взломщик кодов sega mega drive

Взломщик кодов sega mega drive

Mega Bomberman HACK v0.1 [SMD]

1)На картах стало возможно разбивать граничные блоки и уходить за пределы уровня как в пакмане.

2)Падающие блоки при оставшейся последней минуте также заменены на пробиваемые.

Разблокирован Магнито, и им можно играть с первого уровня.

WWF Wrestlemania Arcade Tournament Hack [SMD]

Всем фанатам сей игры посвещается!
WWF Wrestlemania Arcade хак позволяющий выбирать количество противников в Tournament режиме, как в Cooperative так и в Solo режиме.

Для этого нужно зайти в опции, и кнопками X и Z менять количество противников.
А так же добавлена возможность изменять сложность на более высокие уровни.
Названия более высоких уровней сложностей не имеют никакой смысловой нагрузки, это просто «так получилось» как следствие работы системы отображения надписей.

Кроме того, добавлена возможность пропускать титры нажатием START.

Earthworm Jim 2 hack [SMD]

(SMD) Tom and Jerry frantic antics cheat hack [SMD]

«Rock n’ Roll Racing Hack» v15 [SMD]

Ti порадовал всех любителей аркадных гонок, доработав и выпустив версию 15 своего мод-хака «Rock n’ Roll Racing» для игровой системы Sega Mega Drive. В новой версии сделано множество улучшений.

Список изменений этого хака таков:
1) Возможность самому выбрать компьютерного противника (а также место игры в случае Com против Com);
2) Котик в боулинге (как 5-ый лишний) видимо задумывался там изначально;
3) Убита проверка контрольной суммы.

Segaman сделал и выложил специальный мод-хак стратегической игры «Theme Park» для 16-битной игровой приставки Sega Mega Drive, в котором было снято ограничение на строительство одинаковых каруселей, наслаждаясь этим классическим тайкном. Теперь вы можете строить несколько одинаковых аттракционов.

Contra Hard Corps U+HitPoints [SMD]

В этом хаке нет ничего лишнего, только одни вкусности:

Mortal Kombat II Unlimited [SMD]

— Добавлена комбо система;
— Секретные бойцы теперь полностью играбельны;
— Боссы теперь полностью играбельны;
— Много новых звуков;
— Новая таблица выбора бойцов и главное меню;
— Новые арены и музыка из Mortal Kombat 1;
— Новые движения и приемы, например Brutality;
— Новые игровые режимы, такие как Endurance Mode и Practice Mode;
— Возвращены биографии, концовки бойцов, интро, а также версус-экраны из аркадной версии;
— и многое другое.

Изменения в текущей версии v1.0:
1)Добавлены биографии всем бойцам, включая секретных и боссов, как в аркаде;
2)Добавлены концовки всем бойцам, включая секретных и боссов;
3)В режиме 2-х игроков добавлен VS-Screen, на котором помимо изображений бойцов указано название текущей
арены и кол-во побед игроков подряд;
4)В начало игры добавлен небольшой интро-ролик из аркады;
5)Энергия вновь отнимается от ударов по блоку;
6)Пофиксены спрайты выпрыгивания у секретных бойцов и боссов после их победы над Каном в конце игры;
7)Исправлен баг с зависанием игры, если победить Кана по времени в конце игры;
8)Исправлен баг с зависанием игры, если применить электрошок Рэйдена на боссах;
9)В режиме Endurance реализована замена имени бойца на лайфбаре при выпрыгивании нового;

DuneHack mission Fremen [SMD]

Полностью новая кампания за фрименов с уникальными миссиями, картами и сюжетом на русском языке.

DuneHack_mission_Sardaukar v03. [SMD]
Дюна хак миссии за Сардаукаров.

v03Aeng:
Исправлен баг с отображением текста ментатов классических домов.

Doom Troopers — kicks carnage [SMD]

Фишки:
1) Пинки можно прерывать не дожидаясь окончания.
2) Пинать на бегу.
3) Пинать «с высоты».
Запинайте их всех! Не можете запинать? ДЕЛАЙТЕ НОГИ!

Sonic & Knukles Jk.fox edition (final version) [SMD]

1. Была проделана качественная работа с палитрой красок некоторых уровней и бонусов.
2. Добавлены дополнительные бонусные кольца в некоторых уровнях, где их катастрофически нехватает Сонику!
3. Заменены саундтреки многих уровней. В основном заимствовано из «Sonic 3d blast»!
4. Почти полностью переделаны «миры» SPECIAL STAGES.
5. Слегка переделан бонус «джекпот машина» (кстати и музон).

