Tweet
Tweet

Slide 1

Slide 1 text

O dia que fiz engenharia reversa Num jogo de Gameboy Advance 
 com @macabeus

Slide 2

Slide 2 text

agenda O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 3

Slide 3 text

No content

Slide 4

Slide 4 text

Projeto

Slide 5

Slide 5 text

Projeto Tools

Slide 6

Slide 6 text

Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools

Slide 7

Slide 7 text

Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools Live demo!

Slide 8

Slide 8 text

Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools Desafios na implementação: WebAssembly Salvando o novo tilemap na ROM Live demo!

Slide 9

Slide 9 text

Desafios de engenharia reversa: Esticar a ponte Entendendo o DMA Entendendo a física do jogo Encontrar o tilemap na ROM Pintar o tilemap Projeto Tools Desafios na implementação: WebAssembly Salvando o novo tilemap na ROM Resultados Live demo!

Slide 10

Slide 10 text

o projeto O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 11

Slide 11 text

No content

Slide 12

Slide 12 text

No content

Slide 13

Slide 13 text

No content

Slide 14

Slide 14 text

No content

Slide 15

Slide 15 text

No content

Slide 16

Slide 16 text

No content

Slide 17

Slide 17 text

No content

Slide 18

Slide 18 text

No content

Slide 19

Slide 19 text

No content

Slide 20

Slide 20 text

github.com/macabeus/klo-gba.js

Slide 21

Slide 21 text

github.com/macabeus/klo-gba.js

Slide 22

Slide 22 text

Tools O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 23

Slide 23 text

https://problemkaputt.de/gba.htm

Slide 24

Slide 24 text

https://www.hex-rays.com/products/ida

Slide 25

Slide 25 text

No content

Slide 26

Slide 26 text

Esticar a ponte O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 27

Slide 27 text

No content

Slide 28

Slide 28 text

No content

Slide 29

Slide 29 text

No content

Slide 30

Slide 30 text

Aqui está a ponte

Slide 31

Slide 31 text

Aqui está o panel de debugger

Slide 32

Slide 32 text

Esse é o tile ID. Nesse exemplo, os tiles com ID 9B são do canto esquerdo da ponte. 9A é o ID da parte contínua da ponte.

Slide 33

Slide 33 text

Aqui diz onde o tile está armazenado na memória. Nesse exemplo, está em 0600F1AD.

Slide 34

Slide 34 text

https://bit.ly/gba-manual-memory

Slide 35

Slide 35 text

O GBA tem diversas segmentações na memória… https://bit.ly/gba-manual-memory

Slide 36

Slide 36 text

…e o endereço encontrado entra na região denominada VRAM (Video RAM). https://bit.ly/gba-manual-memory

Slide 37

Slide 37 text

A ponte inicia aqui!

Slide 38

Slide 38 text

A ponte inicia aqui!

Slide 39

Slide 39 text

Podemos fazê-la ficar maior!

Slide 40

Slide 40 text

Podemos fazê-la ficar maior!

Slide 41

Slide 41 text

Podemos fazê-la ficar maior! WTF??!

Slide 42

Slide 42 text

VRAM > Display > ? Fluxo dos dados

Slide 43

Slide 43 text

entendendo o DMA O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 44

Slide 44 text

No content

Slide 45

Slide 45 text

No content

Slide 46

Slide 46 text

A VRAM carrega o timemap contendo apenas o que o jogador está vendo. Assim, existe uma outra região da memória que contém todo o conteúdo, sendo ela a fonte dos dados

Slide 47

Slide 47 text

https://bit.ly/gba-manual-tilemap

Slide 48

Slide 48 text

Direct Memory Access D M A https://bit.ly/gba-manual-tilemap

Slide 49

Slide 49 text

DMA https://bit.ly/gba-manual-tilemap

Slide 50

Slide 50 text

É um recurso do sistema do computador que permite que determinados subsistemas de hardware acessem a memória principal do sistema (memória de acesso aleatório), independente da CPU https://bit.ly/gba-manual-tilemap

Slide 51

Slide 51 text

tldr; faz um copia-e-cola mais rápido https://bit.ly/gba-manual-tilemap

Slide 52

Slide 52 text

DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 84000048

Slide 53

Slide 53 text

DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 84000048 O byte mais próximo da ponte (0600F1AD).

