"Задача:
Довольно часто в играх NES встречаются запакованные тайловые карты. Основной симптом этого - ненаходимость отдельных
надписей в РОМе. Один из тысяч примеров - игра The Blue Marlin на NES. На титульном экране есть множество надписей,
но та что мерцает(PUSH START BUTTON) не находится в РОМе.
Здесь я собираюсь привести пример того как лично я нашел
ее. Т.е. я не утверждаю, что это оптимальный вариант (я почти уверен, что можно это сделать если не легче, то уж
точно быстрее), но для примера, я думаю, сойдёт и так.
Тулзы:Я лично пользовался модифицированным эмулем FCEU под названием FCEUXD SP 1.04, но подойдет любой эмулятор с отладчиком
[бряки они и в Африке бряки =)], ну еще можно хексредактор, хотя просмотрщик хекса в РОМе есть и в FCEUXD SP.
Знания: Глубокое знание асма не обязательно [у меня самого его нет =)], но без азов можно ничего не понять.
Желательно, конечно, чтоб вы знали еще и что такое тайловые карты и работу процессора M6502 и т.д., но думаю,
это не является критичным требованием.
Всю необходимую инфу можно получить из доки Cah4e3'a, которую можно найти на его сайте и док Parasyt'a, которую можно
найти соответственно на его =)
Решение:
В первую очередь закрадывается подозрение, что надпись действительно спрайтовая(раз не находится сразу в такой простой
игре, где даже таблички стандартные). Чтобы убедиться - нужно посмотреть в спрайтовый буфер - специальная область
памяти приставки, куда записываются индексы и аттрибуты спрайтов (в том числе и координаты). Вся теоретическая
база по этой теме содержится в супердоке Cah4e3'a. Я не стану описывать, как искать этот буфер - более понятно
и теоретически обоснованно это описано в доке Cah4e3'a. Плюс, во всех играх, с которыми я имел дело, буферы находились
в памяти по адресу 200h... Blue Marlin не исключение. Откроем клавишей F6 HexEditor, найдём адрес 200h.
Как мы видим, спрайты постоянно изменяются - оно и понятно - пузырьки воздуха на титульнике постоянно
поднимаются (ясно, что изменяют координату), плюс, возможно, тут есть перемешивание спрайтового
буфера (угадай, в какой доке это явление описано ) Чтобы точно убедиться, что наша надпись составлена не из
спрайтов - можно взять мощный , но абсолютно не функциональный дебаггер с простеньким эмулем No$Nes
и нажать на F5 появится окно VRam viewer'a откроем вкладочку OAM Data - и увидим табличку всех спрайтов, которые
есть на экране в данную секунду. Да, No$Nes бесполезен с точки зрения бряков, но этой функции я больше нигде не видел -
главное - наглядно. Красный квадрат отслеживает изменяющиеся спрайты, как видим нижняя часть экрана, где содержится
интересующая нас надпись не выделяется никогда, плюс в таблице спрайтов только графика пузырьков и никаких букв.
Кому интересно - могут заглянуть VRam viewer'ом в игру Teenage Mutant Ninja Turtles - Tournament Fightersв Options сразу видно, какая надпись составлена из спрайтов.
Итак - надпись не спрайтовая. Значит, поиск нужных процедур будет вестись по несколько иному пути...
берем нажимаем Ctrl+F1 появляетя PPU viewer находим буквы, из которых составлено предложение press start button
Видим что-то вроде PRESTABU...буквы, конечно, не повторяются, т.к. в коде будут использоваться одна буква, загруженная
несколько раз.
Вот тут нам впервые повезло, да еще как! буквы полностью загружены в память PPU, без всяких изврашений, в читаемом
виде, самое главное теперь мы можем узнать индекс тайлов букв, которые загружены в PPU
так, например P= $70, R=$71 и так далее. Это для нас означает, что обязательно при загрузке этого экрана, вызывается
процедура, загружающая эти значения в память PPU. Можно смело ставить BreakPointWrite на адрес $2368 в PPUсрабатывает бряк вначале, когда в PPU сохраняется ноль - это нас не интересует, жмем RUN и
чуть выше видим команду, которая загрузила в аккумулятор число $70
как мы видим $70 содержалось в ячейке $030D в RAM'e нас интересует, кто записал это значение туда, ставим бряк уже на RАМ
и вновь загружаем наш титульник. Как мы видим, вначале эту ячейку активно используют для заполнения каких-то других
ячеек(может быть для вычисления значений и т.д.) нас это не интересует, т.к. все время код останавливается на команде
.............................
