注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

深夜是徘徊在潮湿睫毛上的我的梦以及他的梦

是直到最后都无法放手的一种气息,是我们生命中最后的思念……

 
 
 

日志

 
 

一起来做NES开发(2)-反汇编  

2011-09-11 21:13:49|  分类: FC开发记录 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

一起来做NES开发(2)-反汇编

 

 

维京猎人

 

摘要

在刚接触NES时,大家总是想了解:别人是怎样写NES游戏的。那么能不能将NES文件译成代码文件来研究呢?答案是肯定的,方法就是反汇编。但复杂的游戏是难以完整的反汇编。我们从简单的说起。反汇编的3个要素:CPU型号、机器码段的开始和结束在NES文件上的地址、机器码段运行时载入NES内部的首地址。本文主要述说NES的反汇编工具的用法。

 

 

正文

 

NES的CPU类型 :6502 (NES的CPU真正型号是6527或2A03,这都是以6502为基础芯片的,使用反汇编工具时选CPU:6502就OK)

 

“假如有一段数据,你确定它是机器码,也知道它将会在哪个地址段上运行,那就可以反汇编了。”

 

说起反汇编,那可是非常难的。这不是指从机器码到汇编码的过程,这只要查表就行,难是难在:

(1)  要将机器码从NES游戏文件(或程序文件)上分离出来,并能确定机器码段的数量和各段的头尾位置。

(2)  要确定各段机器码在运行时的首地址。

 

 

这听起来太复杂了,吓退一帮初学者。对于复杂的游戏,我也是无能为力。

要是只是研究简单的游戏,或者局部的进行反汇编,我这里倒是有一套简单的办法。

 

如何理解我所说的“简单的游戏”?

这个就是指NES游戏的Mapper=0

你不禁要问Mapper是什么,我下面的内容会解答的。

 

 

 

***************************************************

**             我们来操作一下吧                  **

***************************************************

以下内容,地址全用16进制表示。我习惯用$xxxx表示16进制。

 

 

一、如何找到Mapper=0的NES游戏?

你自然有不少的NES文件,同时也知道上哪去下载这些文件,你可以多下载一些你觉得简单的游戏。我下面介绍查看mapper值的方法。

我已经找到几个Mapper=0的游戏:超级玛丽、坦克大战

方法有两个

方法(1) VirtuaNES

用VirtuaNES 打开NES文件,点菜单“文件-ROM信息”就可以查看mapper值了。

方法(2) NesHeader

用网友“疾风の迅雷”写的一个软件NesHeader.exe,可以批量读取整个文件夹上所有NES文件的ROM信息。

 

**

找到Mapper0的NES游戏之后,我们来确定机器码的运行首地址。

Mapper0的nes只有一段机器码段,这就好办了。其首地址有可能是

   $8000  或  $C000

 

先不要问我为什么有两个可能性,我先来教你判断。

 

二、怎样判断Mapper0的NES游戏的机器码的首地址。

第一步:我提供两个办法。

先看NES文件的大小,

NES文件

首地址

例子

24K

$8000或$C000

坦克大战

40K

$8000

超级玛丽

 

另一个办法:用上面提到的NesHeader.exe,查看PROM大小,

PROM大小

首地址

例子

1x16K

$8000或$C000

坦克大战

2x16K

$8000

超级玛丽

 

第二步:如果nes大小=24K则要查看游戏程序的运行地址区域。

用Fcdebug打开ROM,点菜单DEBUG,打开“指令显示/控制”窗口。按“暂停”,查看(运行)地址。(这时看到的是正在运行任一条指令)

地址

首地址

在$8000到$BFFF之间

$8000

在$C000到$FFFF之间

$C000

 

 

本办法是针对Mapper0的NES而设计的,对于别的Mapper值则完全不适用。

 

钻牛角的人要跑来问“别的Mapper是如何找到首地址?”

我在文章的后面解答一下吧。

 

**

接下来要将机器码从NES文件上分离出来。

你要知道,NES文件是由文件头(Head)、程序ROM(即PROM)、图形ROM(即VROM)组成。在ROM里面,连接的顺也是Head-PROM-VROM。其中Head固定占16字节;PROM占[n x 16K],n是一个倍数;VROM占[m x 8K],m是一个倍数。

朋友们看出来了,这个PROM的大小和VROM的大小在ROM信息中出现过。

PROM一般是16K为1页(1 bank),也有8K,4K为单位的。因不同的Mapper值而异。(NES文件中统统以16K为单位记录)

我们专门说Mapper0,这个号是不切页的,所以可以看成只有1页,也就是说:

注:机器码首地址,指机器码运行时在寄存器中的首地址,不是NES文件上的地址。

NES大小

PROM大小

机器码首地址

机器码末地址

机器码长度

40K

32K

$8000

$FFFF

32K

24K

16k

$8000

$BFFF

16K

16K

$C000

$FFFF

16K

 

在上面的述中揭示了一些东西。要是看不明白也没关系,下面可以照着做。

 

 

三、如何才能将机器码从NES文件上分离出来?

