!")for i in range(1,num+1):extract(offset[i-1],size[i-1],i)

没问题,成功提取:

在这里插入图片描述

SE跟前面的BGM没啥区别,一样的提取:

import struct
filename = r"SE"
with open(filename,"rb+") as f:data = f.read()start1 = 0x50
num = 0
size = []
offset = []
idx = data[start1+4]
while (1):size.append(struct.unpack('<I', data[start1+0x8:start1+0xC])[0])offset.append(struct.unpack('<I', data[start1+0xC:start1+0x10])[0])num += 1start1 += 0x10if start1>=0xf0:breakprint(num)def extract(offset,size,num):output = "M" + str(num).rjust(2,"0") + ".ogg"with open(output,"wb+") as f:f.write(data[offset:offset+size])print(f"[+] {num} : Done!")for i in range(1,num+1):extract(offset[i-1],size[i-1],i)

在这里插入图片描述

至此,游戏资源的提取就弄明白了。(其余的格式不清楚,应该是引擎自己解析罢)

游戏进度存储

接下来我还想知道游戏进度是怎么存储的?

也就是这几个文件的结构:

在这里插入图片描述

GAME%d.SAV

打开游戏,点击start,会断在这里:

在这里插入图片描述

sub_415E70函数里

在这里插入图片描述

这里有个MD5校验?

所以每个SAVE开头的0x20就是md5 hash

在这里插入图片描述

调试看这里,很显然MD5两者是不匹配的。

在这里插入图片描述

是一个循环比对MD5,直至找到相同。

(所以感觉不应该点START,应该点LOAD。。。)

再点一遍LOAD,可以发现逻辑:

在这里插入图片描述

先加载第一页的SAV(尝试读取)114,我点了第二页又继续加载1528

在这里插入图片描述

我又重新保存了一个,发现这个MD5检测的可能是TIME,太久的SAVE就会不能加载。。。

紧接着后面有4个CFile::Read

  CFile::Read_sub_43B610(Buffer, 4u);CFile::Read_sub_43B610(lpBuffer, 0x40u);CFile::Read_sub_43B610(&nNumberOfBytesToRead, 4u);CFile::Read_sub_43B610(v17, 8u);

看SAVE文件像是用位图这种来保存每个场景的选择?

在这里插入图片描述

这里做个对比,LOAD 1过后,点击一次再保存。

发现唯一差异点:

在这里插入图片描述

但切换一个场景(图片变了)后,就有很大的差异

在这里插入图片描述

找找之前extract的bg14a,对应第8张

在这里插入图片描述

果然是

在这里插入图片描述

那存储逻辑到这里大概就明白了,还有很多细节没必要逆引擎的解析过程了。

CONFIG.SAV

最后关注一下这个CONFIG.SAV的逻辑

如果是START的话是这种:

在这里插入图片描述

所以我很感兴趣为什么我每点一个场景,切换都要读取一遍CONFIG.SAV?

这里也采取比较的方式。对于两个场景,比较CONFIG.SAV的区别。

注意到全部是1h大小的差异:

在这里插入图片描述

x32调试看看到底读取了CONFIG.SAV的什么?

跟到这里:

在这里插入图片描述

对应CONFIG.SAV的这里:

在这里插入图片描述

后面就是一堆奇奇怪怪的操作:

在这里插入图片描述

这里的v15 += 18也是往后移动72字节。

这里就当在计算一个不知道是什么鬼的值。。。

对于Sxxx这些段计算。

再后面的这里:

在这里插入图片描述

由黄色那句,知道v13往后移动72B,

可以看到这样一个结构刚好72字节:

在这里插入图片描述

关键是这个函数sub_447D10

里面用了SSE指令集,很难弄清楚在干啥。。。

在这里插入图片描述

。。。

但是问问GPT:

这段代码是一个函数 sub_447D10 的实现,功能是将一个 __m128 类型的数组从源地址 a2 复制到目标地址 a1,并且根据条件采用不同的复制方式。它包括了对内存对齐和性能优化的考虑,尤其是针对 SIMD 操作进行了优化。

该函数实现了一个高效的内存复制功能,支持标准和优化路径,根据内存对齐条件选择适当的复制方法。优化路径利用了 SSE 指令集,进行对齐的数据块复制,并采用流式存储和预取优化,旨在提高性能和减少缓存未命中的影响。

牛逼。。

就是复制。。。
GPT注释的代码:

