[NES] Prince of Persiaのレベルエディタを作成しています。 第1章 知人

第1章 、 第2章 、 第3 章 、 第4 章 、 第5章 、 エピローグ

免責事項

子供の頃、80年代に生まれた多くの人々のように、私にはDendyプレフィックスがありました。 良き中国人によって私たちに贈られ、悪名高いスティーパーによって配布された日本のファミコンのクローンは、80年代の多くの子供時代を明るい色で塗りました。 何度も、私がこれまで広く愛していたゲームを調べて、考えられるすべての秘密を見つけました（そして、しばしば「秘密と100,500 + 1ゲームを渡す」という精神で有名なタイトルの本がなく、その価値はゼロでした）、私はそれらをプレイしたかったですますます、しかし、新しいレベル、新しい秘密、新しい機会があります。



一部のゲームには組み込みのレベルエディター（たとえば、Battle City、Fire'n'Ice、別名Solomon's Key 2）が用意されていましたが、もちろんそれらのほとんどはそのような機会を提供していませんでした。 私は（当然！）新しいスーパーマリオブラザーズでプレイしたかった（ああ、どのように私は中国人を愛し憎んでいたか、彼は99から9を1カートリッジでリリースし、レベルA-1、B-1、... Z-1は不可能でした合格するか、元のレベルの複製ですが、テクスチャが変更されました）、Duck Tales 1、2、および他の多くのもの。



コンピューターの出現とゲームのエミュレートの可能性により、私の夢のトンネルの終わりに光が明かり、希望が私の中に忍び込み始めました。 さまざまなゲームエディターが登場し始めました。ROMファイルを示すだけで十分で、ゲームの秘密と落とし穴をすべて見ることができるだけでなく、独自のものを追加することもできます。



一方、一部のゲームの編集者はGoogleの最初のリンクにほとんどありましたが、他の編集者はどこか遠くに隠れていました（しかし、まだそこにいました）、またはまったくありませんでした。 お気に入りのゲームのほとんどのエディターを見つけたので、ペルシャ王子のエディターを見つけることができませんでした。 はい、DOSバージョン用のエディター、SNES用のエディターがありますが、私自身のNESバージョンにはそのような宝物がありませんでした。



NESとそのエミュレーションに関するさまざまな種類のリソースは、私の理解に屈することをあまり望んでおらず、noobレベルのどこかに留まりました。



そして、かつて、かつてないほど暑い日没の1時間で、モスクワでベルトを引っ張り、HEXエディターとデバッガーでエミュレーターを開き、ROMに含まれている神秘的なバイトセットを調べ始めました。



私は始めました...しかし、私がさらに話を始める前に、私は注意します：

専門家のためにカットの下に行くことは推奨されません。 初心者の「フラッシュ」方法が考慮されています！ あなたの神経系は不可逆的に損傷を受ける可能性があります！ 警告した。

本質を掘り下げる

HEXエディターで設定されたバイトと、当時不明だった6502プロセッサー命令のセットを見ると、悲しかったです。 この全体像は何も明確にしませんでした。 しかし、目は恐れており、手はしている。 何であるかを研究し始めます。

NESヘッダー

これが表面にある最初のものです。 彼から始めましょう。

ヘッダーのサイズは16バイトで、署名に加えて、ROMファイルに関する技術情報があります。 ROMファイル自体は、1つのファイル内のデータと技術情報の組み合わせです。 ヘッダーの内部を見てください。

4E 45 53 1A 08 00 21 00 00 00 00 00 00 00 00 00





4バイト：署名NES->;

1バイト：16 KB PRG-ROMバンクの数。

1バイト：8 KB CHR-ROMバンクの数。

2バイト：フラグ。

1バイト：8 kB PRG-R A Mバンクの数。

2バイト：フラグ。

残りのテールはゼロです。



フラグには、ビデオメモリの操作に関する特定の情報、元のハードウェアの「バッテリー」の存在、マッパー、およびその他の関心のない技術情報が格納されます（この特定のケースでは必要ないため、説明しません）。



ヘッダーから、マッパー＃2（マッパー番号を持つバイトは6分の5バイトと7バイトで構成されています）と8 16 kB PRG-ROMバンクがあることがわかります。 他のすべてが欠落しています。



ドキュメンテーションから、PRG-ROMバンクは実際にはコード+ CPUによって直接使用される任意のデータであることがわかります。 CHR-ROMバンクは、ビデオサブシステム（PPU）のデータです。 CPUはそれらに直接接続できません。

単一のCHR-ROMがない場合、どのようにして画像を取得しますか？ 非常に簡単：PRGでは、PPUメモリに常にコピーされるデータを保存します。 不便ですか？ はい しかし、このデータに関しては、ある意味では、より強力です。



