ゲーム解析入門 ～東方紅魔郷を例に～【新歓ブログリレー2017 14日目】

初めに

こんにちは、long_long_floatです。プログラム担当です。

皆さんは「ゲーム解析」と聞いて何を思い浮かべますか? 認証回避やチートなどグレー(ブラック)な行為を思い浮かべる人もいるかもしれませんが、本記事ではゲームをきちんと購入した上で他人に迷惑をかけない範囲でゲームの内部パラメータ表示などの攻略の補助になるようなハックをしていきます。

なお、ソフトウェアによっては逆アセンブルなどのリバースエンジニアリングを禁止している場合もあるので規約を確認してください(今回対象の東方紅魔郷はそのような記述はなかったです)。また、認証回避やチートなどの行為を推奨しているわけではありません。

また、自分も解析についてはプロではないのであまり高度なトピックは期待しないほうがいいです。

解析対象のゲームについて

今回解析するゲームは「東方紅魔郷」(以下紅魔郷)という同人シューティングです。これは東方シリーズ初のWindows版で、第6作目にあたります。ちなみに第1作目は1996年発表でPC-98向けでした。結構歴史あるんですねー。

やりたいこと

さて、自分はこの紅魔郷を最近始めた訳ですが(今更感すごい)、道中はスイスイ行ってもボスで結構ミスしてしまうわけです。そこで紅魔郷にはクリア済みのステージを遊べるプラクティスモードというものがあるのですが、ご丁寧に道中から遊ばなければいけないのでボスだけを練習したい場合、結構面倒くさくなります。

そこでゲーム内部の値を弄ってボスまで飛ばそうというのが今回の目的です。

準備

以下のツールをダウンロード、インストールしてください。本記事で使ったバージョンも記しておきます(あまり操作感は変わらないと思うので最新で問題ないです)。本記事では日本語化はしないので適宜行ってください。また、本記事ではツールの使い方を一から説明しないので詳しい使い方はREADME等読んでください(うさみみハリケーンは日本語で詳しく書いてあるので必読)。

• うさみみハリケーン
• プロセスのメモリをいろいろできる
• 0.24

以下は本文では使いませんが、解析によく使われるツールです。

• OllyDbg
• プログラムの動的解析(実際に動かしながら解析)をする
• 2.00.01
• IDA Pro Free
• プログラムの静的解析(プログラムを動かさずに解析)をする
• Freeware Version 5.0

本編

まず、手始めにスコアを書き換えることで基本的な流れを把握します。というのはスコアは特有の数値になることが多く検索がしやすいからです。

1. 紅魔郷を起動する。
2. うさみみハリケーンを起動する。起動時にプロセスを選択するウィンドウが出るので紅魔郷を選ぶ。
3. スコアを適当に増やす。
4. 現在のスコアで検索
5. うさみみハリケーンのメニューから検索
6. メモリ範囲を指定して検索(64bit Mode)

1. 検索・比較単位を4Bytes(DWord)にして現在のスコアで通常検索

• サイズの根拠は最大スコアが999,999,999(=0x3B9AC9FFは4Byte)なので

1. 恐らく0069BCA0と0069BCA4がヒットします。
2. 見つかったアドレスに対応する値を書き換える。2つ出てくると思いますがどちらでもいいです(恐らく前者はスコアのアニメーション用のカウント、後者は前者の目標値だと思われます)。

上手くいくと上画像の状態から下の画像のようにありえんスコアになります。Playerが増えているのは増加したスコアによってエクステンドしたからで、Powerが減っているのはスクショをとるときに一回死んだからです…。

では実際に飛ばせるように解析するわけですが、先ほどのスコアのようにどこをどうしたらいいか自明ではないです。そこで以下の仮説(正しいとは言っていない)を立ててそれをもとに解析していきます。

ゲームがループするたびにインクリメントされるカウントが存在していて、そのカウント値によってイベント(ボスが出てくる等)が発生する。そのカウントを書き換えることでボスまで飛ばせるはず。

まず、カウントは一定間隔で増加しているはずです1。そこで変動検索というものを活用します。これはメモリ内の値の変動を検索することができ、カウントは増加しているので増加している値を検索すればカウントが見つかるだろうという寸法です。