Нас же интересует команда, которая загрузит $70, жмём RUN и замечаем, что это $40 грузится очень много число раз
пока дойдем до заветной команды можно поседеть. Можно заняться глубокой трассировкой кода (или Condition breakpoints),
как бы сделали опытные
хакеры, но я, к сожалению, к таковым не отношусь... Я выбрал более долгий, зато намного более понятный способ :
использовал прикольную функцию Trace Logger. ..что она делает? Просто записывает команды, выполненные процессором
в порядке их выполнения на экран или в файл - я предпочитаю последнее, т.к. можно пользоваться функцией поиска в любом
редакторе. Так вот просто берем и перед загрузкой нашего экрана жмем Start Logging, предварительно назвав файл, в который
будет записываться команды процессора вместе со значениями всех регистров и, для особых извращенцев, с состоянием всех
флагов =). прекращаем запись, как только на экране появится наш титульник(буквы уже загружены, а в файл пишутся не
интересующие нас команды). У меня получился файл размером 40 мегабайт( неплохо за 2-то секунды =) )
открываем текстовым редактором, ищем команду, аналогичную STA $0300,X @ $030D = #$A4, только меняем A4 на 70
конечно, мы уже перепрыгнем на один цикл интересующую нас команду, т.е. сохраняться будет уже другое число
в аккумуляторе уже $40),
а в ячейке $030D УЖЕ содержится наше заветное $70. Необходимо от команды, которую мы только что
нашли отлистать вверх до предыдущей записи в ячейку $030D .Просто вводим в поиск "STA $0300,X @ $030D = #$" и ищем
в обратном направлении [вверх]. После "#$" не стоит никакого числа, т.к. мы не знаем какое число содержалось в нашей ячейке
до того как в него было записано $70. Итак, через наносекунду в ячейке будет $70, если вы не забыли, это индекс буквы
'P' в слове 'PRESS' и мы, наконец, внутри той процедуры, к которой так рвались. Она уже у нас на крючке - осталась малость - только разузнать, что она делает, а
дальше дело техники... Строго говоря, процедура началась еще раньше - когда фактически начинала заполнять тайловую карту
в память - зрячие люди могут видеть, что до этого писался индекс $40, который, очевидно, означает пробел (ведь перед
словом 'PRESS' стоит пробел и даже не один...)
Итак, разрешите представить, наша процедура:
....................................................................
....................................................................
Этого куска достаточно чтобы разобраться, что она делает: обратим внимание на то, что далее в ячейку $030E грузится
число $71, т.е. уже следующим знаком будет буква с этим индексом. А это, ясное дело, буква 'R' ну и так далее, некоторые
буквы будут загружаться в ячейки несколько раз, как например буква 'S'. Теперь нам надо понять, как получают это число:
почти перед самой записью аккумулятор вытаскивают из стека и XOR'ят с $0004. Находим выше, что поднимаюм его в
стек командой '$80F8:48 PHA' , а непосредственно перед поднятием в аккумулятор грузят значене из $A433
Это число можно рассматривать как некий своеобразный поинтер, из которого получают это число. Теплится слабая надежда,
что на этом трассировка кода закончена (т.е. уже число в ячейке $4A33 уже никак не вычисляют, и его можно будет
банально найти в РОМе). Чтобы найти это число в РОМе нам нужно знать, что по соседству - вновь ставим бряк на запись
в $030D и при загрузке титульного экрана, как только произойдет останов, открываем HexEditor, находим $4A33, как мы и
ожидали, там число $01, которое используется для расчета индекса второй буквы, т.к. первую мы к этому времени уже
загрузили и сейчас расчитываем вторую. Итак, запоминаем цифры по порядку - это $30 $01 $03 $01 $33 $33 $07 $01 $04
$05 $34 $36 $01 $47 $03 $0C $01 $39. Т.к. далее идут 'необычные' байты типа 'FF' можно сказать, что это конец
наших поинтеров, кроме того в фразе 'PRESS START BUTTON' вместе с пробелами ровно 8 знаков - как и цифр. Можно
ввести цифры поиском, можно перейти прямо так из FCEUXD SP, нажав правую кнопку, но факт в том, что все эти цифры есть
в РОМе[по адресу $a442] и их уже можно изменять в целях перевода!
Так, программой берется первое число($30) потом XOR'ится с предыдущим числом(было $40) получаем заветное $70!
[особо недоверчивые могут проверить в калькуляторе Windows =)]
Далее берется второй поинтер($01),XOR'ится с предыдущим числом(было $70) стало $71 и так далее...
теперь осталось только перерисовать буковки, расставить в нужном нам порядке поинтеры и закончатся наши мытарства
с этой надписью, а сколько их еще будет! =)
-=#Griever's Stuff#=- Н.Новгород 2005"