Cheat engine hook hcode ...Визуальные новеллы фэндомы 

Делаем собственный hcode к новелле.

Собственно почему бы и нет. В русскоязычном сегменте гайдов никаких нет, в англоязычном все довольно-таки старенькие. Поэтому запилю свой гайд как делать хук код к новелле которую вы собирались почитать, а текст нихуя не вытаскивается.

Во первых нам нужен инструментарий.

1. Cheat Engine как дебагер, удобный, мало весит, имеет вполне себе юзерфрендли интерфейс. Скачать можно всегда с офф сайта https://www.cheatengine.org/

2. Textractor — собственно достойная замена ITH и ITHVNR, хотя если точнее продолжение. Скачать можно на странице релизов с гитхаба https://github.com/Artikash/Textractor/releases

3. Наша подопытная новелла. Я взял тупа первую новеллу к которой просили хук на хонге. Скачать эту новеллу можно отсюда https://sukebei.nyaa.si/view/2640189

A pluet Junior Member Join Date: May 2006 Posts: 28 01-24-2019, 12:32 PM Requesting H-Code'sfor: №£&} >H * A,£ J'Afk-b « A,~3 L â [H-Game] http://www.getchu.com/soft.phtml?id=1029425 O Last edited by pluet; 01 -24-2019, 12:43 PM. #8232,Визуальные новеллы,фэндомы,Cheat engine,hook,hcode


Собственно поехали.

Я скачал данную новеллу и открыл текстрактор. Жмакаем аттач то гейм и выбираем процесс с нашей игрой. Автоматом подхватились нужные треды с обрывками текста.

TP- Textractor □ X ¡brc r Mi ite: ost: [Sffi] ш? ▼ 101Ç,Визуальные новеллы,фэндомы,Cheat engine,hook,hcode


В данном случае это GetGlyphOutlineA, как видно текст дают нам не полностью а только его часть. Данный косяк мы и будем исправлять.

Прежде всего следует поискать существует ли в памяти нужная строка в неизменном виде.

Жмакаем кнопку add hook и в открывшимся окне вводим S[впечатываем сюда нужную строку]

T- Add hook X Search for text S[codepage#]text OR Enter read code R{S | Q | V>[codepage#][*deref_offset]@addr OR Enter hook code H{A | B | W | S | Q | V}[N][codepage~ ]data_offset[*deref_offsetl][: split_offset[*deref_offset2]]@addr[: module[ :func]] All numbers except codepage in


Жмем ок и чуточку ждем. В консоли должны появится записи, что добавились новые юзерхуки, проверяем их.

Жмакаем на окно нашей новеллы и прогоняем несколько строк, смотрим добавились ли они в окно с нашим юзерхуком. В данном случае вторая строка добавилась, но на третьей споткнулась, похоже, что меняется адрес куда записывается новая строка и этот вариант нам не подходит.

TP- Textractor □ X,Визуальные новеллы,фэндомы,Cheat engine,hook,hcode


Переходим к самому интересному и веселому открываем cheat engine.

Подрубаемся деббагером к нашей новелле. Выбираем процесс и жмакаем Attach debugger to process.

^ Process List X File Applications Processes Windows 00003590-Microsoft Store л 00003590-Входящие — Yandex ?- Почта 0000239С-Параметры 00002288-Почта ф 00002D90-qBittorrent v4.1.5 ^ 00002214-[M-KV2501] Wakfu 1x02 [BDRip] [108 gj 00002594-XP-PenWin(20190304J.zip (пробная » ООООЗВАС-Кино и ТВ


После того как подключились к процессу необходимо перейти на нужный адресс в окне memory view. 

В красной рамке собственно располагается окно с ассемблерными инструкциями. Жмем по нему правой кнопкой мышки и нажимаем Go to address.

Cheat Engine 6.8.3 File Edit Table D3D Help 000042D8- ??????????????- ???????' Found: 0 :46F2 i. îme to ight-hu a. m it I feel Address Value Previous Memory View Advanced Options 0 H Memory Viewer e Search View Debug Tools Kernel tools ???| Idress B^s E9 78FEFFFF CC

Нужный нам адресс можно получить в окне textractora треда который не полностью захватывает текст.

Красным подчеркиванием выделил где находится данный адрес. Вводим его в окошко Goto Adress, первые две цифры не трогаем, мы должны поменять только последние 6.

8:42D8:755EE24 GetGlyphOutlineA (HA8@E240:GDI32.dll),Визуальные новеллы,фэндомы,Cheat engine,hook,hcode

Goto Address Fill in the address you want to go to X 1 0046F298I OK 1 Cancel ! : 755ЕЕ240 :¿6F298:0 : GetGlyphOutlineA (HA8@E2,Визуальные новеллы,фэндомы,Cheat engine,hook,hcode

Собственно в окне memory view должна выделится нужная позиция.