__m128 *__cdecl sub_447D10(__m128 *a1, __m128 *a2, unsigned int a3)
{__m128 *result; // eax__m128 *v5; // ediunsigned int v6; // ecx__m128 v7; // xmm1__m128 v8; // xmm2__m128 v9; // xmm3__m128 v10; // xmm4__m128 v11; // xmm5__m128 v12; // xmm6__m128 v13; // xmm7unsigned int v14; // ecx__m128 *v15; // esi__m128 *v16; // ediunsigned int v17; // ecxunsigned __int64 v18; // mm1unsigned __int64 v19; // mm2unsigned __int64 v20; // mm3unsigned __int64 v21; // mm4unsigned __int64 v22; // mm5unsigned __int64 v23; // mm6unsigned __int64 v24; // mm7unsigned int v25; // ecxresult = a2;// Check if special conditions for optimized copy are metif ((byte_8347EC & 4) == 0 || a3 < 0x80 || ((unsigned __int8)a2 & 0xF) != 0 || ((unsigned __int8)a1 & 0xF) != 0){if ((byte_8347EC & 1) == 0 || a3 < 0x40 || ((unsigned __int8)a2 & 7) != 0 || ((unsigned __int8)a1 & 7) != 0){// Standard memory copy if conditions are not metresult = (__m128 *)a3;qmemcpy(a1, a2, a3);}else{// Optimized memory copy for 64-byte aligned and properly aligned memoryv15 = a2;v16 = a1;v17 = a3 >> 6;do{v18 = v15->m128_u64[1];v19 = v15[1].m128_u64[0];v20 = v15[1].m128_u64[1];v21 = v15[2].m128_u64[0];v22 = v15[2].m128_u64[1];v23 = v15[3].m128_u64[0];v24 = v15[3].m128_u64[1];v16->m128_u64[0] = v15->m128_u64[0];v16->m128_u64[1] = v18;v16[1].m128_u64[0] = v19;v16[1].m128_u64[1] = v20;v16[2].m128_u64[0] = v21;v16[2].m128_u64[1] = v22;v16[3].m128_u64[0] = v23;v16[3].m128_u64[1] = v24;v15 += 4;v16 += 4;--v17;}while (v17);// Handle any remaining bytes that don't fit into the 64-byte aligned blocksv25 = a3 & 0x3F;if ((a3 & 0x3F) != 0){do{v16->m128_i8[0] = v15->m128_i8[0];v15 = (__m128 *)((char *)v15 + 1);v16 = (__m128 *)((char *)v16 + 1);--v25;}while (v25);}_m_empty(); // Ensure all SSE operations are completed}}else{// Optimized memory copy with prefetch and streaming stores_ESI = a2;v5 = a1;v6 = a3 >> 7;do{__asm { prefetchnta byte ptr [esi] }v7 = _ESI[1];v8 = _ESI[2];v9 = _ESI[3];v10 = _ESI[4];v11 = _ESI[5];v12 = _ESI[6];v13 = _ESI[7];_mm_stream_ps(v5->m128_f32, *_ESI);_mm_stream_ps(v5[1].m128_f32, v7);_mm_stream_ps(v5[2].m128_f32, v8);_mm_stream_ps(v5[3].m128_f32, v9);_mm_stream_ps(v5[4].m128_f32, v10);_mm_stream_ps(v5[5].m128_f32, v11);_mm_stream_ps(v5[6].m128_f32, v12);_mm_stream_ps(v5[7].m128_f32, v13);_ESI += 8;v5 += 8;--v6;}while (v6);// Handle any remaining bytes that don't fit into the aligned blocksv14 = a3 & 0x7F;if ((a3 & 0x7F) != 0){do{v5->m128_i8[0] = _ESI->m128_i8[0];_ESI = (__m128 *)((char *)_ESI + 1);v5 = (__m128 *)((char *)v5 + 1);--v14;}while (v14);}_m_empty(); // Ensure all SSE operations are completed_mm_sfence(); // Ensure all stores are completed}return result;
}

那么就当作复制来看。

a2复制到a1

可以看到复制后就是一些位图的形式

在这里插入图片描述

总结来说就是对CONFIG.SAV的文件进行读取,复制,以一种位图的形式保存游戏状态。

到这里,大致也就逆的差不多了,至于游戏文件怎么加载,怎么解析,应该去看游戏引擎的源码,逆向的话就太繁杂了、也没必要。

总结

Nippon真就不加密???
记得以前逆XP3的时候,Nippon也是先加密再压缩。。。然后XP3的加密也仅仅是单字节异或。。😂

总结逆向过程就是:动静结合分析程序逻辑,结合文件结构推测结构体,找出规律后extract游戏资源。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/412828.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

