這幾天在玩劍三，突然興趣來(lái)了，想要分析劍3的資源打包格式。在資源分析和逆向方面原來(lái)偶爾也干過(guò)，
不過(guò)總體來(lái)說(shuō)還是處于菜鳥(niǎo)階段，這篇文章希望和其他有興趣的兄弟分享下這幾天的經(jīng)歷，僅僅作為技術(shù)研究。

一、安全保護(hù)

  一般來(lái)說(shuō)，很少有游戲的資源格式可以直接通過(guò)分析資源文件本身得到答案，大部分難免要靜態(tài)逆向、動(dòng)態(tài)調(diào)試。
無(wú)論是靜態(tài)逆向還是動(dòng)態(tài)調(diào)試，首先需要知道當(dāng)前exe和dll的保護(hù)情況，用peid查看，發(fā)現(xiàn)只有g(shù)ameupdater.exe 用upx加殼了。不太明白金山為什么對(duì)客戶端沒(méi)有加殼。
其實(shí)我并不關(guān)心gameupdater.exe 是否加殼，畢竟要?jiǎng)討B(tài)分析的目標(biāo)是JX3Client.exe ，要?jiǎng)討B(tài)調(diào)試JX3Client.exe，首先要解決啟動(dòng)參數(shù)問(wèn)題。

二、啟動(dòng)參數(shù)

  如果直接啟動(dòng)JX3Client.exe，JX3Client.exe會(huì)直接退出，并啟動(dòng)gameuodater.exe，然后通過(guò)gameupdater.exe啟動(dòng)JX3Client.exe。
這種啟動(dòng)方式會(huì)影響動(dòng)態(tài)調(diào)試，所以首先我需要找出JX3Client.exe的啟動(dòng)參數(shù)。打開(kāi)IDA逆向，轉(zhuǎn)到啟動(dòng)處，匯編代碼如下：
start proc near
call    ___security_init_cookie
jmp     ___tmainCRTStartup
start endp
這是一個(gè)典型的VC程序入口，在___tmainCRTStartup 里，crt會(huì)初始化全局變量、靜態(tài)變量，然后進(jìn)入main,我們需要做的是直接找到main,
跟進(jìn)去，會(huì)發(fā)現(xiàn)IDA已經(jīng)幫我們找到WinMain了，直接跟進(jìn)去，
關(guān)鍵代碼在WinMain的入口處：

從這個(gè)代碼片段可以知道，WinMain開(kāi)始就比較了命令行參數(shù)是否是"DOTNOTSTARTGAMEBYJX3CLIENT.EXE ",如果不是，
則轉(zhuǎn)到啟動(dòng)更新程序了。這個(gè)好辦，我們寫(xiě)一個(gè)run.bat，內(nèi)容只有一行：
JX3Client.exe DOTNOTSTARTGAMEBYJX3CLIENT.EXE
運(yùn)行，果然，直接看到加載界面了。

三、PAK文件管理

  在劍3里，PAK目錄下有很多PAK文件，劍3是通過(guò)package.ini 來(lái)加載和管理pak內(nèi)部文件的。
這個(gè)文件內(nèi)容如下：
[SO3Client]
10=data_5.pak
1=ui.pak
0=update_1.pak
3=maps.pak
2=settings.pak
5=scripts.pak
4=represent.pak
7=data_2.pak
6=data_1.pak
9=data_4.pak
Path=.\pak
8=data_3.pak
基本上PAK目錄下所有的PAK文件都列出來(lái)了，其實(shí)劍3的資源文件打包方式基本上和新劍俠情緣類(lèi)似（細(xì)節(jié)還是有比較大的差別）。
打開(kāi)ollyDbg，帶參數(shù)啟動(dòng)JX3Client.exe，在CreateFile設(shè)置斷點(diǎn)，可以發(fā)現(xiàn)，package.ini 的讀取和處理是在
Engine_Lua5.dll 的g_LoadPackageFiles 函數(shù)，熟悉新劍俠情緣資源管理方式的同學(xué)大概會(huì)猜到這個(gè)函數(shù)是做什么的，先看看函數(shù)內(nèi)容吧，這個(gè)函數(shù)比較長(zhǎng)
只能逐步的分析了，首先是打開(kāi)ini文件

使用g_OpenIniFile打開(kāi)前面提到的ini文件，如果打開(kāi)失敗，自然直接返回了。
打開(kāi)成功后，循環(huán)讀取ini配置的文件，讀取的section是SO3Client 讀取的key是0到0x20。

loc_1001119A:           ; int
push    0Ah
lea     ecx, [esp+1A0h+var_178]
push    ecx             ; char *
push    ebx             ; int
call    ds:_itoa        ; 這是根據(jù)數(shù)字生成key的代碼
mov     edx, [ebp+0]
mov     edx, [edx+24h]
add     esp, 0Ch
push    40h
lea     eax, [esp+1A0h+var_168]
push    eax
mov     eax, [esp+1A4h+var_184]
push    offset unk_10035B8C
lea     ecx, [esp+1A8h+var_178]
push    ecx
push    eax
mov     ecx, ebp
call    edx             ; 讀取INI內(nèi)容　readString(section, key)
test    eax, eax
jz      loc_1001127A

這段是通過(guò)readString("SO3Client", key)來(lái)獲取pak文件名, key就是"0"~"32"的字符串，也就是最多能配置32個(gè)Pak文件。
獲得了pak文件名后，下面就是打開(kāi)和保存pak文件的索引數(shù)據(jù)了。

后面的注釋是我分析的時(shí)候加上的，IDA這個(gè)功能不錯(cuò)！
首先new一個(gè)0x20字節(jié)的空間用來(lái)存儲(chǔ)pak對(duì)象（我自己命名的類(lèi)），接著調(diào)用構(gòu)造函數(shù)，創(chuàng)建pak對(duì)象。
創(chuàng)建對(duì)象后，要用這個(gè)Pak對(duì)象打開(kāi)對(duì)應(yīng)的pak文件了，這是我們下面的代碼：

首先通過(guò)
mov     [edi+edx*4], eax
將對(duì)象保存，然后，調(diào)用這個(gè)類(lèi)的成員函數(shù)打開(kāi)pak文件，具體代碼在sub_10010ca0。

這段代碼的意思很明白了，打開(kāi)文件，讀取0x20的文件頭，


這里做的是驗(yàn)證文件格式，和一些必要的驗(yàn)證。

這段是讀取pak內(nèi)部文件數(shù)目，讀取索引數(shù)據(jù)，以備后面查詢使用。
到此為止，所有pak文件的管理對(duì)象都已經(jīng)加載和設(shè)置完畢了。
以上內(nèi)容看起來(lái)很順理成章，但是實(shí)際上凝聚了無(wú)數(shù)的失敗和重試。
后面是pak內(nèi)部文件的查找和讀取了。
剩下的內(nèi)容明天貼了～～～