O dia que fiz engenharia reversa num jogo de Gameboy Advance

Transcript

1. O dia que fiz engenharia reversa Num jogo de Gameboy

   Advance 
 com @macabeus

2. agenda O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE

   GBA
3. None

4. Projeto

5. Projeto Tools

6. Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA

   Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools

7. Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA

   Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools Live demo!

8. Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA

   Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools Desafios na implementação: WebAssembly Salvando o novo tilemap na ROM Live demo!

9. Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA

   Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools Desafios na implementação: WebAssembly Salvando o novo tilemap na ROM Resultados Live demo!

10. o projeto O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO

    DE GBA
11. None
12. None
13. None
14. None
15. None
16. None
17. None
18. None
19. None

20. github.com/macabeus/klo-gba.js

21. github.com/macabeus/klo-gba.js

22. Tools O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE

    GBA

23. https://problemkaputt.de/gba.htm

24. https://www.hex-rays.com/products/ida

25. None

26. Esticar a ponte O DIA QUE FIZ ENGENHARIA REVERSA NUM

    JOGO DE GBA
27. None
28. None
29. None

30. Aqui está a ponte

31. Aqui está o panel de debugger

32. Esse é o tile ID. Nesse exemplo, os tiles com

    ID 9B são do canto esquerdo da ponte. 9A é o ID da parte contínua da ponte.

33. Aqui diz onde o tile está armazenado na memória. Nesse

    exemplo, está em 0600F1AD.

34. https://bit.ly/gba-manual-memory

35. O GBA tem diversas segmentações na memória… https://bit.ly/gba-manual-memory

36. …e o endereço encontrado entra na região denominada VRAM (Video

    RAM). https://bit.ly/gba-manual-memory

37. A ponte inicia aqui!

38. A ponte inicia aqui!

39. Podemos fazê-la ficar maior!

40. Podemos fazê-la ficar maior!

41. Podemos fazê-la ficar maior! WTF??!

42. VRAM > Display > ? Fluxo dos dados

43. entendendo o DMA O DIA QUE FIZ ENGENHARIA REVERSA NUM

    JOGO DE GBA
44. None
45. None

46. A VRAM carrega o timemap contendo apenas o que o

    jogador está vendo. Assim, existe uma outra região da memória que contém todo o conteúdo, sendo ela a fonte dos dados

47. https://bit.ly/gba-manual-tilemap

48. Direct Memory Access D M A https://bit.ly/gba-manual-tilemap

49. DMA https://bit.ly/gba-manual-tilemap

50. É um recurso do sistema do computador que permite que

    determinados subsistemas de hardware acessem a memória principal do sistema (memória de acesso aleatório), independente da CPU https://bit.ly/gba-manual-tilemap

51. tldr; faz um copia-e-cola mais rápido https://bit.ly/gba-manual-tilemap

52. DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0

    0600F000 80000200 DMA3: 03004800 07000000 84000048

53. DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0

    0600F000 80000200 DMA3: 03004800 07000000 84000048 O byte mais próximo da ponte (0600F1AD).

54. Em outras palavras, a VRAM é atualizada aqui DMA3: 03000900

    0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 84000048

55. DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0

    0600F000 80000200 DMA3: 03004800 07000000 84000048 Esse byte é o data source da VRAM. Está localizada na seção Fast WRAM.
56. None

57. E indo para esse endereço…

58. A ponte inicia aqui!

59. Esticando-a…

60. Esticando-a… e…

61. Esticando-a… …isso funciona! e…

62. Stretching it… …It works! And… WTF??!

63. Stretching it… …It works! And… WTF??!

64. None
65. None

66. Nossos tiles extras desaparecem quando fora do alcance da visão

    do jogador.

67. ? Fluxo dos dados VRAM > Display >

68. Fast WRAM > > Fluxo dos dados VRAM Display

69. Fast WRAM > > ? > Fluxo dos dados VRAM

    Display

70. Vamos falar de fisica O DIA QUE FIZ ENGENHARIA REVERSA

    NUM JOGO DE GBA

71. Se ▪▪▪▪▪▪▪▪▪ O Klonoa deve cair O Klonoa deve fi

    car parado

72. Object Attribute Memory O A M

73. OAM

74. None

75. Nesse endereço o Klonoa é armazenado na memória

76. DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0

    0600F000 80000200 DMA3: 03004800 07000000 8400003E

77. DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0

    0600F000 80000200 DMA3: 03004800 07000000 8400003E Podemos ver exatamente o byte que escreve no objeto do Klonoa (07000000).

78. DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0

    0600F000 80000200 DMA3: 03004800 07000000 8400003E Podemos ver exatamente o byte que escreve no objeto do Klonoa (07000000).
79. None

80. O primeiro byte num objeto define a posição Y…

81. …e atualizando-o…

82. …e atualizando-o…

83. …e executando um frame, nota-se que atualizou a posição Y

    do Klonoa!

84. …e executando um frame, nota-se que atualizou a posição Y

    do Klonoa! Mas também retorna no byte o valor correto…

85. …e o Klonoa continua a cair como se nada tivesse

    acontecido
86. None
87. None
88. None
89. None
90. None
91. None

92. 03004800: Posição Y do Klonoa no OAM

93. 03004800: Posição Y do Klonoa no OAM 03002926

94. 03004800: Posição Y do Klonoa no OAM 03002926 0800A4C6: Escreve

    em 03002926

95. 03004800: Posição Y do Klonoa no OAM 03002926 0800A4C6: Escreve

    em 03002926

96. 03002926

97. 03002926

98. None

99. Câmera 03002926:03002927

100. 63 00 63 00 Câmera 03002926:03002927

101. Posição in-game 03002922:03002923 Câmera 03002926:03002927 63 00 63 00

102. Posição in-game 03002922:03002923 88 01 76 01 Câmera 03002926:03002927 63

     00 63 00

103. Posição in-game 03002922:03002923 88 01 76 01 Câmera 03002926:03002927 63

     00 63 00

104. Assim, comecei a fazer a fazer debug step by step

     no No$GBA para ver como e onde os bytes 03002922:03002923 são atualizados. E encontrei duas instruções importantes:

105. Assim, comecei a fazer a fazer debug step by step

     no No$GBA para ver como e onde os bytes 03002922:03002923 são atualizados. E encontrei duas instruções importantes: Instrução em 0800FF16 sempre incrementa o Y

106. Assim, comecei a fazer a fazer debug step by step

     no No$GBA para ver como e onde os bytes 03002922:03002923 são atualizados. E encontrei duas instruções importantes: Instrução em 0800FF16 sempre incrementa o Y Instrução em 0801200E corrige o Y SE o Klonoa estiver no chão
107. None

108. ?

109. ? ?

110. ? ? ?

111. !

112. None

113. A lógica é feita usando o tile ID do tilemap

     presente na Slow WRAM!

114. https://bit.ly/gba-manual-memory

115. https://bit.ly/gba-manual-memory

116. Após atualizar o tilemap na Slow WRAM…

117. Após atualizar o tilemap na Slow WRAM…

118. ? Fluxo dos dados Fast WRAM > VRAM > Display

     >

119. Slow WRAM > > > Fluxo dos dados Fast WRAM

     VRAM Display

120. Slow WRAM Cartucho > > > > Fluxo dos dados

     Fast WRAM VRAM Display

121. vamos encontrar o tilemap na rom O DIA QUE FIZ

     ENGENHARIA REVERSA NUM JOGO DE GBA
122. None

123. >

124. None
125. None
126. None

127. Instruções do level loader

128. swi… what?

129. i SW

130. SoftWare Interrupt i S W

131. SoftWare Interrupt i S W = Bios Calls

132. None

133. BIOS é um firmware que inicializa os componentes físicos do

     sistema

134. BIOS é um firmware que inicializa os componentes físicos do

     sistema No GBA, a BIOS expõe muitas funções comum em jogos, incluindo de compressão e descompressão de dados

135. BIOS é um firmware que inicializa os componentes físicos do

     sistema No GBA, a BIOS expõe muitas funções comum em jogos, incluindo de compressão e descompressão de dados Cada função tem um código numérico associado, que deve ser usado junto da instrução SWI

136. Como a divisão funciona no GBA: swi 0x06

137. Como a divisão funciona no GBA: swi 0x06 Input: R0

     
 numerador R1 
 denominador

138. Como a divisão funciona no GBA: swi 0x06 Input: R0

     
 numerador R1 
 denominador R0 
 numerador / denominador R1 
 numerador % denominador R3 
 abs(numerador / denominador) Output:
139. None
140. None

141. r1: endereço do output r0: endereço do input LZ77

142. None

143. r0: endereço do tilemap na ROM r1: endereço do output

     é o endereço de input do LZ77 Huffman

144. Nesse caso, o software está chamando as funções Huffman Decompress

     e lz77 Decompress

145. Nesse caso, o software está chamando as funções Huffman Decompress

     e lz77 Decompress Huffman + lz77 = deflate
146. None
147. None
148. None
149. None

150. 6E 6E 6E B0 B1 BD 77 AB B3 AB

     B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E

151. 6E 6E 6E B0 B1 BD 77 AB B3 AB

     B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E 6E 6E 6E B0 B1 BD 77 AB B3 AB B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E