稚晖君智元机器人远程机器人系列发布:引领具身智能新高度

在最近的发布会上&#xff0c;前华为“天才少年”稚晖君及其团队亮相了他们的最新作品——智元机器人的第二代远程机器人系列。这次发布会不仅展示了丰富的产品线&#xff0c;还揭示了其未来的发展路线以及开源计划。本文将详细解析本次发布会的亮点和技术背后的创新。 一、发…

Django国际化和本地化

【图书介绍】《Django 5企业级Web应用开发实战&#xff08;视频教学版&#xff09;》_django 5企业级web应用开发实战(视频教学版)-CSDN博客 《Django 5企业级Web应用开发实战&#xff08;视频教学版&#xff09;》(王金柱)【摘要 书评 试读】- 京东图书 (jd.com) 本节主要介…

【Go函数详解】二、参数传递、变长参数与多返回值

文章目录 一、传递参数1. 按值传参2. 引用传参2.1 特殊情况2.1.1 切片slice2.1.2 字典map 二、变长参数1. 基本定义和传值1.1 基本定义1.2 传值1.2.1 普通传值1.2.2 传递切片 2. 任意类型的变长参数&#xff08;泛型&#xff09; 三、多返回值1. 命名返回值 一、传递参数 1. 按…

customRef 与 ref

ref() 我们已经很熟悉了&#xff0c;就是用来定义响应式数据的&#xff0c;其底层原理还是通过 Object.defineprotpty 中的 get 实现收集依赖( trackRefValue 函数收集)&#xff0c;通过 set 实现分发依赖通知更新( triggerRefValue 函数分发 )。我们看看 ref 的源码就知道了 …

微气象在线监测系统:宏观层面的电网灾害预防和应急管理

微气象受局部地形&#xff08;如山谷、河谷&#xff09;、地物&#xff08;如建筑物、森林&#xff09;和地面条件&#xff08;如水面、农田&#xff09;的影响较大&#xff0c;而大范围气象环境则更多地受气候系统和天气模式的控制。输电线路微气象监测的主要目的是为了评估和…

YOLOv8环境搭建、创建数据集、训练推理教程(超级详细)

yolov8和yolov10 是一个流派&#xff0c;和yolov5区别还挺大&#xff0c;所以尝试使用yolov8来进行模型训练&#xff0c;下面是详细使用流程&#xff1a; 一、环境搭建 1.1 Anaconda安装 Anaconda是一个强大的开源数据科学平台,它将很多好的工具整合在一起&#xff0c;极大地…

华为海思招聘-芯片与器件设计工程师-数字芯片方向- 机试题——(共九套)(每套四十题)

华为海思招聘-芯片与器件设计工程师-数字芯片方向- 机试题-题目分享——共九套&#xff08;每套四十题&#xff09; 岗位——芯片与器件设计工程师 岗位意向——数字芯片 真题题目分享&#xff0c;完整版带答案(有答案和解析&#xff0c;答案非官方&#xff0c;未仔细校正&am…

论文阅读:VideoMamba: State Space Model for Efficient Video Understanding

论文地址&#xff1a;arxiv 摘要 为了解决视频理解中的局部冗余与全局依赖性的双重挑战。作者将 Mamba 模型应用于视频领域。所提出的 VideoMamba 克服了现有的 3D 卷积神经网络与视频 Transformer 的局限性。 经过广泛的评估提示了 VideoMamba 的能力&#xff1a; 在视觉领…

Hbuilder创建的项目(uniApp + Vue3)中引入UnoCSS原子css引擎

这里是UnoCSS的官网介绍 UnoCS通过简化和优化CSS的编写过程来提高Web开发的效率和可维护性。好处是&#xff1a; 提升开发效率提升开发效率提高一致性增强灵活性易于维护方便的集成与配置 同时还支持预设变量和规则。这些可参看官网进行配置。Unocss通过其原子化方法、高度的…

第二证券:静态市盈率与动态市盈率有什么区别?

