Reverse Engineering der NLT II

[cmfrydos]

Das Tool war der erste Google-Treffer auf meine Suche nach einem Watcom Disassembler. Wie gesagt, Assembler ist für mich Neuland. "Unter" C habe ich mich bisher nicht getraut. Daher kenne ich z.B. Ghidra gar nicht, aber sollte es mir wohl auch mal anschauen.

Ghidra stolpert ab und an über das Disassembly (keine Ahnung, welchen Ansatz die nutzen). Das Problem ist ja generell, dass man das richtige, echte Disassembly eigentlich erst zur Laufzeit bekommt, weil dann bei Sprüngen und Pointer-Aktionen die notwendigen Register-Inhalte gesetzt sind. Alles andere ist eigentlich kluges Raten.



Wie dem auch sei, im Großen und Ganzen passt der Code. Das Schöne ist, dass man durch den Code browsen kann. Z.B. einem Call folgen, schauen, an welchen Stellen auf eine Adresse geschrieben oder von ihr gelesen wird, etc.

Und es gibt auch die Möglichkeit, eine Konvertierung in eine mögliche C-Funktion zu machen. Die ist meistens ziemlich chaotisch und kompiliert garantiert nicht, aber Dinge wie if oder while kann man dann schon erkennen.




Lohnt sich also schon, da mal einzusteigen

Das sieht mal nach einer guten IDRE E aus ;D
Bisher mache ich das alles manuell. Schaue ich mir bald auf jeden Fall mal an. Wenn das mindestens genauso gut geht wie mit Notepad++ steige ich wahrscheinlich dann um.

Wäre schon cool, wenn man da irgendwie eine gemeinsame "Datenbasis" aufbauen könnte, und parallel über Git dran arbeiten kann. Also ähnlich wie bei BrightEyes, aber ersteinmal nur zur Analyse. Aber ich weiß noch nicht, ob das mit Ghidra gut geht. Auch das öffentliche Teilen der Disassembly halte ich für (rechtlich) schwierig, kann man daraus doch in Theorie die .exe rekonstruieren. Das Henne sich das getraut hat..

Da du jetzt den gleichen Output wie ich hast, brauche ich das nicht mehr teilen. Ich will dich nicht bremsen da ein Export Skript zu schreiben, aber vielleicht geht es leichter, wenn ich bei mir dann auch Ghidra einrichte.

Naja, also im Folgenden meine in den letzten Wochen gesammelten Adressen. Zum Automatisierten Parsen müsste man die unterschiedlichen Sektionen nochmal auseinandernehmen.
Zu den Adressen möchte ich noch erwähnen, dass es sich hierbei um bessere Abfangpunkte handelt, und nicht den Beginn einer Funktion. Z.T können mehrere Abfangpunkte in einer Funktion liegen, und manchmal muss man mehr als einmal abfangen, um zB. alle Infos zu einer Probe zu sammeln. Welche Register und Stackwerte wo genau spannend sind, ist denke ich hier erstmal nicht wichtig, und habe ich ausgelassen.

Spoiler

// Eindeutiger Suchstring, sha-1 Hash der englischen 1.01UK .exe, sha-1 Hash der deutschen 1.12 .exe
UBytes, 3c80fb8067b488bbedca97b8c48f7ad5cb6cd9eb, 10c45a8404a4f43f466a753e614228094b4a2538

// Eindeutiger Suchstring, Adresse UK, Adresse DE (Jeweils in der DosBox Staging, unter 0200:<address> )
8D5A0189D801, 2F82EE, 2FB7CE // 1. Zufallswurf der Art: Wb+c
8D5A0146, 2F83F8, 2FB8D8 // 2. Zufallswurf: Teilwurf des 4. Zufallswurfes
8D5A0189D85E, 2F8366, 2FB846 // 3. Zufallswurf: Ganz simpler Wurf: Wb+0
89F883C4105F5E59C38D40, 2F8434, 2FB914 // 4. Zufallswurf: Wurf der Art aWb+c

7508B89D, 1F98D4, 1FA914 // Eigenschaftsprobe
89C689F083C414, 1F9DD6, 1FAE16 // Talentprobe 1 (ohne Kampf und Zauber), nachdem gewürfelt wurde
5156575583EC1489C189D788, 1F9C50, 1FAC90 // Vor Talentprobe, wird vor Talentprobe1 aufgerufen, wird auch bei Schusswaffen benutzt. Hier bekomme ich abgefragtes Talent und Erschwernis
28C30FBEC3, 1F2446, 1F3486 // Abfrage vor einem Zauber: Zaubername, Erschwernis, Skillwert
83C40C5F5EC204, 1F9983, 1FA9C3 // Abfrage nach einem Zauber, hier kennt man dann die Würfelergebnisse, und die geprüften Eigenschaften (und deren Werte)

8D14038A42470242485BC3, 1F7A0F, 1F8A4F // Bei Abfrage einer (positiven) Eigenschaft eines Heldens
0FBFF18A841E1A0100005E595BC3, 1EFD6C, 1F0DAC // Bei Abfrage eines Talentwertes eines Heldens
0FBFD28A84024F010000C38D40008BC9, 1F80B0, 1F90F0 // Bei Abfrage eines Zauberwertes eines Heldens