さらに、Mapper＃2は実際には、機能は同じであるが構造が異なる複数の異なるマッパーを意味することがわかります。UNROMとUOROM、UxROMの名前で結合されています。 違いはPRG-ROMバンクの数のみです。最初は8バンク、2番目は-16です。いずれの場合も、最後のバンクはRAMの最後に固定され（$ C000- $ FFFF）、残りの7（または2番目の場合は15）を切り替えることができます$ 8000- $ BFFFのメモリ領域に。

これはすべて、現時点では賢明なことを何も伝えていない技術情報です。

缶詰を買いだめ

したがって、ROMファイルを9つのコンポーネント（ヘッダーと8つのバンク）に分割できます。 見出しを編集しても意味がありません。 エミュレータプログラムの情報はそこに保存されていますが、銀行の編集方法はわかりません。 第一に、銀行には厳密な構造がなく（たとえば、コードとリソースがセクションにあるPE形式のように）、データをコードとランダムに混在させることができます。 たぶん、私たちはまったく幸運ではなかったかもしれず、レベルを構築するためのデータは実行可能なコードによって形成されます。



しかし、私たちはオプションを理解しますが、バイナリポリッジ全体から必要なものをどのように取得しますか：

1. 最も複雑であるが、最も普遍的なものであるシーケンシャルリバースコードデバッガー。 この方法を使用すると、必要なものに確実に到達し、コードの作成方法に関する追加情報の形でボーナスが得られます。 マイナス面は明らかです。逆に多くの時間を費やしますが、これはそれほど悪いことではありません。まだ何も知らないため、アセンブラーとさまざまなプログラミング「トリック」の研究に90％の時間を費やすことになります。 つまり 効率は約10％です。 十分ではありません。
2. RAMを調べ、メモリにアクセスするためのブレークポイントをデバッグします（以下を参照）。 この方法はすでに優れています。 調査するメモリは比較的少なく、64 KBの使用可能なメモリのうち、半分はROMファイルからバンクに移動し、この半分はIOポートによって予約または使用されています。 そして最後に、残りの半分はまだ半分に勝っています。 半分はPPUのIOポートであり（多くはありませんが、半分はミラーリングされています）、もう1つは2 kBの4つの部分に分割されます。 最初の部分はコードで使用される実際のRAMで、残りの3つは最初の部分のミラーです。 したがって、学習用に2 kBのメモリが残っており、これは私の目で直接学習できます。 メソッドの効率はより高いです、なぜなら 目の前にライブデータがあり、実行時に変更して結果を確認できます。
3. 読み取りデータの調査。 別のレベルに移動するとき、または別の部屋に移動するときに、ROMファイルから読み取られたデータを調べます。 思い出すように、プリンスオブペルシャでは、各レベルは部屋に分割され、その間で実行されます。
4. 「Flayer」メソッドは「Bruteforce」です。1バイトを連続的に変更し、結果のスクリーンショットを撮り、なぜスクリーンショットを調査するのかを説明します。

必要な量の材料を準備し、調査に進みます。 私たちは逆の順序で学習します。単純なものから学習するもの（スクリーンショットを見るだけ）から複雑なもの（デバッガーのリストを調べる）までです。



ツールで武装：

• ヘルパーユーティリティを作成するためのお気に入りのPL。 それは何でもかまいません。 VS2010の一部としてC ++を使用しました。
• デバッガーを備えたエミュレーター。 FCEUXエミュレーターのさまざまなブランチのバージョンを使用しました。 FCEUXおよびFCEUXDSP。 最初のものには、非常に単純なことを行うことができる単純な不器用なデバッガーがあります。 2番目のものには、メモリのデバッグと学習のための非常に強力なツールがありますが、残念ながらしばしばクラッシュするため、単純なケースでは最初のものに頼りました。
• 任意の16進エディター。 WinHEXを使用しました。これにより、ファイルを保存せずに実行できます（任意のバイトを編集してCtrl + Eを押します）。
• コードのヘルプについては、NESブートローダーでIDAProを使用できます。 cah4e3からブートローダーを使用できます。 しかし、彼女から奇跡を期待しないでください、なぜなら 実行中の銀行は動的に変更され、正しいコードは最後の銀行からのみになります。
  
  

始める前に、UxROMとは何かを見てみましょう。

一般的に言えば、マッパーはエミュレーターの観点からはアルゴリズムであり、鉄の観点からはメモリー内のバンクの切り替えを処理する一種のコントローラーです。

最初：なぜ彼はこれをしているのですか？

第二に：彼はどうやってそれをするのですか？



最初の質問への答えは簡単です：プロセッサがアドレスできるRAMは多くなく、64 kBだけで、コードとデータだけでなく、入力/出力ポートだけでなく、他のもの（それが格納されている不揮発性メモリなど）もプッシュする必要があります一部のゲームの中間結果）。 コードを実行すると、メモリ内のすべてのデータが作業に必要となるわけではないため、単純にそれを除外して、特定の時点でより重要な場所に配置することができます。 ROMメモリの隣に、コントローラがカートリッジにインストールされており、コマンドで、アドレスメモリ内の目的のピースを表示します。 ゲームの複雑さに応じて、これらのコントローラーは充填量が異なりました。 一方、中国人はこのビジネスを時間通りに引き受け、多くの異なる（適切な、そうでない）マッパーを思い付きました。 これにより、多数のマルチゲームがあります。