Конкретно здесь выделение должно быть в инструкции адрес который я подчеркнул красным. Кстати в окне memory view адрес пишется с учетом оффсета от реального адреса, а не того который выделили в памяти. Поэтому реальный адрес инструкции 6F298 относительно начала файла экзешника нашей новеллы, в то время как в памяти нашего пк адрес 0046F298. Ну это так чисто техническая инфа, я хуй знает зачем это пишу.

w ????.exe+6F28E ????.exe+6F290 ????.exe+6F291 JC. 6A 06 56 51 pusn push push push eux 06 esi ecx ????.exe+6F292 FF 15 A8A04D00 call dword ptr [ ????.exe+6F298 8B 43 OC mov eax,[ebx+0C] ????.exe+6F29B 8B 10 mov edx,[eax] ????.exe+6F29D 8B 40 04 mov eax,[eax+04] ????.exe+6F2A0 83 C2 03 add

Далее мы должны поставить breakpoint, выделяем нужный адрес и правой кнопкой мыши установить breakpoint либо же просто жмем ф5.

Итак мы выделили нужный адрес и поставили брикпоинт, когда он ставится, до инструкция выделяется зеленым цветом.

Ткнем в диалог новеллы и она должна зависнуть, а интерфейс memory viewera слегка изменится. Давайте пройдемся по нему поподробнее.

^ Memory Viewer - Currently debugging thread 2AS4 File Search View Debug Tools Kernel tools ????.exe+6F280 Address Bytes Opcode ????.exe+6F280 50 push eax ????.exe+6F281 8B 44 24 14 mov eax,[esp+14] ????.exe+6F285 51 push ecx ????.exe+6F286 8B 88 FC090000 mov ecx,[eax+000009FC]

Собственно 1 это окно просмотра адреса памяти в хекс режиме. Полезно посмотреть что скрывается в различных адресах. Нихуя не буду углубляться в что такое поинтеры и с чем их едят. Я вообще когда начинал ебашил все методом научного тыка и нихуя не знал.

2. Окно с нашим стеком, что такое стек я тоже нихуя не буду писать, во всяком случае сейчас. Окно это дюже полезное и позже объясню почему.

3. Регистры, собственно в 32битных программах есть регистры EAX, EBX, ECX, EDX, ESI, EDI, EBP и ESP подробнее про них вы можете прочитать не у меня, так-как по большему счету я тоже мало знаю об этом, короче считайте регистры что-то вроде переменных. Про флаги и сегменты регистров я тем более нихуя не знаю, так-как их не использую в принципе.

4. Окно с ассемблерными инструкциями.

Окей. С этим мы разобрались, хотя я почти на сто процентов уверен, что никто нихуя не понял. Неудивительно из меня хуевый учитель, но поехали дальше.

Собственно наше окно с регистрами горит красным и если мы пощелкаем ф9, то сможем увидеть как некоторые показатели в регистрах меняются. Мы знаем, что по адресу 6F292 вызывается инструкция GDI32.GetGlyphOutlineA собственно туда отправляются наши японские символы в количестве одной штуки. Я кстати не читал документацию но чисто на эмпирическом уровне думаю, что данное апи выводит на экран текст, хотя если бы было так, оно выводило не весь текст, хуй с ним, может люди умнее меня скажут нахуй она нужна. Опять я что-то отвлекся.

Конкретно в данном случае можно сразу запалить 2 байта 

Registers: Flags EAX 005354A3 OF 0 EBX 045E2223 DF 0 ECX AC011A62 SF 0 EDX 0277D050 ZF 0 EDI 000001E0 PF 0 E3F ESP EIP 00000000 0015F110 0046F252 CF 0 Segment Registers CS 0023 SS 002B DS 002B ES 002B FS 0053 GS 002B,Визуальные новеллы,фэндомы,Cheat engine,hook,hcode

В регистре ESI 82B1 я уже столько раз делал хук коды, что точно знаю, что все японские символы в SJIS кодировке состоят из двух байтов и первый байт у них начинается с 80. Есть очень полезный сайт который позволит хекс коды перевести в читабельный текст http://freaka.freehostia.com/charset.php

Благодаря этому сайту мы понимаем, что 82В1 = こ. Да так и есть, каждый раз при вызове ф9 мы продолжаем выполнение программы и каждый раз когда срабатывает брикпойнт регистр ESI меняется показывая нам новую букву. Хорошо с этим мы разобрались. Но как же выловить весь текст полностью? Ну в данном случае придется окунуться в наш стек, что бы найти истину.