1. 紅魔郷でステージ1開始後、メモリ範囲を指定して検索(64bit Mode)
2. オプションをCommit-ReadWrite、検索・比較単位を4Bytesに設定
3. 変動検索の比較用メモリの「確保・記録」をクリック

• これは指定した領域のメモリのデータを別のところに記録します。比較する(初回のみ)ときはこれが基準になります。

1. 紅魔郷を適当に進める
2. 検索ウィンドウに戻り変動検索実行の「増加」をクリック
3. 2.に戻る(2回目以降の検索は右のリストの絞り込みになります)

そこで、先ほどのスコアとカウントは近い場所にあると仮定して、スコアのアドレスを調べてみます。スコアの値(0069BCA0にあります)を選んでいる状態で右クリック→表示アドレスを指定をクリックしてください。すると以下のウィンドウが開きます。

先の仮定通りならカウントもスコアと同じ領域(00479000 ~ 00479000 + 00270000)にあるはずです。カウントのような様々なところから参照される変数はグローバル変数として定義されているのが自然です。

先ほどの範囲検索で変動検索の範囲を指定すると15件に絞るこむことができました。

どうせなのでうさみみハリケーンで使える改造コード2を作ってみました。作り方は簡単でアドレス-上書きしたい値のフォーマットに沿えばうさみみハリケーンで改造コードとして使えます。そのまま飛ばしてしまうとPowerがそのままで練習にならないのでPowerも書き換えるようにしました(スコアと同じ方法でできます)。

stage1

; ボスまで飛ばす
005A5FB0-9014
; Power 64
0069D4B0-40

stage2

; ボスまで飛ばす
005A5FB0-5017
; Power MAX
0069D4B0-80

005A5FB0-4016

自動化する

ここまでの方法だと飛ばすためにはいちいち改造コードを実行する必要があり、なかなかに面倒です。そこでDLLインジェクションを用いて既存の関数を上書きすることでステージ開始時に飛ばすことができます。早速実装をしていきたいところですが…間に合わなかったので今回はここで終わりにします。代わりに参考になりそうなリンクを張っておきます。

• http://d.hatena.ne.jp/aki33524/20131110/1384031374
• http://www.usamimi.info/~ide/programe/touhouai/report-20140705.pdf
• http://titech-ssr.blog.jp/archives/1047454763.html

また、関数のアドレスを知るのにはプログラム自体を解析しないといけなく、OllydbgやIDA Proのお世話になるので使えそうなtipsをいくつか書いておきます。IDA Proは管理者権限で実行しないとエラーが出て解析できないので気を付けてください。

例外を無視する(Ollydbg)

Ollydbgでアタッチしてから実行するとプログラムが頻繁に例外で中断されます。これはかなり鬱陶しいので頻繁に発生する例外を無視してしまいましょう。Options→Exceptions→Ignored exceptionsで無視する例外を指定できます(Add currentで今の例外を追加できます)。

メモリにブレークポイント(Ollydbg)

あるアドレスにアクセスする命令を突き止めたいときにこれは使えます。読み込み、書き込み、実行をフックにできます。

アセンブリをグラフ表示(IDA Pro)

アセンブリを表示しているときに右クリック→GraphViewをクリックするとアセンブリをグラフ表示できます。

終わりに

うさみみハリケーンを用いたゲームの解析を解説しました。自分が初めてやった時の感想としては思ったより簡単なところ(ツールの使い方。今までめんどくさそうだなぁと避けていた)と難しいところ(目的の値を探すところ。手掛かりがないと手さぐりになってしまう)があるなと。でも、手掛かりがない時に実際のプログラムはどう作られているかを想像しながら解析すると手掛かりが見つかったりします。本格的なゲームでも結局はいつも作っているプログラムと同じなんだなぁと実感しました。

明日はkaz, Durunの記事です。

参考

• http://kira000.hatenadiary.jp/entry/2014/04/12/022801
• http://www.k3.dion.ne.jp/~dt2/usamimihurricane/webhelp/index.html
• http://brain.cc.kogakuin.ac.jp/~kanamaru/lecture/MP/final/part06/node8.html
• http://www.ertl.jp/~takayuki/readings/info/no02.html