Slide 54

Slide 54 text

Em outras palavras, a VRAM é atualizada aqui DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 84000048

Slide 55

Slide 55 text

DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 84000048 Esse byte é o data source da VRAM. Está localizada na seção Fast WRAM.

Slide 56

Slide 56 text

No content

Slide 57

Slide 57 text

E indo para esse endereço…

Slide 58

Slide 58 text

A ponte inicia aqui!

Slide 59

Slide 59 text

Esticando-a…

Slide 60

Slide 60 text

Esticando-a… e…

Slide 61

Slide 61 text

Esticando-a… …isso funciona! e…

Slide 62

Slide 62 text

Stretching it… …It works! And… WTF??!

Slide 63

Slide 63 text

Stretching it… …It works! And… WTF??!

Slide 64

Slide 64 text

No content

Slide 65

Slide 65 text

No content

Slide 66

Slide 66 text

Nossos tiles extras desaparecem quando fora do alcance da visão do jogador.

Slide 67

Slide 67 text

? Fluxo dos dados VRAM > Display >

Slide 68

Slide 68 text

Fast WRAM > > Fluxo dos dados VRAM Display

Slide 69

Slide 69 text

Fast WRAM > > ? > Fluxo dos dados VRAM Display

Slide 70

Slide 70 text

Vamos falar de fisica O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 71

Slide 71 text

Se ■■■■■■■■■ O Klonoa deve cair O Klonoa deve fi car parado

Slide 72

Slide 72 text

Object Attribute Memory O A M

Slide 73

Slide 73 text

OAM

Slide 74

Slide 74 text

No content

Slide 75

Slide 75 text

Nesse endereço o Klonoa é armazenado na memória

Slide 76

Slide 76 text

DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 8400003E

Slide 77

Slide 77 text

DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 8400003E Podemos ver exatamente o byte que escreve no objeto do Klonoa (07000000).

Slide 78

Slide 78 text

DMA3: 03000900 0600E000 80000400 DMA3: 03001100 0600E800 80000400 DMA3: 03004DB0 0600F000 80000200 DMA3: 03004800 07000000 8400003E Podemos ver exatamente o byte que escreve no objeto do Klonoa (07000000).

Slide 79

Slide 79 text

No content

Slide 80

Slide 80 text

O primeiro byte num objeto define a posição Y…

Slide 81

Slide 81 text

…e atualizando-o…

Slide 82

Slide 82 text

…e atualizando-o…

Slide 83

Slide 83 text

…e executando um frame, nota-se que atualizou a posição Y do Klonoa!

Slide 84

Slide 84 text

…e executando um frame, nota-se que atualizou a posição Y do Klonoa! Mas também retorna no byte o valor correto…

Slide 85

Slide 85 text

…e o Klonoa continua a cair como se nada tivesse acontecido

Slide 86

Slide 86 text

No content

Slide 87

Slide 87 text

No content

Slide 88

Slide 88 text

No content

Slide 89

Slide 89 text

No content

Slide 90

Slide 90 text

No content

Slide 91

Slide 91 text

No content

Slide 92

Slide 92 text

03004800: Posição Y do Klonoa no OAM

Slide 93

Slide 93 text

03004800: Posição Y do Klonoa no OAM 03002926

Slide 94

Slide 94 text

03004800: Posição Y do Klonoa no OAM 03002926 0800A4C6: Escreve em 03002926

Slide 95

Slide 95 text

03004800: Posição Y do Klonoa no OAM 03002926 0800A4C6: Escreve em 03002926

Slide 96

Slide 96 text

03002926

Slide 97

Slide 97 text

03002926

Slide 98

Slide 98 text

No content

Slide 99

Slide 99 text

Câmera 03002926:03002927

Slide 100

Slide 100 text

63 00 63 00 Câmera 03002926:03002927

Slide 101

Slide 101 text

Posição in-game 03002922:03002923 Câmera 03002926:03002927 63 00 63 00

Slide 102

Slide 102 text

Posição in-game 03002922:03002923 88 01 76 01 Câmera 03002926:03002927 63 00 63 00

Slide 103

Slide 103 text

Posição in-game 03002922:03002923 88 01 76 01 Câmera 03002926:03002927 63 00 63 00

Slide 104

Slide 104 text

Assim, comecei a fazer a fazer debug step by step no No$GBA para ver como e onde os bytes 03002922:03002923 são atualizados. E encontrei duas instruções importantes:

Slide 105

Slide 105 text

Assim, comecei a fazer a fazer debug step by step no No$GBA para ver como e onde os bytes 03002922:03002923 são atualizados. E encontrei duas instruções importantes: Instrução em 0800FF16 sempre incrementa o Y

Slide 106

Slide 106 text

Assim, comecei a fazer a fazer debug step by step no No$GBA para ver como e onde os bytes 03002922:03002923 são atualizados. E encontrei duas instruções importantes: Instrução em 0800FF16 sempre incrementa o Y Instrução em 0801200E corrige o Y SE o Klonoa estiver no chão

Slide 107

Slide 107 text

No content

Slide 108

Slide 108 text

?