Memory Viewer - Currently debugging thread 3A78 File Search View Debug Tools Kernel tools □ X ????.exe+6F28C Address Bytes Opcode Comment A ????.exe+6F28C 57 push edi ????.exe+6F28D 52 push edx ????.exe+6F28E 6A 06 push 06 6 ????.exe+6F290 56 push esi ????.exe+6F291 51 push ecx

В окошке со стеком, жмем правой кнопкой мышки и выбираем Not system modules only. Теперь мы увидим в окне адреса модулей. Наша задача выйти из этой подпрограммы в которой вызывается функция GDI32. Тут наверное стоит сделать лирическое отступление. Я сам нихуя не понимаю до конца как это работает, буду говорить с той позиции какой вижу это я. 

Всякие инструкции Всякие инструкции Всякие инструкции Всякие инструкции Всякие инструкции call - вызов подпрограммы Всякие инструкции Всякие инструкции Всякие инструкции Всякие инструкции начало функции Всякие инструкции Всякие инструкции Всякие инструкции Всякие инструкции Всяки^инструкци^^^^^

Зеленой рамочкой обведен наш брикпоинт, наша задача выйти из данной функции в место откуда её собирались вызывать жирная черная стрелочка. В начале каждой новой функции на вершину стека кладется адрес возврата выполнения программы. По мере заполнения стека он будет опускаться все дальше вниз в окне стеков. Поэтому мы ищем в окне стека именно этот адрес возврата. На рисунке выше он 00473CF0. На нашей схеме я его обвел красной рамочкой.

Итак в окне стеков первые три модуля отправляют нас в область защищенной памяти, это не ассемблерные инструкции поэтому они нам не интересны. 4 же возвращает адрес куда должно передаться управление программой после завершения этой функции то есть до оператора ret что в простонородье означает return ака возвращение.

Нам нужно поставить брикпоинт прямо перед выполнением функции в которой происходит вызов в GDI32.

Memory Viewer - Currently debugging thread 2A84 File Search View Debug Tools Kernel tools □ X ????.exe+72CE9 Address Bytes Opcode Comment >>????.exe+72CE9 8B CE mov ????.exe+72CEB E8 E0C4FFFF call ????.exe+6F1D0 ????.exe+72CF0 8B 13 mov edx,[ebx] ????.exe+72CF2 8B44 24 1C mov

В нашем случае это адрес 72CE9 чуть ниже мы можем увидеть функцию call и еще на один ниже наш адрес возврата из той функции 72CF0. Поставим брикпойнт и немного погоняем ф9, смотрим есть ли где-нибудь наш текст. Ах да, поставим full stack в окне стека. Если мы дважды щелкнем кнопкой мыши на первую позицию в стеке после того как нажмем ф9, то в окне хекс отображения сможем увидить два байта нашей буквы в sjis кодировке. Значит мы сделали все правильно и буква появляется еще выше по выполнению данной функции, если бы мы нигде не смогли отыскать нашу букву, то алгоритм работы слегка изменился и нам пришлось искать место где она появляется в функции где вызывается GDI32, но этого не произошло и продолжаем искать дальше.

В данный момент у нас должно быть активно два брикпоинта при нажатии Ctrl+b мы увидим их адреса, либо же можно нажать мышкой сверху view -> breakpointlist. Наша задача понять они выполняются каждый одинаково, то есть сначала первый потом второй и если да, то это место для хука не подходит, так-как мы знаем что у нас проебаны буквы.

Breakpoint list — □ X Address Size Trigger Type On Hit 0046F292 1 On Execute Hardware Breakpoint (0) Break 00472CE9 1 On Execute Hardware Breakpoint (1) Break,Визуальные новеллы,фэндомы,Cheat engine,hook,hcode

Жмакаем ф9 и видим, что они выполняются последовательно, значит ищем дальше. Мне чуйка сразу подсказала, что текст формируется именно в этой функции и я решил пройтись по ней с самого начала. Брекпоинт по адресу 0046F292 можно нахрен удалять. Что бы попасть в начало функции жмакаем правой кнопкой мыши на окне с инструкциями выбираем select current function, наш отшвырнет на адрес 72A2D, поставим здесь брикпойнт и пощелкаем ф9.

^ Memory Viewer - Currently debugging thread 2A84 □ X File Search View Debug Tools Kernel tools ????.exe+72A2D Registers: Flags Address Bytes Opcode Comment >>????.exe+72A2D 55 push ????.exe+72A2E 56 push esi ????.exe+72A2F 57 push edi ????.exe+72A30 A1 E0B252O0 mov

Заодно не забываем проверять наш стек и регистры на наличие чего нибудь напоминающие буквы в хекс виде. Из проделанной работы мы узнаем, что начало функции вызывается куда чаще чем адрес 72CE9, а значит вот оно, больше никуда лезть не нужно, нам осталось отыскать место где появятся наши заветные два байта. Жмем ф8 и потихонечку спускаемся вниз все это время следя за регистрами и стеком.