Dark Sound the Hedgehog 2.0 [SMD]

Авторы хака: KameKAgZZe
Язык: английский
Дата хака: 30.05.2011
Исходная игра: Sonic 1
Сложность: графика, уровни, музыка, геймплей

Список изменений:
-Добавлены способности Jump Dash(A+B+C в воздухе(5 колец)),Boost(A на земле(10 колец)),Spin Dash(A+B+C+DOWN на земле),Down Dash(A+B+C+DOWN в воздухе(3 кольца)),Water Skimming
-Высота прыжка зависит от количества колец
-При подборе кольца Дарк увеличивает максимальную скорость
-Изменен арт
-Изменена музыка
-Новый титул(не доделан)
-Новые звуки
-Монитор Эггман в два раза больше причиняет вред
-Добавлен монитор S(дает 50 колец и щит)
-Добавлен бустер
-Кольца сохраняются между актами
-Новые 2 акта GHZ
-Новые бадники
-Новый звуковой движок
-BG эффекты из ревизии 01
-Поменена почти вся палитра.(Valentin The Fox)
-Заместо мотобага, кроль.(Sonic2010)
-После каждого уровня начинается специальный этап.
-Добавлен двойной прыжок(A/B/C + UP)(1 RING)
-Добавлен монитор изумруд.(правда пользы пока от него нет)
-Дарк сбивает врагов на скорости.
-Когда Дарк неуязвимый,включается некий Слоу-мо.(Vladikcomper)
-Новая музыка.(Cool-spot)
-Меню.(OuricoDoido)
-Уровни.(Doctor Robotnik)
-Арт.
-Во время паузы играет музыка.
-Пил-аут(Vladikcomper).Так как проблемы с артом,он только разбегается восьмеркой,а бежит обычно.
-3 новых специальных этапов.
-Новый геймплей ЛЗ.
-Баги
-Новые спрайты прыжка Дарка.
-Некоторые объекты поменяли скорость.
-Увеличено кол-во хитов у боссов.
-Убрана концовка.

Источник

Взломщик кодов sega mega drive

Как взломать игру на Sega Mega Drive, ударив по картриджу

Как известно, перед выпуском любой игры для приставки Mega Drive, нужно было пройти замысловатую сертификацию, чтобы тестеры Sega убедились в совместимости их железа с предлагаемым продуктом. Однако этот процесс был сопряжен с многочисленными трудностями.

Для успешного прохождения сертификации будущая игра должна была работать стабильно, поэтому проверка могла затянуться на долгие недели. Зачастую картридж просто оставляли во включенной приставке на несколько дней и, если происходил краш системы, игра отправлялась обратно разработчикам на доработку. По словам Джона Бертона (Jon Burton), основателя компании Traveller’s Tales, отчеты тестеров Sega были настолько непонятными, что перед устранением той или иной ошибки, разработчикам приходилось практически догадываться, чем она была вызвана.

По этой причине Бертон пошел на небольшую хитрость, в процессе работы над Mickey Mania в 1994 году он переписал скрипт ошибки, которая возникала при появлении багов в игре. Теперь, вместо краша появлялось сообщение, что игрок нашел временной портал и Микки просто телепортировало в случайное место уже пройденного участка на уровне. Этот метод позволил так удачно одурачить тестеров Sega, что Бертон взял его на вооружение для своих будущих игр.

В 1995 году при производстве Toy Story он изменил принцип своего изобретения, теперь в случае возникновения какого-либо бага появлялась мини-игра, позволяющая получить дополнительные очки. А в Sonic 3D в 1996 году Бертон добавил экран выбора уровней. Именно его и обнаружили фанаты несколько лет назад, оказалось, что для его вызова достаточно ударить по картриджу во время работы консоли. Дело в том, что это самый простой способ вызвать краш системы, так как при ударе контакт теряется и игрок может увидеть тот самый экран выбора уровней.

Вот таким нехитрым образом небольшое жульничество Джона Бертона позволило ему с легкостью пройти сертификацию Sega и выпустить множество замечательных игр, которые до сих пор способны удивлять игроков по всему миру хотя бы своими уникальными сообщениями об ошибках.

Источник

Взломщик кодов sega mega drive

Гайд по взлому игр Sega. Автор Ti.

В этом гайде будут рассмотрены методики взлома игр с приставки Sega Mega Drive. Взлом игр с других платформ может значительно отличаться, поэтому не рекомендуется использовать тут написанное, как шаблон, если только вы не понимаете что делаете. Гайд ориентирован на новичков, к тому же автор не является професcиональным программистои и программистом вообще, поэтому все определения и названия могут и будут отличаться. Под взломом понимается изучение и изменение самой игры, а не замена графики или звуков, это будет затронуто лишь вкратце.
Также автор не отвечает за причиненный вред психологическому состоянию, в случае неудачных попыток хакинга.

Что необходимо знать:
16-ричная и двоичная система счисления и их отличия от десятичной.
Что такое ROM.
Что такое RAM.
Что такое байт(byte),бит.
Иметь общее представление о работе компьютера.

Если вы не знаете что это такое или не уверены лучше не читайте этот гайд!

Многие ссылки можно найти тут:
romhacking

Форматы представления данных.