152. 6E 6E 6E B0 B1 BD 77 AB B3 AB

     B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E 6E 6E 6E B0 B1 BD 77 AB B3 AB B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E =

153. vamos pintar o tilemap O DIA QUE FIZ ENGENHARIA REVERSA

     NUM JOGO DE GBA

154. 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D

     0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F

155. 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D

     0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F

156. 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F

157. H · W = 25020 
 H,W ∈ ℕ

158. None

159. x x x x a x x x x 


     x x x x b x x x x Estou no tile a Abaixo de mim está o tile b

160. x x x x a x x x x

161. x x x x a x x x x 


     x x x x b x x x x Do tile a para b tem 9 bytes (= 9 tiles), então a largura do tilemap é exatamente 9 Estou no tile a
162. None

163. Breakpoint aqui

164. Esse é o endereço do tile que o Klonoa está

     em cima

165. Esse é o endereço do tile que o Klonoa está

     em cima

166. Quando altero esse byte…

167. Quando altero esse byte… …isso se reflete aqui, e esse

     é o tile a,…

168. Quando altero esse byte… …isso se reflete aqui, e esse

     é o tile a,… …que está em 02008439

169. Então alterados os tiles abaixo do Klonoa…

170. …para descer um nível Então alterados os tiles abaixo do

     Klonoa…

171. Então pegamos o endereço dos tiles um nível abaixo

172. Alteramos esse byte…

173. Alteramos esse byte… …e achamos o tile b!

174. Alteramos esse byte… …e achamos o tile b! Ele está

     em 020085DD

175. 02008439 - 020085DD = 1A4 (420) 
 A largura da

     fase é de 420!

176. Jimp github.com/oliver-moran/jimp

177. const Jimp = require('jimp') const { drop } = require('ramda')

     const fs = require('fs') const data = drop(3, fs.readFileSync(‘dump/level-1/tilemap'))

178. const Jimp = require('jimp') const { drop } = require('ramda')

     const fs = require('fs') const data = drop(3, fs.readFileSync('dump/level-1/tilemap'))

179. const getPixelColor = hexTile = > { if (hexTile ===

     0) { return 0x000000 } return 0xFFFFFF }

180. new Jimp(300, 600, (err, image) = > { let x

     = 0 let y = 0 for (let i = 0; i < data.length; i += 1) { const value = data[i] x += 1 if (x === 420) { y += 1 x = 0 } let color = getPixelColor(value) image.setPixelColor(color, x, y) } image.write('image.png') })
181. None
182. None
183. None
184. None
185. None
186. None

187. live demo O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO

     DE GBA

188. codigo O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE

     GBA

189. Stack

190. React.js GitHub Pages WebAssembly

191. React.js GitHub Pages WebAssembly

192. React.js GitHub Pages WebAssembly

193. React.js GitHub Pages WebAssembly

194. Web assembly

195. Tilemap comprimido > Antigo código em C para descomprimir Tilemap

     descomprimido >

196. Tilemap comprimido > Antigo código em C para descomprimir Tilemap

     descomprimido > Não da para rodar código em C no browser!

197. Tilemap comprimido > Antigo código em C para descomprimir Tilemap

     descomprimido >

198. Emscripten WebAssembly > > Tilemap comprimido > Antigo código em

     C para descomprimir Tilemap descomprimido >

199. huffman.c lzss.c > Emscripten > huffman.wasm 
 lzss.wasm huffman.js 


     lzss.js +

200. Algumas mudanças para tornar o antigo código em C compatível

     com o Emscripten:

201. Algumas mudanças para tornar o antigo código em C compatível

     com o Emscripten: Remover o main e prints

202. Algumas mudanças para tornar o antigo código em C compatível

     com o Emscripten: Remover o main e prints Adicionar a flag EMSCRIPTEN_KEEPALIVE nas funções de encode e decode não serem removidas

203. Substituir a chamada de filelength Algumas mudanças para tornar o

     antigo código em C compatível com o Emscripten: Remover o main e prints Adicionar a flag EMSCRIPTEN_KEEPALIVE nas funções de encode e decode não serem removidas

204. const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule

     const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

205. const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule

     const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

206. const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule

     const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

207. const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule

     const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

208. const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule

     const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

209. const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule

     const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

210. function docker_run_emscripten { local filename="$1" echo "Compiling $filename..." docker run

