這幾天在玩劍三，突然興趣來了，想要分析劍3的資源打包格式。在資源分析和逆向方面原來偶爾也干過，
不過總體來說還是處于菜鳥階段，這篇文章希望和其他有興趣的兄弟分享下這幾天的經歷，僅僅作為技術研究。

一、安全保護

  一般來說，很少有游戲的資源格式可以直接通過分析資源文件本身得到答案，大部分難免要靜態逆向、動態調試。
無論是靜態逆向還是動態調試，首先需要知道當前exe和dll的保護情況，用peid查看，發現只有gameupdater.exe 用upx加殼了。不太明白金山為什么對客戶端沒有加殼。
其實我并不關心gameupdater.exe 是否加殼，畢竟要動態分析的目標是JX3Client.exe ，要動態調試JX3Client.exe，首先要解決啟動參數問題。

二、啟動參數

  如果直接啟動JX3Client.exe，JX3Client.exe會直接退出，并啟動gameuodater.exe，然后通過gameupdater.exe啟動JX3Client.exe。
這種啟動方式會影響動態調試，所以首先我需要找出JX3Client.exe的啟動參數。打開IDA逆向，轉到啟動處，匯編代碼如下：
start proc near
call    ___security_init_cookie
jmp     ___tmainCRTStartup
start endp
這是一個典型的VC程序入口，在___tmainCRTStartup 里，crt會初始化全局變量、靜態變量，然后進入main,我們需要做的是直接找到main,
跟進去，會發現IDA已經幫我們找到WinMain了，直接跟進去，
關鍵代碼在WinMain的入口處：

從這個代碼片段可以知道，WinMain開始就比較了命令行參數是否是"DOTNOTSTARTGAMEBYJX3CLIENT.EXE ",如果不是，
則轉到啟動更新程序了。這個好辦，我們寫一個run.bat，內容只有一行：
JX3Client.exe DOTNOTSTARTGAMEBYJX3CLIENT.EXE
運行，果然，直接看到加載界面了。

三、PAK文件管理

  在劍3里，PAK目錄下有很多PAK文件，劍3是通過package.ini 來加載和管理pak內部文件的。
這個文件內容如下：
[SO3Client]
10=data_5.pak
1=ui.pak
0=update_1.pak
3=maps.pak
2=settings.pak
5=scripts.pak
4=represent.pak
7=data_2.pak
6=data_1.pak
9=data_4.pak
Path=.\pak
8=data_3.pak
基本上PAK目錄下所有的PAK文件都列出來了，其實劍3的資源文件打包方式基本上和新劍俠情緣類似（細節還是有比較大的差別）。
打開ollyDbg，帶參數啟動JX3Client.exe，在CreateFile設置斷點，可以發現，package.ini 的讀取和處理是在
Engine_Lua5.dll 的g_LoadPackageFiles 函數，熟悉新劍俠情緣資源管理方式的同學大概會猜到這個函數是做什么的，先看看函數內容吧，這個函數比較長
只能逐步的分析了，首先是打開ini文件

使用g_OpenIniFile打開前面提到的ini文件，如果打開失敗，自然直接返回了。
打開成功后，循環讀取ini配置的文件，讀取的section是SO3Client 讀取的key是0到0x20。

loc_1001119A:           ; int
push    0Ah
lea     ecx, [esp+1A0h+var_178]
push    ecx             ; char *
push    ebx             ; int
call    ds:_itoa        ; 這是根據數字生成key的代碼
mov     edx, [ebp+0]
mov     edx, [edx+24h]
add     esp, 0Ch
push    40h
lea     eax, [esp+1A0h+var_168]
push    eax
mov     eax, [esp+1A4h+var_184]
push    offset unk_10035B8C
lea     ecx, [esp+1A8h+var_178]
push    ecx
push    eax
mov     ecx, ebp
call    edx             ; 讀取INI內容　readString(section, key)
test    eax, eax
jz      loc_1001127A

這段是通過readString("SO3Client", key)來獲取pak文件名, key就是"0"~"32"的字符串，也就是最多能配置32個Pak文件。
獲得了pak文件名后，下面就是打開和保存pak文件的索引數據了。

后面的注釋是我分析的時候加上的，IDA這個功能不錯！
首先new一個0x20字節的空間用來存儲pak對象（我自己命名的類），接著調用構造函數，創建pak對象。
創建對象后，要用這個Pak對象打開對應的pak文件了，這是我們下面的代碼：

首先通過
mov     [edi+edx*4], eax
將對象保存，然后，調用這個類的成員函數打開pak文件，具體代碼在sub_10010ca0。

這段代碼的意思很明白了，打開文件，讀取0x20的文件頭，


這里做的是驗證文件格式，和一些必要的驗證。

這段是讀取pak內部文件數目，讀取索引數據，以備后面查詢使用。
到此為止，所有pak文件的管理對象都已經加載和設置完畢了。
以上內容看起來很順理成章，但是實際上凝聚了無數的失敗和重試。
后面是pak內部文件的查找和讀取了。
剩下的內容明天貼了～～～