В сеге все значения можно поделить на 3-типа =
byte = значение в 1байт. (.b)
word = значение 2байта. (.w)
longword = значение из 4байтов. (.l)

Именно такими значениями оперирует процессор.

байт это число от 0 до $FF (0-255) (в бол-ве случаев от -128 до +127) \ это важно учитывать!.
ворд это число от 0 до $FFFF (0-65535) (в бол-ве случаев от -32768 до +32767) /
символ $ перед числом говорит о его 16-ричном представление.

Распакуйте его если он в архиве, также ром должен быть формата .BIN (или .GEN)

Для начала откроем РОМ с помощью WINHEX. (File-Open).

Можно прокрутить ползунок по всему рому, чтобы поискать нет ли еще где такого текста. Если есть его как правило можно безболезненно поменять. Не пытайтесь менять другие цифры в надежде получить хороший результат.

Важно:
Если нажать на колонку offset мышкой колонка адресов преставиться в 10-чной системе, это очень частая ошибка когда случайно так нажимают, мы будем использоваться только 16-ричную систему, если нажали надо нажать еще раз чтобы вернуть обратно, это станет заметно по наличию букв в адресах.

Итак, как же работает игра? Начальный адрес программы задается по адресу 4.

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000000 00 FF FF 00 00 00 02 10

Теперь если перейти к этому адресу (Position-go to offset-210-ok), мы окажемся вначале программы

Offset 0 1 2 3 4 5 6 7 8 9 A B C D E F

00000210 4A B9 00 A1 00 08 66 06 4A 79 00 A1 00 0C 66 7C
00000220 4B FA 00 7C 4C 9D 00 E0 4C DD 1F 00 10 29 EF 01

Эти цифры представляют собой машинные коды, которые читает и выполняет процессор, отображенные в ‘удобном’ 16-ричном виде.
К счастью любой такой код можно перевести в код языка Ассемблера, однако следует помнить что ром не состоит из одних кодов, цифры могут означать и что угодно (графика, данные и т.д.).

например данный код: 4A B9 00 A1 00 08
до компиляции (преобразовании из ассемблера в машинные коды) выглядит так:

Процессор начинает считывать и выполнять программу с картиджа сразу при включении. Все коды читаются один за другим непрерывно, также программа перейти из одного адреса в другой если это указано или условие перехода выполняется (переход, прыжок).

Самым лучшим способом отделения программной части игры от всего остального (графики, звуков) является дизассемблинг.

В этом нам поможет IDAPro. (используем IDAv5.2 с sega loader‘ом(c) от HardwareMan‘a)
Запускаем idag.exe
OK.
NEW-disassemble new file.
Выбираем РОМ-файл.
OK.
OK.
Появится окно IDA View-A.
Немного прокрутим ползунок до адресса $210. (в данном случае)

Увидим следующее (или похожее) :

Вот это и есть программа(код) игры на языка Ассемблера, точнее только ее маленькая часть (самое начало).

Теперь если выделить любую команду мышью, а затем перейти во вторую вкладку (Hex view-A), мы увидим её отображение в РОМЕ в 16-ричном виде и место расположения. Команда будет выделена зеленым и может быть разной длины (от 2 до 10байт и более). Данная «фишка» позволит нам в дальнейшем с легкостью их находить и менять если нужно.

К сожалению IDA не может определить сама расположение всех частей программы (т.е. отделить весь игровой код, от всего остального), поэтому доделывать за неё это придётся нам.

Теперь прокрутим ползунок чуть дальше, до первого места где программа пропадет.

Однако можно ‘насильно’ попробовать их представить как код (нажав C).

Данные представились как код, но это неправильно, т.к. это просто совпадение. Поэтому надо сделать Undefine обратно.
Как точно определить данные это или же код, будет рассмотрено немного позже.
Однако скажу что любой код заканчивается на команды:
jmp (прыжок)
bra (прыжок)
rts (возврат)
rte (возврат из исключения)

Если же у вас участок кода закончился на любую другую, а далее идет ‘разрыв‘ и ‘C‘ не срабатывает, то это не КОД.

Так что же нам это всё дает? Наверное вы уже слышали понятия ASM-hacking и Data-hacking.
Так вот асм-хакинг это изменение(хакинг) кода, требует знания программирования (на самом деле можно хакать и не зная, достаточно запомнить парочку команд, а как я расскажу позже).

Пример области ‘data‘:

И её отображение в HEX. (т.е. пробуем менять цифры с адреса 732E до 7369)

00007320 43 EC 51 9A 12 3B 00 1D D3 31 80 00 4E 75 01 00
00007330 01 00 00 01 01 10 10 00 00 10 00 10 00 08 08 08
00007340 00 00 08 00 00 00 01 01 01 01 00 03 00 02 00 03
00007350 00 04 00 00 00 04 00 03 01 00 08 00 01 00 08 00
00007360 02 00 04 00 02 00 04 00 08 00 FF FF E5 40 41 EC

Примечание: в IDA значения менять нельзя, это только просмотрщик. Меняем через WinHEx.