0FBFD1FF5324, 2D23AA, 2D5887 // Bei Event auf Karte, uA. interessant, da dort die Adresse der Event-Funktion der aktuellen Karte in einem Register steht
8BDB25FFFF0000, 2156FE, 21673E  // 3D-Welt-Veränderung: z.B. wenn man das Grab auf dem Boronsacker öffnet
79A10100, 1FB425, 1FC463 // Immer bei einem Windsbraut Zeitevent
BEC2010000, 2D8D3D, 2DC21D // Timer auf der Windsbraut (wird glaube ich von einem Interrupt aufgerufen)

89C231C94A31DB, 2A37BA, 2A6C9A // ScreenSaver
BA01000000E8773AFE, 2A3202, 2A66E2 // ScreenSaver
8954241489C3, 2A32F1, 2A67D1 // ScreenSaver
89C2B8C7, 2A32E4, 2A67C4 // ScreenSaver
89C231C94A31F6, 2A356D, 2A6A4D // ScreenSaver
895C2418663D, 2A3302, 2A67E2 // ScreenSaver
89C389D0C1FA1FF7F94B, 2A30B8, 2A6598 // ScreenSaver
486639CB, 2A30CC, 2A65AC // ScreenSaver

// "Patches" 
// Ursprünglicher Code, gepatchter Code
1200310053004D00, 1200000053004D00 // Probe bei Blitz aktivieren
FF149550F93500, 90909090909090 // Kein 3D (Anm. wahrscheinlich nur die Übertragung von gerendertem 3D in den DrawBuffer. Suche noch nach dem "Totalausschalter", um Zyklen zu sparen)
FF148570F93500, 90909090909090 // Keine Billboards (u. ähnliches, manchmal auch manche Mauern (vermutlich zur Realisierung korrekter und günstiger DrawOrder)). Scheint .NEI auch kaputt zu machen (es wird nur Umliegendes gezeichnet)
E846050200, 9090909090 // Verhindert das Neuzeichnen komplett, außer um den Mauszeiger herum.  Nutze ich doch nicht.
E86EBA0500, 9090909090 // Keinen "überstehenden" Rahmen zeichnen (Um das 3D ist je nach Level ein schönes Theme, dass auch etwas in den Bereich des 3D überragt)

// Speicherstellen UK Version - Noch keine Ahnung, wie ich die generalgültig mache
// Habe noch nicht alle Adressen in der deutschen getestet, aber zB die Helden liegen an der selben Stelle

0208:3CE37C // erster Held | 0x5EF Bytes pro Held (liegen 7 hintereinander)
0208:37DAFC // X | signed Int32
0208:37DB00 // Y | signed Int32
0208:37DB04 // Z | signed Int32
0208:37DB30 // Sinus der Blickrichtung (links/rechts) | signed Int32
0208:37DB38 // Cosinus der Blickrichtung (links/rechts) | signed Int32

0208:35A7FC // 3D Ausschnitt Höhe | unsigned Int16
0208:35A7F8 // 3D Ausschnitt Breite | unsigned Int16

0208:3734FD // Zeit als Bruch von 12 Stunden | unsigned Int16 | (0 entspricht 12 Uhr, FFFF 0 Uhr). Das ergibt 91 Zeiteinheiten pro Minute. Auf der Windsbraut wird jedoch 90 pro Minute benutzt. Bin noch unsicher, was stimmt.
0208:3734FF // AM/PM | unsigned Byte (Boolean)
0208:373504 // Monat | unsigned Byte | (Schaffe es nicht, in die Tage des Namenslosen zu kommen. Gibt es die überhaupt?)
0208:373503 // Tag | unsigned Byte
0208:373505 // Jahr | unsigned Byte

Was ich gerade noch suche ist (vielleicht mehr als Notizzettel für mich, oder für Interessierte ;D ):
- Stelle an der Texte abgefragt werden. Komme ich wahrscheinlich schnell per Unterbrechung während einer Anzeige ran
- Aktueller Screen / State. Wurde mindestens z.T. auch als Stack gelöst (zB. der Speicherdialog über der 3D Welt). Entweder brauche ich eine Liste der aktuellen States, oder muss die Übergangsfunktion(en) finden und abgreifen (also zB. 3DWelt, Innerhalb eines Hauses, Im Dialog, Kampf, "Inventar", Gegenstandsverteiler, Abspielen von Video, Einstellungen, ...)
- Evtl. wo der größere SVGA Screenbuffer liegt (finde ich wahrscheinlich auch in der DosBox)
- In welchem Dungeon man sich befindet. Falls dort Aktionen ausgeführt werden, bekomme ich das schon mit, aber habe noch nicht die Variable und die Funktion zum Wechseln gefunden.
- Wann ein neuer Track abgespielt wird

Und, ganz wichtig, nochmal zurück zum Datei-Format Reverse-Engineering: Woher kommen bitte die %S().() Dateien in Temp? (z.B. %SBO1.BO1)
Da steht drin, welche Objekte der Welt über welchen Schlüssel (meistens die O.Nummer) verändert werden können. Wird entweder von der .exe generiert, oder steht noch versteckt in einem .ALF Archiv

Finde es großartig, dass Du hier eingestiegen bist und jetzt so viele gute Erkenntnisse gewonnen hast. Das hat mich motiviert, auch nochmal mehr einzusteigen.

Freue mich, dass wir da zusammen dran arbeiten.
Nur nach deinem Pacing. Habe gerade noch Semesterferien, werde in ein paar Wochen dann auch nicht mehr täglich dran arbeiten können.