강좌 & 팁

안녕하세요.

요즘 들어 일본이 또 독도를 못살게 구는군요.

인터넷 상에서도 오래 전부터 ‘독도는 일본땅’ 이라는 허위 정보를 장기간에 걸쳐 조금씩 조금씩

퍼뜨렸다고 합니다.

기회만 엿보며 야금야금 남의 땅 뺏어가려는 저 피곤한 소인배들을 어찌해야 한단 말입니까.

모든 일본게임에 훈민정음을 박아 주는 그날까지.

앞서 강의한 자료에 이어 계속 이어지는 AT코드 찾기 강좌입니다.

1편에선 실패했지만…

이번엔 성공하니까 스크롤 끝까지 내리셔서 확인하실 필요 없습니다. (퍽퍽~!!ㅜㅜ)

1편에서 우리는 비록 실패했지만 다음과 같은 과정을 숙지하였습니다.

대사 수집 ? 다음에 나올 대사의 메모리에 브레이크포인트 ? 브레이크 걸림!

왜 실패했나 곰곰히 생각해 보도록 하죠.

사실 이유랄건 없습니다.

당연히 먹혀야 할 방법인데 안먹힌 것 뿐이고, 우리는 계속해서 찾아나가면 됩니다.

앞서 발견한 함수가 대사에 접근하는 것은 맞는데, 출력하는 함수는 아닌가 봅니다.

하지만 대사가 있는 메모리는 이곳 하나뿐이기 때문에 어떻게든 화면에 대사를 출력하려면 대사 메모리에 접근해야 할 것입니다.

그러면 우리는 2가지 가정을 세울 수 있습니다.

1. 진짜 대사 출력 함수가 이 메모리에 다시 접근할 것이다.

2. 앞서 찾은 함수는 비록 출력함수는 아니었지만, 대사를 또 다른 메모리 어딘가에 복사하는 함수였다. 따라서 대사 출력 함수는 그 새로운 메모리에 접근 할 것이다.

여기서 후자의 경우는 생각하면 복잡해지니, 긍정적인 사고로 1번의 경우라 생각하고 진행합시다.

강좌 1편과 똑같이 올리디버거로 게임을 시작시킵시다.

그리고 게임이 시작되면 새 게임을 선택하여 첫 대사를 출력시킵니다.

강좌 1편과 같이 올리디버거로 Alt+M을 눌러 메모리 상태창으로 이동한 뒤, Ctrl+B로 다음의 대사를 찾도록 합시다.

아래는 강좌 1편에서 수집한 대사죠.

저장해 두셨으리라 믿습니다…

안 해두셨다면 어쩔 수 없고요 ㅡ,.ㅡ;;;

<두 번째 대사>

<두 번째 대사의 처음 세 글자의 바이너리 값>

자 그럼 8E 76 82 A4 82 B1 을 찾읍시당.

바이너리 데이터를 입력하시고…

OK를 누르시면 04B0B763 이란 메모리가 검색되었네요.

찾아진 메모리에 브레이크 포인트를 설정합시다.

혹시나 이 대사를 저장하고 있는 메모리가 더 존재하는지 확인하기 위하여, Memory Map 창에서 Ctrl+L 을 눌러 봅시다.

그럼 나머지 부분들을 주루룩 찾아 내려 가다가 Item not found 라고 찍히며, 창 하단에 노란색이 잠시 깜빡입니다.

네, 이곳 외에 대사가 저장된 메모리는 존재하지 않는다는 확실한 증거죠.

그럼 안심하고 게임에서 다음 대사로 넘어가기 위해 클릭을 한번 해줍시다.

브레이크 포인트가 걸렸습니다.

앞서 1편에서 찾은 그 함수입니다.

별로 반갑지 않은 친구네요.

우리는 이 함수가 대사 출력과는 상관이 없다는 것을 1편을 통해 뼈저리게(?) 깨닳았습니다.

혹시 이런 질문을 하실 수도 있습니다.

‘이 함수가 직접적으로 대사를 출력하진 않지만, 여기서 다른 함수를 호출하여 거기서 대사를 출력할 수도 있는거 아닌가요?’

네, 좋은 질문입니다.

답은 ‘거의 그럴 확률은 1% 미만입니다’ 죠.

우리는 1편에서 함수 진입점을 후킹했습니다.

왜 스택의 감소값까지 역추적해가며 굳이 진입점을 후킹하려 했을까요?

함수는 보통 아래와 같이 생겼죠.

‘콩 심은데 콩 나고, 팥 심은데 팥 난다’는 말이 있죠.

콩 심는 순간 팥으로 바꿔치기 했는데 함수 중간에 콩 꽃이 피어 올라올 리 없다는 거죠.

물론 괴짜 프로그래머나 조잡한 컴파일러를 사용한 경우라면 예외가 있을 수 있겠지만, 이 정도 상용 게임을 출시할 만한 회사가 그런 프로그래머나 컴파일러를 쓸 리 없죠.

그리고 함수 진입 시의 인자 조작은 프로그램 흐름상으로도 부작용이 적습니다.

함수 중간에 포인터를 바꿔치기 하면, 어떤 재앙이 닥칠지 모릅니다.
 