我提供两个办法。上面用到的地址,我都算准了。

 

方法(1)DUMP法:

用FCdebug(NES_debug)运行ROM,点菜单DEBUG,打开“指令显示/控制”窗口。按“暂停”,在窗口的最底行,找到“内存”,在边上的两个编辑框里,填入首地址和末地址,建议末地址统一填FFFF,其中$号省略。然后按“DUMP下来”,保存成mem文件。

 

FCdebug是VirtuaNES的一个改版,加入了debug功能。

 

方法(2)HEX编辑法:

用HEX类编辑软件,打开ROM。例如Hex Workshop。

删除前16个字节,然后拉滚动条:

原ROM文件大小

拉到地址(分界点)

说明

40K

8000

这个位置就是分界点,上面是PROM,下面是VROM

24k

4000

将这个地址以下的部分(包括这个分界点)删除或剪切走。留下的部分另存为mem文件。

 

 

**

终于到了反汇编软件上场了。

有人会问:“这个mem是什么文件?”

这个是内存文件,其实就是机器码,里面没有别的东西了。这个后缀名不重要,因为都没有关联软件。你叫他bin文件或别的都行。我只为统一叫法。

 

四、如何将mem文件显示成汇编代码呢?

我用这个

看图标,这是我用的“反汇编器”。它可以对多种CPU进行反汇编。

 

(1)打开它,先要选CPU,在窗口右上角选6502。

(2)用这个反汇编软件,打开mem文件。

(3)然后点选项“BIN文件”,在开始地址,填上“首地址”,

(4)确定提勾“立即反编译”,点“确定”就OK

(5)保存反汇编的asm文档,结束。

 

**

汇编代码是反出来了。可是问题来了:“从何看起?”

针对NES的结构,机器码是有一个入口的,这个入口的地址写在一个固定的地方。我们叫“指针”。共有3个指针,都放在一起,分别指向NMI、RESET、IRQ|BRK。其中RESET就是主程序的入口,NMI是中断的入口,IRQ|BRK是另一种中断入口。

 

 

五、如何找到程序的入口?

将asm文件(用记事本)打开,滚动条向下拉,拉到底。看到FFFA到FFFF的数据,抄下来。

FFFA

FFFB

FFFC

FFFD

FFFE

FFFF

a

b

c

d

e

f

 

记a,b 是一组指针,实际地址为ba,即a为低位,b为高位。如此类推得3组指针。

 

NMI = ba

RESET = dc

IRQ|BRK = fe

 

例如 这是CC65产生的典型的ROM

FFFA

FFFB

FFFC

FFFD

FFFE

FFFF

35

80

00

80

5C

80

 

NMI = $8035

RESET = $8000

IRQ|BRK = $805C

 

 

六、注意事项

反汇编的结果不是全都是代码,其中有部分可能会是数据,也有可能整页都是图型(CHR)数据。反汇编器总是优先将能够反成代码的译成代码。于是你会发现在DB旁边出现没有作用的代码,有时发现代码去读一个指令,其实是在读指针或数据。

另外一些软件生成的ROM会加入一些没机会运行的代码。这可能是优化不完全。

 

 

七、局部反汇编,只做第三步和第四步就行。其中第三步用dump法。具体,多接触就会了解。

 

 

 

疑难解答:

Mapper是什么?

    Mapper是一个编号,用于区分不同电路结构的卡带。NES模拟器拿一个ROM当作是一个卡带来模拟,那么卡带的电路也要区分才能模拟的。卡带不是标准统一的,当时不同的NES游戏开发商都开发出自己独有的保密的卡带;还发展出多个不同的升级产品,可以令游戏性能更理想;同时对游戏程序有保密作用。

 

为什么Mapper0的ROM机器码首地址有可能是$8000或$C000?

Mapper0就是表示卡带电路没有任何特别,卡带的寄存器是直接接到CPU总线上的。也就是有可能

(1)       16K的寄存器接到$8000-$BFFF的地址上并镜像到$C000-FFFF。

(2)       32K的寄存器接到$8000-$FFFF的地址上。

在(1)情况下,$8000-$BFFF和$C000-FFFF的机器码是完全一样的。主要是看程序的作者,将代码(基于).org $8000还是.org $C000进行编译的。

我本来想在“判断首地址”的方法用程序入口的办法,但这个不准确,因为在(1)情况下我可以恶作剧的将程序入口改成对应镜像的位置,程序一样是正常运行的。

 

Mapper0以外的ROM是如何找到首地址?

只有Mapper0不切页,换句话说,Mapper0是静态将寄存器接入总线。其余的Mapper都是动态的将寄存器接入总线。也就是说,是通过程序控制接入某一块寄存器接入总线上某地址段,而原接入的块(页)断开。

答案就是:你要先知道最早是默认接入的寄存器页,将之按mapper0的方法反汇编。然后从程序入口,一行一行看代码,看调入了哪一页,然后计算这一页的位置,将它分离出来。再反汇编。如此直到掌握全部页的动向。

嘿嘿,是不是受不了。

 

 

下一集再见。

以上软件都可以在CSDN找到,或到我的网盘http://fogota.ys168.com/

  评论这张
 
阅读(2587)| 评论(1)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017