市盈率&#xff08;PE&#xff09;&#xff0c;是指投资者愿意为每一元净利润所支付的价格。 股票的市盈率股票价格&#xff08;P&#xff09;/每股净利润&#xff08;EPS&#xff09;&#xff0c;或者用公司其时总市值/公司上一年总净利润。 动态市盈率与静态市盈率的区别&a…

<数据集>遥感航拍飞机和船舶和识别数据集<目标检测>

数据集格式&#xff1a;VOCYOLO格式 图片数量&#xff1a;19973张 标注数量(xml文件个数)&#xff1a;19973 标注数量(txt文件个数)&#xff1a;19973 标注类别数&#xff1a;2 标注类别名称&#xff1a;[ship,plane] 序号类别名称图片数框数1ship17575416292plane239815…

对比 PDAF、CDAF 和 LAAF 自动对焦技术

深入解析相位检测自动对焦&#xff08;PDAF&#xff09; 相位检测自动对焦&#xff08;PDAF&#xff0c;Phase Detection Auto Focus&#xff09;是一种高效的自动对焦技术&#xff0c;广泛应用于现代数码相机、无反相机和智能手机摄像头中。为了更好地理解 PDAF&#xff0c;我…

基于协同过滤算法的电影推荐系统的设计与实现(论文+源码)_kaic

摘 要 现在观看电影已逐渐成为人们日常生活中最常见的一种娱乐方式&#xff0c;人们通常会在周末或在休息、吃饭时间不由自主地在各种视频软件中搜索当前火热的影视节目。但是现在的视频软件电影推荐功能不够完善&#xff0c;所以需要开发出一套系统来使用户只需要简单操作就能…

华为云征文|部署私有云和文档管理系统 Kodcloud

华为云征文&#xff5c;部署私有云和文档管理系统 Kodcloud 一、Flexus云服务器X实例介绍1.1 云服务器介绍1.2 应用场景1.3 对比普通ECS 二、Flexus云服务器X实例配置2.1 重置密码2.2 服务器连接2.3 安全组配置 三、部署 Kodcloud3.1 Jellyfin 介绍3.2 Docker 环境搭建3.3 Jell…

【智能算法改进】路径规划问题的多策略改进樽海鞘群算法研究

目录 1.算法原理2.改进点3.结果展示4.参考文献5.代码获取 1.算法原理 【智能算法】樽海鞘群算法&#xff08;SSA)原理及实现 2.改进点 无标度网络策略 复杂网络在图论中可以用边和节点表示&#xff0c; Barabasi 等于1999年通过分析大量的数据提出了无标度网络模型. 该网络…

人像比对-人证比对-人脸身份证比对-人脸身份证实名认证-人脸三要素对比-实人认证

​ 人证比对API接口&#xff0c;全称为人脸身份证比对API接口&#xff0c;也被称为人脸实名认证API接口或实人认证API接口。这种接口服务主要用于将提供的人脸图片和对应的身份证照片、姓名、身份证号码进行比对&#xff0c;以此验证用户的身份。以下是关于人证比对API接口的详…

[易聊]软件项目测试报告

一、项目背景 随着互联网发展&#xff0c;各种各样的软件&#xff0c;比如游戏、短视频、购物软件中都有好友聊天功能&#xff0c;这是一个可在浏览器中与好友进行实时聊天的网页程序。“ 易聊 ”相对于一般的聊天软件&#xff0c;可以让用户免安装、随时随地的通过浏览器网页…

UDP英译汉网络词典

这里我们用UDP实现一个简单的英译汉小词典。我们还是仿照前一篇的UDP编程&#xff0c;将各自的组件封装起来&#xff0c;实现高内聚低耦合。 一. 字典翻译功能实现 首先我们将我们的字典知识库放在txt文本中。 apple: 苹果 banana: 香蕉 cat: 猫 dog: 狗 book: 书 pen: 笔 ha…

浮毛粘毛器可以彻底去除吗?独家揭秘值得入手浮毛空气净化器

有没有养猫五年以上还是单猫的铲屎官&#xff1f;能不能分享一下怎么才能控制住不养新猫。 从我养第一只猫开始&#xff0c;每次看到别人家的小幼猫&#xff0c;就控制不住的想养。到现在&#xff0c;家里已经有了7只猫&#xff0c;而前段时间楼下那只小三花又差点让我破例。不…

Keil5 Debug模式Watch窗口添加的监控变量被自动清除

Keil5 Debug模式Watch窗口添加的监控变量被自动清除 问题解决记录 问题描述&#xff1a;每次进入Debug模式时&#xff0c;watch窗口里面上一次调试添加的监控变量都会被全部清掉 如图&#xff1a; 退出Debug模式后&#xff0c;重新进入Debug模式&#xff1a; 解决方法&…