자, 다시 처음의 가정을 다시 상기시켜 봅시다.
 

이 함수가 끝나서 리턴 된 후, 어떤 코드가 또 다시 이 메모리에 접근할 것이다.

그 코드가 대사를 출력하는 코드다.

결론이라기 보담은 막연한 기대에 가깝지만… 일단 해봅시다.

단순하고 쉬운거 부터 먼저 해보는게 소프트웨어 공학의 미덕입니다. ㅎㅎ

F9를 눌러 실행을 재개합시다.

엇.. 그런데.

방금 전 잡아놓은 메모리 브레이크포인트 때문에 자꾸 이 함수 안에서 브레이크가 걸리는 군요.

이 함수가 끝난 후를 노려야 하니, 메모리 브레이크 포인트를 풀어줍시다.

그리고 함수 끝자락에 브레이크 포인트를 걸어 놓읍시다.

함수 끝은 보통 RETN으로 끝이 납니다.

(어셈블러마다 RET, RETN 등 표기법은 다르지만 똑같은 겁니다.)

뒤의 8은 stdcall 호출규약에서 스택을 +8 만큼 원상복귀 시켜준다는 의미인데,

알 필요 없으니 그냥 넘어갑시다.

함수 끝자락에 브레이크포인트를 걸었고, 메모리 브레이크포인트를 해제하였다면 F9를 누릅시다.

단숨에 RETN 코드까지 오는군요. ㅎㅎ

이제 이 상태에서 대사 메모리에 다시 브포를 겁시다.

(브포 : 브레이크 포인트 ㅡ,.ㅡ;;;)

이제 어떻게 설정하는지 다 아실겁니다.

브포를 걸었다면 F9를 눌러 진행해 봅시다.

그랬더니!!

435237이란 코드가 떡밥 넘버 04B0B763을 물었다가 올리에게 낚였습니다.

파닥거리는 소리가 들리는듯..

CMP는 두 값을 비교하란 명령입니다. 

BYTE PTR DS:[EDI]는 대사의 첫 번째 바이트입니다. (즉, 8E죠.)

CL은 현재 0입니다.

그 다음 줄엔 JE 특정지점 이 보입니다.

즉, EDI가 가리키는 메모리의 첫 바이트와 0을 비교하여 두 개가 같다면 특정지점으로 짬프(jump)하라는 뜻입니다.

보통 C/C++ 같은 언어에선 문장의 끝을 0으로 표시합니다.

첫 바이트부터 0이라면 출력할 필요가 없는 빈 문장이란 뜻이겠죠.

역시나 점프하는 특정지점이란 곳이...

찾아가보니 이 함수의 거의 끝자락이군요.

오호라… 냄새가 납니다. (냄새…)

이 주소를 후킹해 보기로 합시다.

그런데 여기서 대사 포인터가 저장되어 있는 EDI의 값은
 
이 함수의 어디서 세팅 되었을까요?

함수 내에서 코드를 거슬러 올라가다 보면… 아악~~!

눈알이 빠질 것 같습니다.

겨우 찾아낸 곳이

함수 진입점 부근이군요.

ESP가 58, 4, 4, 4, 4 이렇게 감소되었으니 16진수로 총 68이 감소되었습니다.

따라서 저기 보이는 [ESP+6C]는 함수 진입점에서는 [ESP+4] 입니다.

[ESP+4]는 함수 호출시 첫 번째 인자죠.

여기서 팁을 알려 드리겠습니다.

꼭 위처럼 거꾸로 계산하지 않더라도  콜 스택 이란것을 보면 쉽게 알 수 있습니다.

Alt+K를 누르시면 콜 스택 창이 뜹니다.

Arg1 에 대사 메모리 주소가 넘어오고 있군요.

콜 스택이란 어떤 함수가 어떤 함수를 호출했고, 호출된 함수가 또 어떤 함수를 호출했고 그런 정보를 보여줍니다.

따라서 위의 작품을 설명드리자면

436130 함수 내에서 435130 함수를 호출했는데 그 인자로 04B0B763, 0013FE04를 넣었다.

라는 겁니다.

하지만 불행히도 콜스택이 항상 이렇게 착한 모습으로 나타나진 않습니다.
 

자, 이제 후킹할 함수 지점(435130)도 알았겠다, 그 인자([ESP+4])도 알아냈으니 AT코드에 적용해 봅시다.

우선 게임을 다시 실행시킨 후 AT를 먹입니다.

후킹주소 추가를 눌러 우리가 찾은 함수 진입점 435130을 적으시고

메모리는 [ESP+0x4]를 선택합니다.

그리고 메모리 바꿔치기 방식을 선택해 주세요.

자! 한글이 출력되나 볼까요~

앗!! 이게 모얌~!!

뭔가 달라진 것 같은데 네모나라 언어가 출현하네요.

SHIFT-JIS 코드 범위에 들어가지 않는 문자는 이런 식으로 필터링 되나 봅니다.

당황하지 마시고 옵션에서 ‘한글을 일본 문자셋으로 변환’을 체크해 줍시다.

짜잔~

한글 대사가 나옵니다.

이름은 여전히 번역이 안되는군요.

이름은 다음 강좌에서 찾아보도록 하겠습니다.

그럼 3편에서 계속….