Если вы не поняли, или хотите перейти дальше к более совершенным методам читаем.

RAM_:00FF0000 (ОЗУ (RAM))
RAM_:00FFFFFF

RAM:FFFF0000 (ОЗУ (RAM)) *в данном случае 00FF0000 тоже самое, что FFFF0000. (и то, и то является памятью и одним
RAM:FFFFFFFF и тем же адресом, это происходит потому что первый байт не читается, т.к. процессор
имеет лишь 24битную шину адресации. (до 16мегабайт)

Также есть куча других системных адресов (порты и т.д.). Процессор имеет доступ ко всем этим адресам.

В Loader который мы используем уже прописаны все эти адреса. Теперь мы начнем заполнение базы IDA для конкретной игры, начав с этих системных адресов, это даст нам в дальнейшем много преимществ.

Это нужно проделать со всеми этими адресами где есть ukn_0_ (они пойдут после области ROM). (в IDA черные области на полосе)

Это главная ‘фишка‘ IDA, засчет которой можно быстро разобраться в игре и переименовать не только системные адреса, но и любые другие. В дальнейшем мы будем часто пользоваться Jump to Xref to operand.

Я не рекомендую менять(да и не умеем ещё) участки кода с ‘системными’ адресами, т.к. ничего полезного вы в этом не найдете.
Мы их отделяли как раз для того, чтобы не ‘задеть‘.
В других участках (отвечающих за игровые ‘фишки‘), как правило нет этих запросов.

Так как же их найти? Конечно можно проверять всё подряд. Но мы еще не умеем правильно менять код. Да и конкретную вещь в данном случае найти непросто.

Есть два простых способа найти нужную вещь:
Дебаг (с установкой брейкпоинтов) на адрес (ROM или RAM).
Поиск адреса RAM (ID) конкретной вещи через поиск кодов.
Или оба сразу.

Если вы умеете искать читы (game genie), то для вас не составит проблему найти кучу адресов в RAM, отвечающих за что-либо.
Чем больше переменных мы найдем, тем лучше.
Какие это могут быть значения:
Номер (ID) персонажа.
Номер (ID) уровня, трассы,машины, мотоцикла.
Кол-во патронов.
Кол-во жизней, денег и т.д.
Таймер.
Координаты.
Всё что меняется и можно отследить.

Подробное описание поиска ‘читов‘ вы можете найти в интернете, таких описаний составлено очень много. Также вы можете попросить кого-то научить вас их искать (не меня).
Читы-это всего лишь значения в оперативной памяти, которые меняются. Само читерство заключается что мы можем залезть в память и заблокировать их (перезаписывая всё время своё значение) или просто один раз изменить.

Во всех трех случаях значение из памяти (RAM) читается и записывается в регистр d0 процессора.
Запись же выглядит ‘наоборот‘: move.w d0,($FFCECE).l
Команда может быть не обязательно move, а другой (add, sub, и т.д.)

Hot trick:
Используете GG-коды и GGConv.exe (game genie converter), чтобы найти уже найденные другими адреса в ROM и RAM, и допишите их в базу переименовав и поставив метки.
GG-коды можно найти в книге кодов codebook.exe, и на сайтах.
Запустим конвертер и выберем вкладку GEN (sega GENesis).
Вбиваем GG-code и получаем HEX-code.
Многие адреса уже представлены в виде HEX-code и их конвертировать не нужно.
HEX-code выглядит в формате adress:data.

Теперь найдя интересующие участки кода мы будем их переделывать. Если с вышеописанными способами ничего не получилось, то мы их все равно будем переделывать, а что именно мы будем изменять узнаем по ходу дела. (сравнивая после и до изменения)

Теперь перейдем к началу подпрограммы (разделенной ====SUBROUTINE====), теперь надо заменить первую команду на RTS.
Что это даст? Мы полностью отключим данный участок. И таким образом сможем узнать за что, же эта часть кода отвечала.

Замена:
Просто пишем,использую в winhex, ‘4e75‘ по адресу который соотв. началу подпрограммы. (т.е. по адресу самой первой команды, то есть фактически мы ее заменим-т.е. уже asm-hacking)

Если ничего не изменилось или игра зависает, пробуйте тоже самое с другими участками.
Если получилось, и вы поняли что изменилось (напр. отключилась стрельба) переименовывайте (называйте) данную функцию.

