生化危机2原版“随地打开仓库”CE找call调用call

lostmilkyway

    主要实现生化危机2原版随地打开仓库，通过仓库打开时候的flag变量是1或0为切入点，下断点步进，找到关键call代码自行调用。

    通过打开仓库为1，关闭仓库为0找出了两个基址，这两个基址不确定谁可以用那就一个一个试，对第一个地址右键点击“找出什么改写了这个地址”
   

    经过观察可知第二行代码与“仓库打开”动作有关，对这一句进行反汇编。
   

    进来直接对这句下断点，然后返回游戏打开仓库看游戏是否被暂停。经过测试游戏在打开仓库的时候成功被暂停，但是，打开背包这个动作也会暂停游戏，那么这个地址应该不是需要找的，对另一个地址进行相同测试。
   

   经过测试，此断点只会在打开仓库的时候才会中断游戏，然后就在这点击“Step Out”，找出是谁调用的它。
   

   出来位置在蓝条那里，它的上一条语句是一个“call”，那么这个就很有可能是要找的“打开仓库call”。
   

   直接发个call试试。首先对这个call下个断点，然后让游戏运行到断点。观察寄存器EAX，可知这一段call的是4EDBC0这个地址。
   

   然后点击“工具”->“自动汇编”->"模板"->“CT表框架代码”,然后写入如下信息。然后点击"文件"->“分配到当前CT表”
   

   让游戏运行，勾选这个框框返回游戏，发现此时听见箱子打开声音了但是卡住了，并没有打开箱子，游戏卡死。没办法，重启游戏读档接着来。
   

   如果单纯这个call就可以实现打开箱子的话，那么手动调用call应该也没问题，首先这个call确实和打开箱子有关，那么卡死可能是和“传参”有关，接着进入这个call里面看函数结尾，一个简简单单的ret并没有返回值，说明这个函数是没有传入参数的。不然的话需要，ret 传入参数大小，需要抛弃掉传入参数占用的栈空间。
   

   没办法，对着这个call往上面找找看看。对这个je下一个断点返回游戏，好家伙不停地在中断，看来外面这一层是“游戏帧”，每一个帧都会执行一遍，只能硬着头皮试了，对关键call的上一个call的下一个代码下断点，观察寄存器情况。
   
  
   下好断点单步调试查看寄存器情况，发现到这里eax为0，直接跳跃避开了“打开仓库call”，嗯很可疑，中止断点让游戏运行，在打开仓库的一瞬间接着下断点看看情况。
   

   接着一步一步调试，发现此时eax值不为零，执行了“仓库call”，接下来尝试直接给这个地址赋值。首先基址是539460，一级指针偏移是82B4，在CE里面添加这个地址看看。
   
   
   确定，然后将数值进行十六进制显示。
   
   

   发现游戏运行后关掉仓库这个数值变成了0，直接手动改为4EDBC0看看。此时直接隔空靠原力打开了仓库，然后换一个场景试一下。依然可以，原来这个游戏仓库的打开靠的是一个标志位，游戏帧运行的时候不停的在判断这个标志位，接下来可以写一个完整的脚本了。
   

   脚本如下，保存。此时勾选激活框返回游戏直接打开了仓库，目标成功实现。
   

   里昂篇同理。
    Resident evil2.zip (621 Bytes, 下载次数: 13)

2021-7-3 20:45 上传

点击文件名下载附件
CT表

   

lostmilkyway

附带一个CT表对应的游戏下载 https://box.hyds360.com:4433/down/65501-2.html

hyltlll

感动，经典的游戏和楼主的钻研精神！RESPECT!

lcwww

好复古的游戏。。20年了吧。。。现在没力气再玩了

雾都孤尔

骨灰级玩家又可以玩一波，可我多找不着游戏本体了

HallOFSky

生化危机二啊，好熟悉的名字

随意飘荡

这个让我想起了传奇的通存通取

xgameboy

向经典致敬，向研究经典的大佬致敬！另外问一句，这个随时随地开仓库仅仅是打开了仓库的动画，并没有实际效果吗（存放物品）？

lostmilkyway

xgameboy 发表于 2021-7-4 21:47
向经典致敬，向研究经典的大佬致敬！另外问一句，这个随时随地开仓库仅仅是打开了仓库的动画，并没有实际效 ...

肯定有啊，不然这不是改了个寂寞。。。

wohaofanlou

刚下载完游戏。