2番目の質問では、UxROMマッパーの操作のみを考慮します。残りは今は興味を引くものではないからです。 マッパーは最後のバンク（＃07または＃0F）を取得し、アドレス$ C000- $ FFFFに配置して、それ以上触れません。 他のすべてのバンクは、バンク番号のスペース$ C000- $ FFFF（＃00-＃06または＃00-＃0E）の任意のアドレスに記録した後（一般的な場合）、必要に応じて含まれます。 ただし、これは次のように正しく行われます。アドレス$ FFF0 + Nに、Nが書き込まれます（Nはバンク番号）。その結果、アドレス$ 8000- $ BFFFに、目的のバンクの内容が表示されます。

瓶をwithで切り刻みます。 メソッド番号4。

これを行うために、1バイト（単純な増分：バイト++）を変更し、別のファイルに保存し、エミュレーターで受信したROMを起動し、スクリーンショットを撮ってエミュレーターを閉じる小さなユーティリティを作成しました。

スクリーンショットの数を減らすのが賢明です。なぜなら、 130,000を超えるスクリーンショットを学習するには、大雑把なスクリーンショットでさえ困難です。



PRG-ROMバンクしか持っていないので、それらのいくつかはおそらく私たちにとって興味のないタイルも保存しています。 それらを除外しようとします。

任意のタイルエディターを使用して、その中のROMファイルを開きます。 私はTile Layer Proを使用しました。これは非常に古いプログラムですが、そのビジネスを知っています。 これは次のようなものです （ゲームのファイナルファンタジーのスクリーンショットタイル）。 プログラムウィンドウのステータス行は、各タイルのオフセットを示します。 データウィンドウをスクロールして、タイルが明らかに終了し、グラフィックスの観点からの「ガベージ」データが始まるポイントまでスクロールできます。 スクロールすると、最初の2つのバンクがグラフィックであることがわかります。 それらをスキップし、6つの銀行が残ります。 すでに「唯一」96 kB。 難しいですが、それでも簡単です。



じゃあ この方法で必要なデータをどのように見つけることができますか？ 非常に簡単です。スクリーンショットを一目見ただけで、一部のスクリーンショットでは、部屋のブロックが徐々に変更されます。 部屋はそれぞれ10x3ブロックで構成され、30個のスクリーンショットが連続しています。隣接ブロックを他のブロックに変更する必要があります。たとえば、「コンクリート」ブロックを列などに交換できます。



並べ替えユーティリティを傍観者のどこかで開始し、ROMから読み取ったデータの調査に進みます。

缶の蓋を包丁で切ります。 メソッド番号3。

この方法は前の方法と似ていますが、調査するデータの量を大幅に削減します。 どうやって？

FCEUXDSPには、読み取ったデータを隣接するファイルに保存するツールがあります。 [開始]ボタンと[一時停止]ボタンを押す間、読み取られたデータは、元のファイルに保存されている場所のファイルに正確に配置されます。 したがって、データ固定ダイアログを開き、[開始]をクリックして、ある部屋から別の部屋にゲームを実行し、[一時停止]を押して、前の段落と同様に、記録されたデータを調べます。 このデータは大幅に少なくなります。 実際、コード自体は、注意すべき点を示してくれます。 そして、100バイトまたは2バイトの作業を整理するのは手作業でさえありません。



これについては、一時停止し、キッチンに行き、コーヒーを入れて、6502プロセッサの指示に関するドキュメントを開くことを提案します。

方法番号2を使用する前に、敵と知り合うことは害になりません。

内容物を調べるために顕微鏡を置きます。 悪魔は描かれているほどひどいものではありません。

6502プロセッサには、 文書化された命令が56しかありませんので、少なくとも1杯のコーヒーで十分に説明できます。

コードをすぐに理解するのは難しいので、学習用の簡単なCライクな言語を思いついたので、そこにアセンブリシートを簡単に翻訳できます。



まず、ドキュメントからいくつかのポイントを強調します。

1. アドレス指定には、直接レジスタ<->メモリ（IMM）を使用できます：LDA $ 00; STA $ 00;
2. インデックスレジスタを直接含む：レジスタ<->メモリ+インデックス：LDA $ 0000、X; STA $ 0000、Y;
3. インデックスレジスタを含む間接：レジスタ<->ポインタ+インデックス：LDA（$ 00）、X; STA（$ 00）、Y;