Примеры названий и названных функций:
AI_weapon_nitro_using
car_model_gfx
weapon_moving
weapon_sprites
car1_life
car1_topspeed
xz_1
weap_table

Функции с code+data:
Если в функции есть следующие или похожие команды:
move.w unkn_1234(pc,d1.w),d0
lea unnk_5678,a1

И при переходе по адресам unnk_5678 в ROM, скорее всего содержится ‘data‘. Т.е. это могут быть игровые параметры такие как характерситики персонажа (скорость,сила и т.д.). Стоит попрбовать позаменять эти значения в РОМЕ через Winhex.
(заменять значения по этим адресам, как и случае data-хакинга, а не сами команды).
Особенно хорошо, если вы уже определили за что отвечает ваша функция).
Незабудьте что сама же функция должна быть при этом включена (т.е. никаких RTS вначале).
В данном примере команда загружает число с адреса 1234, от-но значения регистре d1 и записывает в d0.
В d1 например может быть ID (порядковый номер) персонажа, а по адресу хар-ка ‘скорость’.

Функции только с code:
В этом случае стоит посмотреть на ту команду над которой происходит действия над нашим найденным и переименованным адресом.

Адресс с назначенным именем (меткой):
add.w #$14,(LIFES).l

Несмотря на простоту эти методы являются самыми эффективными, в случае если надо просто что-то ‘хакнуть‘.

Если же у вас есть конкретная цель, то без знания ассемблера или хотя бы н-ких команд не обойтись.

Вкратце рассмотрим что за ассемблер:
Несмотря на то, что у всех представление о ассемблере как о самом сложном языке, это не совсем так. Я бы даже сказал что ассемблер сеги самый простой.(достаточно знать десяток команд и можно написать что угодно). Другое дело что само написание дело долгое и трудоемкое. (т.к. все действия выполянются над числами и адресами).

Регистры нужны для быстрых рассчетов, и бол-во операций выполняются между ними или между ними и памятью.

Также есть регистр SR (status registr), он меняется автоматически после каждого действия и отображает результат, который нужен для выполнения условий (напр.условие перехода).
Регистр a7 является железным ‘stack pointer‘ом и поэтому в коде его записывают как sp.
пример move.w d0,(sp)+. что это такое будет рассомтрено.

В результате выполнения команд всегда меняется только значение справа (в примере d1).Это справедливо для процессоров Motorola.

Чтобы представить число в двочином виде, откройте калькулятор наберите число в hex или dec, а потом поставьте точку где bin.
Калькулятор (WINDOWS) должен быть установлен в вид->инженерный. Тут же можно и проверить их действие.
Поначалу можно обойтись и без понимая этих команд.

Все остальные команды более редкие, и для начала изучения не требует. Вообщем если попадаются просто смотрим в мануалах.

Eсли же мы будем использовать команду addi.w или addi.l мы получим d0=002a0170.

Команда move.
Обратно же если в команде используется word или longword мы изменим 2 или 4 байта:
Пример move.l #4,d0
Результат: d0=00000004. (т.е. мы скопировали не 4, а 00000004)

Команда clr.
clr.b запишет 00 (т.е обнулит 1 байт)
clr.w запишет 0000 (обнулит 2 байта)
clr.l обнулит весь регистр.

За счет trace.log мы можем:
Отследить как работают команды.
Как от их выполнения меняются регистры.
Отследить последовательность выполнения программы.
Какие участки кода использовались в этот раз, и где они находятся. (что тоже полезно при дизасме в базе IDA).
Буквы xnzvc соотв. состоянию регистра состояния SR.

Операции с адресными регистрами:

загрузка адреса $FF8000 в a4.

Кроме сохранения регистров, стек может быть использован и в других целях. Зависит от конретной игры, в некоторых доходит до того что его используют по 4 строчки подряд. (что не совсем удобно для хакинга).

Также важно если будете менять код, сохраняйте принцип стакинга, (т.е. на затрите с команды sp+ или -sp), иначе нарушится последовательность, программа вернется не в то место и в 90% случаях будет зависание или баги.

* Если вы отключаете функцию (то есть через 4e75 вначале, а там находился сейв в sp), то это как раз нормально, так как мы сразу возвращаемся, а если вписать как раз после сейва, то зависнет (т.к. не ‘заберем’ из стека обратно).

Ну вот и весь ассемблер.

Для написания вашего собственного участка кода я рекомендую ассембелер ASM68K.exe, который надо запускать с ключом /p.
работает из командой строки (консоли виндовс).
asm68k /p test.asm, test.bin

Не советую использовать sega-asm, т.к. в нем есть определенные баги с некоторыми командами и баг c «org«.
Что же касается SNASM68K.exe, можете попробовать и его (в нем на мой взгляд тоже есть неясность с полурабочим ‘org‘, к тому же он у меня закидывал свои ‘копирайты‘ в бинарник, что может мешать при копировании кода)

Что делать если вы не нашли пустого места в РОМЕ? SEGA позволяет безболезенно ‘расширять‘ РОМ-файл до 4 мегабайт.
Модифицированные эмуляторы позволят запускать и до 13 мегабайт ром. (но такой ром не будет работать на железной сеге), также не приветствуется многими пользвателями.

Расширение рома:
Для увелечиния размера рома, достаточно приклеить к нему пустое место (нули) к концу файла.