Slide 109

Slide 109 text

? ?

Slide 110

Slide 110 text

? ? ?

Slide 111

Slide 111 text

!

Slide 112

Slide 112 text

No content

Slide 113

Slide 113 text

A lógica é feita usando o tile ID do tilemap presente na Slow WRAM!

Slide 114

Slide 114 text

https://bit.ly/gba-manual-memory

Slide 115

Slide 115 text

https://bit.ly/gba-manual-memory

Slide 116

Slide 116 text

Após atualizar o tilemap na Slow WRAM…

Slide 117

Slide 117 text

Após atualizar o tilemap na Slow WRAM…

Slide 118

Slide 118 text

? Fluxo dos dados Fast WRAM > VRAM > Display >

Slide 119

Slide 119 text

Slow WRAM > > > Fluxo dos dados Fast WRAM VRAM Display

Slide 120

Slide 120 text

Slow WRAM Cartucho > > > > Fluxo dos dados Fast WRAM VRAM Display

Slide 121

Slide 121 text

vamos encontrar o tilemap na rom O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 122

Slide 122 text

No content

Slide 123

Slide 123 text

>

Slide 124

Slide 124 text

No content

Slide 125

Slide 125 text

No content

Slide 126

Slide 126 text

No content

Slide 127

Slide 127 text

Instruções do level loader

Slide 128

Slide 128 text

swi… what?

Slide 129

Slide 129 text

i SW

Slide 130

Slide 130 text

SoftWare Interrupt i S W

Slide 131

Slide 131 text

SoftWare Interrupt i S W = Bios Calls

Slide 132

Slide 132 text

No content

Slide 133

Slide 133 text

BIOS é um firmware que inicializa os componentes físicos do sistema

Slide 134

Slide 134 text

BIOS é um firmware que inicializa os componentes físicos do sistema No GBA, a BIOS expõe muitas funções comum em jogos, incluindo de compressão e descompressão de dados

Slide 135

Slide 135 text

BIOS é um firmware que inicializa os componentes físicos do sistema No GBA, a BIOS expõe muitas funções comum em jogos, incluindo de compressão e descompressão de dados Cada função tem um código numérico associado, que deve ser usado junto da instrução SWI

Slide 136

Slide 136 text

Como a divisão funciona no GBA: swi 0x06

Slide 137

Slide 137 text

Como a divisão funciona no GBA: swi 0x06 Input: R0 
 numerador R1 
 denominador

Slide 138

Slide 138 text

Como a divisão funciona no GBA: swi 0x06 Input: R0 
 numerador R1 
 denominador R0 
 numerador / denominador R1 
 numerador % denominador R3 
 abs(numerador / denominador) Output:

Slide 139

Slide 139 text

No content

Slide 140

Slide 140 text

No content

Slide 141

Slide 141 text

r1: endereço do output r0: endereço do input LZ77

Slide 142

Slide 142 text

No content

Slide 143

Slide 143 text

r0: endereço do tilemap na ROM r1: endereço do output é o endereço de input do LZ77 Huffman

Slide 144

Slide 144 text

Nesse caso, o software está chamando as funções Huffman Decompress e lz77 Decompress

Slide 145

Slide 145 text

Nesse caso, o software está chamando as funções Huffman Decompress e lz77 Decompress Huffman + lz77 = deflate

Slide 146

Slide 146 text

No content

Slide 147

Slide 147 text

No content

Slide 148

Slide 148 text

No content

Slide 149

Slide 149 text

No content

Slide 150

Slide 150 text

6E 6E 6E B0 B1 BD 77 AB B3 AB B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E

Slide 151

Slide 151 text

6E 6E 6E B0 B1 BD 77 AB B3 AB B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E 6E 6E 6E B0 B1 BD 77 AB B3 AB B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E

