[YURIS引擎] 寻找脚本密钥

0x00 背景

在寻找密钥之前来了解一下yuris的脚本

yuris的脚本一般放在一个叫bn.ypf or ysbin.ypf 的封包里。有兴趣了解结构的可以看看这个链接 GarBro 说白了，里面就是一堆zlib压缩的文件，可以搜到zlib压缩的文件头特征。

这个封包里其实都是一些编译后的文件，相当于你写的C++程序编译成了exe，并不是明文，里面也有几种文件格式（看文件头），有兴趣的看这个链接 Notes.txt。

游戏的文本一般在ystXXXXX.ybn文件里，除了一些魔改过的，比如Whirlpool社新版本的yuris，它的文本是在一个sc.ypf的封包，文本全是明文，后缀是.txt，注意这只是文本，脚本其实还是在ybn里编译过的。（一般右键属性-详细里，版本号大于0，477的属于比较不一样的新版本，不过除了文件格式有一些差别，其实汉化的方法是差不多的，除了那些魔改过的版本 比如：比如Whirlpool社新版本的yuris）。

在yst_list.ybn文件里还能看到一些编译之前的 .txt .yst之类的文件名，这些文件其实没编译之前是明文的，可以去yuris的官网下一个来看看。

游戏的标题一般在 yscfg.ybn 这个文件里，当然这里面还有很多有意思的东西，不限于此。

0x01 加密明辨

了解完了，上面这些，我们就来看看怎么解这个文本，你可以找一些现成的工具，当然也可以自己按照文件结构解包。不管怎么样，首先得了解的是，正常如果你自己按照文件结构来解包，用zlib解压后可以得到原始的ybn文件，当然ybn只是一个后缀，里面有多种文件头的文件，假设你是自己解出来的，这时候你可以看到文件头，但是文件的内容如果你自己翻翻，其实是加密过的，不像是明文，但是可以看到一堆像是大段文本的东西。

当然这样的才是游戏正常读进去的文件，也就是说，你把你自己解出来的文件，放到ysbin文件里，游戏是可以正常读取的。

当然大多数时候，我们可能用的都是三方的工具，比如Garbro，这些工具，有些会套用默认的密钥尝试在解包后继续对文件进行解密，有些时候成功，有些时候失败，这就导致解包出来的文件出现了，有些是完全解密的，有些原始文件的情况。游戏引擎只会机械的读取文件，进来后解密，所有如果你的解包工具帮你解密的文件，那么再放入ysbin的时候游戏就会把已经解密的文件当成没解密的文件进行解密，然后就boooooom，崩溃了！！！！

怎么判断有没解密文件，很简单，解包后按文件大小筛选，找到最大的文件，用winhex调到sjis编码，随便翻翻看看，能看到大段的游戏文本说明解密了，或者能看到一些英文单词啥的，当然你也能看到一些游戏菜单或人物名的字符串。如果都看不到，那就说明没帮你解密，当然最简单的是直接放到游戏目录下跑一下就知道了。

0x02 找密钥前传

早前我在某论坛发过一篇找破解某收费汉化组游戏的帖子，那个游戏恰好就是yuris的，而且那游戏已经打不开了，因为汉化组被绳之以法，想破解还真没那么简单，这东西就像是7z压缩包加密码了，除非硬算，或能进一次游戏，不然基本很难破解了。

当然由于一些加密工具的漏洞，我得到了游戏的ybn文件，但是ybn文件是加密的，就像是上面那样，看不到明文。但是你也进不去游戏，因为汉化组被绳之以法，加上汉化组还特意改了游戏的解密密钥，所以和日文版是不一样的。

那最后我是怎么解决的呢？其实很简单，我看了下网上yuris的ybn的加密方法，无非就是xor，它有一个长度固定的密钥，比如 0x99609960 好了，然后用这个密钥对ybn文件跳过文件头xor即可。如果它刚好对一段0x00000000进行了xor，那么它的密钥就写在脸上。所以我找到了日文版的游戏，找到里面ybn文件有大块00的地方（其实基本ybn文件开头都有大块00的地方，没有的话就四处拼接一下），直接读出了密钥。

这个故事也告诉我们，ybn的解密密钥是可以直接读出来的。

当然，由于我们是可以正常打开游戏的，所以就没必要这样了，等下找到密钥了，可以自己去读一个试试

0x03 开找！

这引擎找密钥就很套路了

第一步

搜索字符串

ysbin\yst%05d.ybn

必然有这个，我还没见过没有的。这个看着就是一种格式化字符串的写法（sprintf）。

来到对应位置下断点

看下面红色箭头指向的地方，有个jl往回跳了，这其实是一个循环，还可以看到里面有个很明显的xor字眼。

0043690C  | 33D2                  | xor edx,edx
0043690E  | 83C1 01               | add ecx,1
00436911  | 8BFA                  | mov edi,edx
00436913  | 83E7 03               | and edi,3
00436916  | 0FB687 2C876B00       | movzx eax,byte ptr ds:[edi+6B872C]
0043691D  | 83C2 01               | add edx,1
00436920  | 3041 FF               | xor byte ptr ds:[ecx-1],al
00436923  | A1 78886B00           | mov eax,dword ptr ds:[6B8878]
00436928  | 8B04A8                | mov eax,dword ptr ds:[eax+ebp*4]
0043692B  | 3B10                  | cmp edx,dword ptr ds:[eax]
0043692D  | 7C DF                 | jl magustale.43690E

这一句 movzx eax,byte ptr ds:[edi+6B872C] ，这个6B872C其实就是密钥的地址，跳到这个地址就可以读出密钥了，当然你实在不会就按f8跑，让他循环几下，然后你观察各个寄存器，eax ebx啥的，可以发现有一个寄存器是在四个数之间循环读取的。

当然这其实还不是密钥的产生地点，也就是说，这里的密钥是复制过来的，如果你关掉游戏，再次来到这个地址，发现这个地方是空的。

那么如何定位密钥的产生地点呢？其实很简单，先关掉游戏，来到入口点，对这个地址下一个硬件访问断点、

DWORD或BYTE都行啦，然后跑一下，会来到这个位置

可以看到它把EAX的值，一个个搬过去了，其实这个EAX的值就是密钥啦。如果你再对上面那个call下一个断点，你会发现，这个Yu-ris传进去计算出了一个密钥放到eax里。其实这个密钥也是最经典的yuris脚本的密钥。如果你把Yu-ris改掉，密钥也自然就不一样了。

这里也就可以做一下手脚了，如果你把这些搬运密钥的操作都nop掉，最后密钥就变成了0x00000000，对0 xor还是原来的数，那么这个时候你把解密的文件放到ysbin游戏目录下就可以正常跑了，当然，原来加密的就寄了。适合有些时候不想xor回去的情况。

以下是新版本的，大同小异，当然新版本就不能直接读取ysbin目录了，得稍微改一下，以后再说。