Code+Data hacking. Часть2.
Ключевым аспектом является использование(чтение) данных кодом и с последующей их обработкой и/или записью в память.
Впринципе все что не является кодом, является данными. Отдельно можно расположить лищь оффсеты(ссылки на адреса).
Обычно все данные расположены в РОМЕ таблицами, т.н. ‘массивы‘ данных.
Т.е. графика, хар-ки персонажей, пос-ти нажатий кнопок, игровые цены, палитры, конфиги уровней, текст и прочее.

Пример чтения данных:

Если вы уже занимались data-hacking‘ом (где мы ‘заливали‘ эти данные, т.е. массивы данными нулями для проверки), вы бы уже скорее всего знали что они отвечают.

Абсолютные: в данном варианте полный адрес в виде longword.

в HEx выглядит так: 41F9 00 00 55 20, загрузка адреса $00005520, по которому располагаются данные. Такие адреса гораздо проще менять. (т.к ненадо считать и мы можем указать любое новое место, без изменения в коде).

41F9 xx xx xx xx
43F9 xx xx xx xx и т.д.

Как уже упоминалось все данные являются либо byte, либо word, либо longword.
данные типа byte = dc.b
2 байта word = dc.w
longword = dc.l

Тип н-кых данных IDA определяет автоматически. Остальные вы должны определить сами. Менять типы данных можно нажимая хот-кей ‘D‘. Какой именно тип узнать можно по команде которая пойдет после lea, (т.е. команде чтения данных), если это будет move.w значит надо данные перевести в dc.w.

Пример переназченного типа:

Пример массива ссылок на подпрограммы:

Оффсеты определяются не хоткеем ‘D‘, а хоткеем ‘O‘.

До нажатия ‘O‘, это место выглядело так:

Т.е. если можно легко определить на ‘глаз‘.

Массив оффсетов на участки ‘data‘.

Как видно все оффсеты имеют тип longword. Однако в некоторых играх есть и двух-байтовые оффсеты, это не очень удобно, т.к. такие базы очень плохо сама дизасмит IDA (нужно определять самому), да и сами оффсеты от-ные. (эти оффсеты нельзя определить хоткеем ‘O‘, только ‘d‘)

Массив от-ных оффсетов на код с последующим JMP по этим ссылкам.
Как считать: обычно считаем от первого + значение: т.е. 3E26+E = 4134
3E26+12 = 3e38
3e26+22 = 3e48

По этим адресам расположились подпрограммы. (причем фактически они расположены в другом месте, тут расположен только код прыжка к ним (bra, jmp)-прыжки

Данная организация хоть и неудобна (для дизасма), но достаточно часто встречается, поэтому надо ее понять.

Отмечу, если вы читали какие-то доки где упоминается понятие поинтер, то под поинтерами понимают команды lea и оффсеты.
Некоторые ромхакеры считают поинтерами только оффсеты. Н-кые вообще понимают под ними любые адреса.
LEA и offsets могут быть как на ROM, так и на RAM.

К таким данным относятся: код процессора Z80, звуки и графика.

Делаем Jump to Xref to Operand:

Единственный переход и попадаем в сегмент:

(unk_0_19000) в этом случае адрес ROM, где находится код Z80. Подпрограмма выполняет копирование кода для процессора Z80 из картиджа (ROM) в RAM Z80, который имеет свою собственную память(отдельную микросхему), но она всего 8кб, против 65к основной.

Процессор MC68000 имеет сводобный доступ к этой микросхеме (т.е. к памяти z80), если вы смотрели карту памяти, адресное пространство выглядит для него A00000-A1FFFF. Копирование проводят так как z80 не читает программу с картриджа, а из собственной памяти (имеет ограниченный доступ к картриджу). Это соблюдается почти во всех ромах (если не во всех.)
В дальнейшем в эту память процессором mc68000 просто так ‘лазить‘ нельзя, так как предварительно необоходимо делать ‘захват шин‘. (но в ходе программ это используется часто, т.к. если бы этого не было музыка и звуки играли независимо от игры, а приходится каждый раз указаывать z80, что ему играть.)
адреса вроде

примерно тут конец:

Т.е. нам не пришлось ломать этот участок. (пытаясь понять, что же там).

Звук.
Теперь стоит выделить звуки. К тем звукам что можно открыть через редактор относится лишь оцифрованная речь,
пример озвучка larry в RRR, озвучка действия юнитов в Dune. Остальные звуки и музыку можно взломать лишь зная программирование.
Если ром содержит такую речь, открываем ром-файл в редакторе goldwave.

