這幾天在玩劍三，突然興趣來了，想要分析劍3的資源打包格式。在資源分析和逆向方面原來偶爾也干過，
不過總體來說還是處于菜鳥階段，這篇文章希望和其他有興趣的兄弟分享下這幾天的經(jīng)歷，僅僅作為技術(shù)研究。

一、安全保護(hù)

  一般來說，很少有游戲的資源格式可以直接通過分析資源文件本身得到答案，大部分難免要靜態(tài)逆向、動態(tài)調(diào)試。
無論是靜態(tài)逆向還是動態(tài)調(diào)試，首先需要知道當(dāng)前exe和dll的保護(hù)情況，用peid查看，發(fā)現(xiàn)只有g(shù)ameupdater.exe 用upx加殼了。不太明白金山為什么對客戶端沒有加殼。
其實我并不關(guān)心gameupdater.exe 是否加殼，畢竟要動態(tài)分析的目標(biāo)是JX3Client.exe ，要動態(tài)調(diào)試JX3Client.exe，首先要解決啟動參數(shù)問題。

二、啟動參數(shù)

  如果直接啟動JX3Client.exe，JX3Client.exe會直接退出，并啟動gameuodater.exe，然后通過gameupdater.exe啟動JX3Client.exe。
這種啟動方式會影響動態(tài)調(diào)試，所以首先我需要找出JX3Client.exe的啟動參數(shù)。打開IDA逆向，轉(zhuǎn)到啟動處，匯編代碼如下：
start proc near
call    ___security_init_cookie
jmp     ___tmainCRTStartup
start endp
這是一個典型的VC程序入口，在___tmainCRTStartup 里，crt會初始化全局變量、靜態(tài)變量，然后進(jìn)入main,我們需要做的是直接找到main,
跟進(jìn)去，會發(fā)現(xiàn)IDA已經(jīng)幫我們找到WinMain了，直接跟進(jìn)去，
關(guān)鍵代碼在WinMain的入口處：

從這個代碼片段可以知道，WinMain開始就比較了命令行參數(shù)是否是"DOTNOTSTARTGAMEBYJX3CLIENT.EXE ",如果不是，
則轉(zhuǎn)到啟動更新程序了。這個好辦，我們寫一個run.bat，內(nèi)容只有一行：
JX3Client.exe DOTNOTSTARTGAMEBYJX3CLIENT.EXE
運行，果然，直接看到加載界面了。

三、PAK文件管理

  在劍3里，PAK目錄下有很多PAK文件，劍3是通過package.ini 來加載和管理pak內(nèi)部文件的。
這個文件內(nèi)容如下：
[SO3Client]
10=data_5.pak
1=ui.pak
0=update_1.pak
3=maps.pak
2=settings.pak
5=scripts.pak
4=represent.pak
7=data_2.pak
6=data_1.pak
9=data_4.pak
Path=.\pak
8=data_3.pak
基本上PAK目錄下所有的PAK文件都列出來了，其實劍3的資源文件打包方式基本上和新劍俠情緣類似（細(xì)節(jié)還是有比較大的差別）。
打開ollyDbg，帶參數(shù)啟動JX3Client.exe，在CreateFile設(shè)置斷點，可以發(fā)現(xiàn)，package.ini 的讀取和處理是在
Engine_Lua5.dll 的g_LoadPackageFiles 函數(shù)，熟悉新劍俠情緣資源管理方式的同學(xué)大概會猜到這個函數(shù)是做什么的，先看看函數(shù)內(nèi)容吧，這個函數(shù)比較長
只能逐步的分析了，首先是打開ini文件

使用g_OpenIniFile打開前面提到的ini文件，如果打開失敗，自然直接返回了。
打開成功后，循環(huán)讀取ini配置的文件，讀取的section是SO3Client 讀取的key是0到0x20。

loc_1001119A:           ; int
push    0Ah
lea     ecx, [esp+1A0h+var_178]
push    ecx             ; char *
push    ebx             ; int
call    ds:_itoa        ; 這是根據(jù)數(shù)字生成key的代碼
mov     edx, [ebp+0]
mov     edx, [edx+24h]
add     esp, 0Ch
push    40h
lea     eax, [esp+1A0h+var_168]
push    eax
mov     eax, [esp+1A4h+var_184]
push    offset unk_10035B8C
lea     ecx, [esp+1A8h+var_178]
push    ecx
push    eax
mov     ecx, ebp
call    edx             ; 讀取INI內(nèi)容　readString(section, key)
test    eax, eax
jz      loc_1001127A

這段是通過readString("SO3Client", key)來獲取pak文件名, key就是"0"~"32"的字符串，也就是最多能配置32個Pak文件。
獲得了pak文件名后，下面就是打開和保存pak文件的索引數(shù)據(jù)了。

后面的注釋是我分析的時候加上的，IDA這個功能不錯！
首先new一個0x20字節(jié)的空間用來存儲pak對象（我自己命名的類），接著調(diào)用構(gòu)造函數(shù)，創(chuàng)建pak對象。
創(chuàng)建對象后，要用這個Pak對象打開對應(yīng)的pak文件了，這是我們下面的代碼：

首先通過
mov     [edi+edx*4], eax
將對象保存，然后，調(diào)用這個類的成員函數(shù)打開pak文件，具體代碼在sub_10010ca0。

這段代碼的意思很明白了，打開文件，讀取0x20的文件頭，


這里做的是驗證文件格式，和一些必要的驗證。

這段是讀取pak內(nèi)部文件數(shù)目，讀取索引數(shù)據(jù)，以備后面查詢使用。
到此為止，所有pak文件的管理對象都已經(jīng)加載和設(shè)置完畢了。
以上內(nèi)容看起來很順理成章，但是實際上凝聚了無數(shù)的失敗和重試。
后面是pak內(nèi)部文件的查找和讀取了。
剩下的內(nèi)容明天貼了～～～