     \ --rm -it \ -v $(pwd)/scissors/src/wasm:/src \ trzeci/emscripten:1.38.43 \ emcc -s WASM=1 -s ALLOW_MEMORY_GROWTH=1 -s MODULARIZE=1 \ -s EXTRA_EXPORTED_RUNTIME_METHODS=[\”FS\"] \ -s EXPORT_NAME=\"$filename\" -o ./$filename.js $filename.c } docker_run_emscripten huffman docker_run_emscripten lzss

211. function docker_run_emscripten { local filename="$1" echo "Compiling $filename..." docker run

     \ --rm -it \ -v $(pwd)/scissors/src/wasm:/src \ trzeci/emscripten:1.38.43 \ emcc -s WASM=1 -s ALLOW_MEMORY_GROWTH=1 -s MODULARIZE=1 \ -s EXTRA_EXPORTED_RUNTIME_METHODS=[\”FS\"] \ -s EXPORT_NAME=\"$filename\" -o ./$filename.js $filename.c } docker_run_emscripten huffman docker_run_emscripten lzss

212. const extractFullTilemap = (romBuffer, addressStart) => romBuffer.slice(addressStart) |> huffmanDecode |>

     lzssDecode

213. const compressTilemap = buffer => buffer |> lzssEncode |> huffmanEncode

214. salvando o novo tilemap

215. First Level Second Level Third Level Cada level é armazenado

     sequencialmente na memória

216. First Level Second Level Third Level

217. First Level Second Level Third Level Alterações no primeiro level

     >

218. Customised

219. > Second Level Third Level Customised

220. > Second Level Third Level Customised

221. None

222. Thumb ARM

223. Mais rápido para executar Instruções demandam menos memória Thumb ARM

224. Mais rápido para executar Instruções demandam menos memória Pode performar

     instruções mais complexas Thumb ARM
225. None

226. O switch entre ARM e Thumb é feito com a

     instrução bx.

227. O switch entre ARM e Thumb é feito com a

     instrução bx. Ela apenas ler de um registrador

228. O switch entre ARM e Thumb é feito com a

     instrução bx. Ela apenas ler de um registrador bx atualiza o PC com o valor do registrador usado como parâmetro

229. Very big hole space at the end of cartridge First

     Level Second Level Third Level Instruction to load a level

230. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole

231. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

232. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

233. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

234. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

235. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole

236. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Original Loader 08043B0A mov r4, r0 08043B0C add r0, r5, 4 08043B0E mov r1, r4 08043B10 bl 0805143Ch

237. First Level Second Level Third Level Instruction to load a

     level (patched) Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Original Loader 08043B0A mov r4, r0 08043B0C add r0, r5, 4 08043B0E mov r1, r4 08043B10 bl 0805143Ch Patched Loader 08043B0A mov r4, r0 08043B0C bl 08367610h 080v3B10 bl 0805143Ch

238. First Level Second Level Third Level Instruction to load a

     level (patched) Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Patched Loader 08043B0A mov r4, r0 08043B0C bl 08367610h 080v3B10 bl 0805143Ch R0 é o ponteiro de qual tilemap será carregado. Devemos atualizá-lo com o endereço do level customizado

239. First Level Second Level Third Level Instruction to load a

     level (patched) Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Patched Loader 08043B0A mov r4, r0 08043B0C bl 08367610h 080v3B10 bl 0805143Ch

240. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367610 mov r0, r15 ; r15 = PC
 08367612 add r0, 3Ch
 08367614 bx r0

241. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

242. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

243. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

244. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

245. First Level Second Level Third Level Instruction to load a

     level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

246. const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo

     => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

247. 1. Redirecionar para o patched level loader 2. Escrever a

     tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 }

248. const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo

     => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

249. const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo

     => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

250. const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo

     => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

251. const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo

     => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

252. resultado O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE

     GBA
253. None
254. None
255. None
256. None
257. None
258. None

259. outros projetos O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO

     DE GBA

260. react-gbajs github.com/macabeus/react-gbajs

261. WE ARE... O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO

     DE GBA

262. BRUNO MACABEUS Senior Software Engineer 
 @animaapp organizador da gambiconf

     macabeus bmacabeus gambiconf

263. RayCarrot agradecimentos 
 por ajudar a 
 extrair os sprites

     RayCarrot RayCarrot
264. None

265. Raul peres agradecimentos 
 pelas artes KniksisG

266. essa talk O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO

     DE GBA

267. github.com/macabeus/klo-gba.js

268. github.com/macabeus/klo-gba.js

269. bit.ly/gba-posts

270. github.com/macabeus/klo-gba.js

271. github.com/macabeus/klo-gba.js

272. github.com/macabeus/klo-gba.js

273. github.com/macabeus/klo-gba.js

274. github.com/macabeus/klo-gba.js

275. OBRIGADO THANKS macabeus ALL THE LINKS!