Следует использовать следующие настройки:

Требуемый рейт можно определить на слух, т.к. он определяет скорость проигрывания. Т.е. нужно подобрать, если проигрывается слишком медленно или слишком быстро.
Теперь прослушаем РОМ, наличие звука можно увидеть также на графике, в виде характерной синусоиды. Остальные области просто ‘залиты зеленым‘, скрипы и писки говорят о том что мы просто слушаем код, данные, графику (т.е. читаем их как будто бы они бы звук).
Теперь найдем и выделим эту же область и сделаем в базе IDA ‘hide’ аналогично как с случае с Z80. Типичное представление звука в 16-ричном виде:

Звук PCM (pulse code modulation), соотв. звукам типа WAV, т.е. и те и те ‘несжатые‘ в отиличи от mp3.(mp3-сжатый WAV).
WAV отличается наличием заголвка в котором содержится информация о битности и размере.
В роме размер определяется программой.

Поскольку звук cчитывается процессором z80, мы не найдем на ‘lea‘ на начальный адрес массива звуков. Однако могут быть массивы оффсетов на адреса для каждого звука. (абсолютные или от-ные).
Оффсеты могут быть и на музыку.

Пример ‘взломанных’ относительных оффсетов:

$36CC адрес начала звука, от-но адреса $20000.

ROM:00012ACE move.l #SOUND_MUSIC,d0
ROM:00012AD4 move.b d0,(z80_xz_5).l

Это требует доли смекалки, т.е. сразу так догадаться ни у кого не получается.

* Вы можете заменять звуки как угодно через goldwave. (т.е. это можно делать и без изучения рома через IDA и WINHEX)

Графика:
Для нахождения и изменения графики в роме используются т.н. тайловые редакторы.
Откроем ROM с помощь тайлового редактора:
YY-CHR V0.98
File->open
Во вкладах выставим 4Bpp MSX/GENESIS.
Теперь используя стрелки найдем нечто похожее на графику. ‘Каша‘ означает что это не графика (а данные, код, звук).
Т.е. как в goldwave мы слышли скрипы, тут видим кашу.

В случае нахождения графики (например машины или персонажа), стоит прокрутить все опции (вместо Normal другие), это выбирает порядок расположения тайлов. (блоков графики).
Нужный порядок(карта тайлов) задается в программе игры. Сама карта является ‘data‘ой.
Также палитра (набор цветов) задается в программе. Палитры расположены в других, отедельных от графики местах.
в YY-CHR на глаз можно подобрать нужную палитру.

Пример в роме Rock n’ Roll Racing машины (их части) можно увидеть в конце рома.
Конец их графики уже известен, теперь надо определить начало, адрес с которого примерно начинается графика машин BF400.
(это видно в YY-CHR) сверху на вкладке на file open и т.д.
yy-CHR (BF400/100000).

Теперь идем к этому адресу в IDA.

Теперь будем искать переход (запрос) на чтение графики программой.

XREF нашелся по адресу BF500

код после jump to xref.

В этом случае использовалось не lea или move, а addi. Это более редкий вариант. Также Xref может идти к оффсету (а от него уже к программе).

Пример организации архивов в RRR, от-ные ссылки на архивы:

«Отрезали солидные куски», Во всех остальных частях РОМа находятся код, данные и пустое место, которые нужно отделить друг от друга.

Палитра в RRR для синих машин:

В некоторых случаях палитры могут быть сжаты (запакованы).

Текст в формате ascii. (это обычный текст на английском).
Его можно найти в winhex в правой вкладке, о чем упоминалось вначале.
в IDA текст по умолчанию выглядит так:

Для преобразования в строку, выделите нужное слово и нажмите хоткей ‘a‘.

Где находятся значения в RAM следует искать с помощью поиска читов. (зажимайте вверх + нажмайте esc для паузы эмуляции, теперь можно искать это значение в памяти не удерживая ‘вверх‘ 🙂 )
Если вы нашли верное значение, то при нажатии кнопок оно будет меняться в соотв. с этими кодами.
Значение может быть в нескольких адресах (на нажатие, отжатие и т.д.).

в IDA эти значения можно переименовать как Joy_data. Т.е. также как мы искали и переименовывали другие переменные.

Также их можно найти через IDA, по xrefs‘y от адреса 00A10002 (порты), попав к программе-драйверу джойстика.
(может еще быть a10005). И изучив эту программу (куда в RAM она записывает значения).

Подводные камни и прочие трюки.
** игры от EA и другие игры которые не запускаются при любом изменении.
Снятие ‘защиты‘. Hot trick.
Используйте ‘MASTER‘ code из книги гейм-гени кодов Codebook.exe или с сайтов где описаны гейм-гени коды.
Этот код описывается как необходимый для того,чтобы работали все остальные коды.
На самом деле он является кодом отключения защиты.
Переведя этот код в формат Adress:data, и вписав это значение через WINHEX в ром-файл мы отключим код проверки дополнительной чексуммы.

Прежде чем продолжать дальше дизасмить базу (определять данные и код).