間接アドレス指定では、プロセッサは2つのセル（最初のメモリページ$ 00- $ FF内）から16ビットポインターを抽出し、インデックスレジスタの値をそれに追加し、取得したアドレスのセルを操作します。



ここから、次の擬似コード規則を作成します。

• 変数を$ XXXX（XXXXはそのアドレス）として示します。
• 直接アドレス指定を#XXXX [Y]として示します（XXXXはアドレス指定元のアドレスです）。 アナログ：*（（char *）（XXXX + Y））= A;
• 間接アドレス指定は、$ XXXX [Y]（Cの配列との完全な類似）として示されます。
• 持っている手順はすべて同じです：char sub_XXXX（）{}。 NESには引数を渡すための規則がないため、引数はありません。 原則として、データはレジスタまたは変数を介して送信されます。
• レジスタには元の名前（A、X、Y）があります。
• 8ビットの数値は、HEXで#XXとして記述されます。

簡単な銀行切り替えコードを取得します。

 $F2D3:84 41 STY $0041 = #$00 $F2D5:A8 TAY $F2D6:8D D1 06 STA $06D1 = #$06 $F2D9:99 F0 FF STA $FFF0,Y @ $FFF0 = #$00 $F2DC:A4 41 LDY $0041 = #$00 $F2DE:60 RTS ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

行ごとに翻訳してみましょう：

 char switch_bank() //       A { $0041 = Y; //  Y Y = A; $06D1 = A; //     #FFF0[Y] = A; //       $FFF0+N  N ( N -   ) Y = $0041; //   Y return A; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

それでは、もっと複雑なコードを見てみましょう。

 ;;         PPU $F302:20 D3 F2 JSR $F2D3 $F305:8E 06 20 STX $2006 = #$41 $F308:A9 00 LDA #$00 $F30A:8D 06 20 STA $2006 = #$41 $F30D:A2 10 LDX #$10 $F30F:A0 00 LDY #$00 $F311:B1 17 LDA ($17),Y @ $020E = #$03 $F313:8D 07 20 STA $2007 = #$00 $F316:C8 INY $F317:D0 F8 BNE $F311 $F319:E6 18 INC $0018 = #$02 $F31B:CA DEX $F31C:D0 F1 BNE $F30F $F31E:4C 10 D0 JMP $D010 ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

翻訳の最初の段階：

 char sub_F302() { sub_F2D3(); // switch bank. Bank counter in A register // $2006 – PPU Address register // $2007 – PPU data write //  $2006     // ( ,  ) // 2007       //  PPU.     PPU //    1. $2006 = X; //    $2006 = #00 //    X = #10; label_F30F: Y = #00; label_F311: //   $0017:$0018   // ,  ,     PPU $2007 = $0017[Y]; Y++; if ( Y != #00 ) goto label_F311; $0018++; X--; if ( X != #00 ) goto label_F30F; return sub_F2D3(#05); //  5-  }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

そして、翻訳の最終段階：

 void WriteDataIntoPPU(char Bank, char PPULine) { switch_bank(Bank); // switch bank. PPUADDRESS = PPULine; //    PPUADDRESS = #00; //    for(X = #10; X > 0; X--) { for(Y = #00; Y <= #FF; Y++) { PPUDATA = $Tiles[Y]; } $Tiles += #100; //     } return switch_bank5(); }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2つの簡単な手順で、読みにくい（初心者向け）アセンブラーリストをわかりやすいコードに書き直しました。 switch_bank5プロシージャは考慮しませんでした。レジスタAに番号＃05を割り当てるための一般的なコードがあり、sub_F2D3バンクスイッチングプロシージャが呼び出されます。 コードを読み取り可能なコードに変換するときに自動化を開発するには、3つの手順をいくつか行うだけで十分でした。 約10〜5〜7 KBのテキストファイルを蓄積した後、コードを翻訳する必要がなくなりました。すべてが頭の中で自然に起こり始めました。

私たちは花束とキャンディー期間に渡します

第2章では、最後の2つの方法に精通し、NESの神秘的な世界に深く入り込みます。 最後に、最初の3つの方法を組み合わせることで、必要なデータを見つけることができます。 4番目は明らかな欠点のために破棄されます。



「なぜあなたはそれを説明しましたか？」という質問の出現を想定して、私はすぐに答えます：主題を調べるとき、結果を与えることができるすべての方法は良いです。 私たちの場合、この方法は、コードの荒野に入らずに針を突き刺してブラックボックスを調べる場合に役立ちます。ある点に結果を与えてください。 この方法には、ブルートフォースの明らかな利点があります。 何らかの方法で、私たちは何かにつまずきます。