Memory Viewer ■ File Search View Currently debugging thread 2A84 Debug Tools Kernel tools □ X ????.exe+72A5A Address Bytes Opcode Comment ????.exe+72A5A 8B 96 C8010000 mov edx,[esi+000001C8] ????.exe+72A60 8B BC 24 90000000 mov edi,[esp+00000090] ????.exe+72A67 89 8E DC040000 mov

Ага, вот тут после выполнение команды в адресе 72A88 в регистре EAX появилось кое-что интересное. А именно появляется первый байт нашей буквы, мы ведь помним, что первый байт всех японских символов начинаются с 80. Отлично идем дальше.

Memory Viewer ■ File Search View Currently debugging thread 2A84 Debug Tools Kernel tools □ X ????.exe+72A6D Address Bytes Opcode Comment A ????.exe+72A6D OFBE 8E 550DOOOO movsx ecx,byte ptr [esi+OOOOOD55] ????.exe+72A74 89 44 24 38 mov [esp+38],eax ????.exe+72A78 89 96 E0040000 mov

А вот наклюнулся и второй байт в регистре ECX, он появился после выполнения команды в адресе 72A92. За ним идут две операции and, где по сути избавляются от минуса, и мы применяем побайтовый сдвиг влево на 8 у регистра EAX. Вот оно, уже рядом.

Memory Viewer - Currently debugging thread 2A84 File Search View Debug Tools Kernel tools □ X ????.exe+72A8A Address Bytes Opcode Comment ????.exe+72A8A 8D 4C 11 01 lea ecx,[ecx+edx+01] ????.exe+72A8E OFBE 55 01 movsx edx,byte ptr [ebp+01] ????.exe+72A92 33 CA xor ecx,edx

Собственно вот и оно. После инструкции в адресе 72AA2 наши два байта объединились и стали единым целым. В адресе 72AA4 можно поставить брикпойнт и пожамкать ф9, что бы убедится, что все буквы появляются именно здесь. Как только мы в этом убедились. Жмем Ctrl+B и удаляем все брекпойнты, они нам больше не понадобятся. Самое время запилить наш хук.

Цепляться будем ка адресу 72AA4 который идет сразу после того как наши два байта объединяются.

Откроем textractor подрубимся к экзешнику с нашей игрой, если вы вдруг его закрыли, если не закрывали, то он должен быть уже заатачен к процессу игры. жмем добавить хук код add hook

Memory Viewer - Running □ File Search View Debug Tools Kernel tools ????.exe+72AA4 Address Bytes Opcode Comment >>????.exe+72AA4 8D 90 617DFFFF lea ,[ -0000829F] ????.exe+72AAA 89 7C 24 18 mov [esp+18],edi ????.exe+72AAE B9 02000000 mov ecx,00000002 2 ????.exe+72AB3 83 FA 52 cmp edx,52

Ну и собственно вбиваем наш хук. Если у вас экзешник из иероглифов, имя желательно полностью скопировать. Как составлять хуки тут есть целая памятка. /H собственно с этого начинается любой хук код. A - берет два байта в кодировке SJIS little endian, B следует использовать когда байты повернуты наоборот. То есть в данном примере у нас 8179 - это А, а если бы было 7981, то нужно было бы в писать в хук B. Префикс N, блядь, я знаю, что это значит но по умному хуй знает как описать. Короче, суть. Если не писать N, то будет дополнительно учитываться регистер ESI вроде бы, точно не помню и если он постоянный то все будет ок, но если вдруг каждый вызов он будет меняться, то вы получите кучу всяких потоков, поэтому использовать его нужно с умом. Собственно собака, потом адрес куда мы будем хукаться, напомню этот адрес идет сразу после того как мы получили наши цельные два байта. Двоеточие и имя экзешника полностью. Жмем окей и вуаля. Хук работает, а мы великолепны.

*3 (F) ¡S$(S) T- Textractor 42D8: m^M.exe 1D:42D8:472AA4:0:0: UserHook (HAN-4@72AA4:MI#il.exe) X JiP&D^fv.....o Summer Princess-chan... -t?t>&c I don't want you to be my girlfriend. Saffle's from good. mX] r?% ?/u6©9^e«J:......J Shota: "That's no good..." m§* ^^oD?oo°j v,Визуальные



Ну и два видосика с примерами в конце. 
 
 
Развернуть

Music&Video VN Ever17 -The Out of Infinity- Зарубежные VN ...Визуальные новеллы фэндомы 

Немного хорошей музыки из отличной новеллы.






Развернуть