Важно знать следующие баги в IDA:

«-1(a0) bug»
При дизасме IDA автоматически определяет отрицательные от-но регистров (a0), (a1) и т.д. смещения как адрес RAM FFFFxxxx. На самом деле это не так, так произойдет только в том, случае если в регистр был равен a0=00000000. А как мы уже знаем, он может быть равен чему угодно.

a4 не обязательно равен 00000000.

Исрпавляем (нажав хоткей ‘q‘) :

В случаях если игра не использует данный метод обращения к ‘копии‘ RAM (FFFFxxxx), можно вообще удалить этот сегмент.
Вы должны быть уверены что вы делаете, и что точно не использует прежде чем удалять. Dune использует все три варианта обращения к RAM.

«offset bug»
IDA автоматически определяет многие адреса как оффсеты, хотя они ими не являются.

В большом кол-ве этот вид бага можно получить если вы делали ‘final analisys pass‘.

Исправление (нажать q на число):

«Баг строк«
Этот баг может возникнуть в случае использования длинных ascii строк или создания такой без выделения, а также если вы делали ‘final analysis pass‘. Баг состоит в том, что начинает глючить список имен (+забивается ненужными именами).
Также можно схватить и ‘too many lines‘ баг.

Баг too many lines‘ в Dune. (IDA определила как строку автоматически при final analysis).

Решение:
Сделать undefine на всю область.
А также удалить названия(имя метки ascii).
Также если вы не заполняли базу, создайте новую с нуля и не делайте final analysis.

Трюки:
Исправление адреса от-но регистра. Это очень важный трюк. Он позволит получить абсолютный доступ к RAM в IDA, даже для от-ного метода адресации. (а значит мы сможем задать и метки и видеть точный адрес).

Этот способ я использовал для фикса адресов в Rock n’ Roll Racing.

Получил доступ к меткам и абсолютным адресам в RAM, где подписаны найденные мною переменные.
В данном случае я знал a4=FF8000, т.к. в RRR он всегда равен FF8000.
Если я нажму на метку я перейду в IDA в абсолютный адрес: $FFB95E. (395E+FF800)., т.е. реальный адрес RAM куда пишется значение.

Во всех остальных случаях регистр быть равен чему угодно, но и там его можно ‘отследить‘. Для этого надо изучить код, или использовать дебаг на pc на этот ром-адрес. Регистр может быть равен всегда чему-то одному, а может принимать разные значения. (во-втором случае исправление ‘неточное’, т.к. даст переход только к одному адресу, но это тоже бывает полезно).

ROM:00004E74 lea (word_0_FFBF4C).l,a2
ROM:00004E7A move.b #$FC,4(a2)

ROM:00004E74 lea (word_0_FFBF4C).l,a2
ROM:00004E7A move.b #$FC,byte_0_FFBF50-$FFBF4C(a2)

Трюк выполняется следующим способом:
Выделяем нужный адрес (цифру $395E) и нажимаем CTRL+R. В поле Base adress вписываем адресс который находится в регистре.
Ставим галочку treat base adress as plain number. OK.

Некоторые могут заявить что это не трюк, однако многие известные мне ромхакеры этого не знали, поэтому назыв. так.

Трюк с созданием таблиц:
Допустим вы нашли какие-то данные, знаете за что, они отвечают и хотите их упорядочить.
Для этого выделяем область и жмем правой кнопкой->array. Тут указывается что-то вроде длины и ширины таблицы.

Таблица порядка номеров трасс в RRR данным способом:
(для первой планеты по 4, для второй по 5 и т.д.)

Также можно включить режим мнговенного редактирования (ненадо будет делать сейв):
Нажать F6, и выбрать Default Edit Mode (editable).

Трюки с ромами:
Используйте total commander для сравнения двух файлов. Например оригинал и пиратский хак, или просто хак.
Таким образом вы можете узнать где, и что менять, чтобы получить такой же результат. Также это поможет взломать защиту, если другие методы не помогли.
Также сравнивайте свой хак с оригиналом, если забыли где и что меняли, а также на наличие ошибок (когда забыли отменить изменения и они остались).

Заключение:
Таким методом можно взломать любую игру на Sega, также можно использовать некоторые подходы и для других платформ.

В случае если вы ничего не поняли из сего гайда, Вам остается курить бамбук. Так как понятнее может быть лишь с
картинками, а автору это пока что не под силам, т.к. сам мануал получился немаленьким.
Если вы всё поняли, и вам этого недостаточно, то стоит искать более сложные мануалы, ориентированные на что-то одно (например тех. документация на сегу, или руководство программиста по ассемблеру mc68000), т.е. не надейтесь что всё сделают за вас. Если Вы с чем-то несогласны это остается с вами. Если Вы нашли ошибку вы можете написать ее в ПМ автору.
Также не следует задавать вопросов автору (он не обучает хакингу, а только предоставляет сей мануал). Также не следует спорить, о том как нужно писать мануал и что в нем надо переделать. А также запрещается копировать текст из мануала и куда-то его заливать.

Источник