Slide 152

Slide 152 text

6E 6E 6E B0 B1 BD 77 AB B3 AB B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E 6E 6E 6E B0 B1 BD 77 AB B3 AB B3 7C 6E 6E 6E 6E 6E 6E 6E 6E 7C 6E 6E 6E 6E 7C 6E 6E =

Slide 153

Slide 153 text

vamos pintar o tilemap O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 154

Slide 154 text

0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F

Slide 155

Slide 155 text

0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F 0x1A 0x1B 0x1C 0x1D 0x1E 0x1F

Slide 156

Slide 156 text

0x1A 0x1B 0x1C 0x1D 0x1E 0x1F

Slide 157

Slide 157 text

H · W = 25020 
 H,W ∈ ℕ

Slide 158

Slide 158 text

No content

Slide 159

Slide 159 text

x x x x a x x x x 
 x x x x b x x x x Estou no tile a Abaixo de mim está o tile b

Slide 160

Slide 160 text

x x x x a x x x x

Slide 161

Slide 161 text

x x x x a x x x x 
 x x x x b x x x x Do tile a para b tem 9 bytes (= 9 tiles), então a largura do tilemap é exatamente 9 Estou no tile a

Slide 162

Slide 162 text

No content

Slide 163

Slide 163 text

Breakpoint aqui

Slide 164

Slide 164 text

Esse é o endereço do tile que o Klonoa está em cima

Slide 165

Slide 165 text

Esse é o endereço do tile que o Klonoa está em cima

Slide 166

Slide 166 text

Quando altero esse byte…

Slide 167

Slide 167 text

Quando altero esse byte… …isso se reflete aqui, e esse é o tile a,…

Slide 168

Slide 168 text

Quando altero esse byte… …isso se reflete aqui, e esse é o tile a,… …que está em 02008439

Slide 169

Slide 169 text

Então alterados os tiles abaixo do Klonoa…

Slide 170

Slide 170 text

…para descer um nível Então alterados os tiles abaixo do Klonoa…

Slide 171

Slide 171 text

Então pegamos o endereço dos tiles um nível abaixo

Slide 172

Slide 172 text

Alteramos esse byte…

Slide 173

Slide 173 text

Alteramos esse byte… …e achamos o tile b!

Slide 174

Slide 174 text

Alteramos esse byte… …e achamos o tile b! Ele está em 020085DD

Slide 175

Slide 175 text

02008439 - 020085DD = 1A4 (420) 
 A largura da fase é de 420!

Slide 176

Slide 176 text

Jimp github.com/oliver-moran/jimp

Slide 177

Slide 177 text

const Jimp = require('jimp') const { drop } = require('ramda') const fs = require('fs') const data = drop(3, fs.readFileSync(‘dump/level-1/tilemap'))

Slide 178

Slide 178 text

const Jimp = require('jimp') const { drop } = require('ramda') const fs = require('fs') const data = drop(3, fs.readFileSync('dump/level-1/tilemap'))

Slide 179

Slide 179 text

const getPixelColor = hexTile = > { if (hexTile === 0) { return 0x000000 } return 0xFFFFFF }

Slide 180

Slide 180 text

new Jimp(300, 600, (err, image) = > { let x = 0 let y = 0 for (let i = 0; i < data.length; i += 1) { const value = data[i] x += 1 if (x === 420) { y += 1 x = 0 } let color = getPixelColor(value) image.setPixelColor(color, x, y) } image.write('image.png') })

Slide 181

Slide 181 text

No content

Slide 182

Slide 182 text

No content

Slide 183

Slide 183 text

No content

Slide 184

Slide 184 text

No content

Slide 185

Slide 185 text

No content

Slide 186

Slide 186 text

No content

Slide 187

Slide 187 text

live demo O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 188

Slide 188 text

codigo O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 189

Slide 189 text

Stack

Slide 190

Slide 190 text

React.js GitHub Pages WebAssembly

Slide 191

Slide 191 text

React.js GitHub Pages WebAssembly

Slide 192

Slide 192 text

React.js GitHub Pages WebAssembly

Slide 193

Slide 193 text

React.js GitHub Pages WebAssembly

Slide 194

Slide 194 text

Web assembly

Slide 195

Slide 195 text

Tilemap comprimido > Antigo código em C para descomprimir Tilemap descomprimido >

Slide 196

Slide 196 text

Tilemap comprimido > Antigo código em C para descomprimir Tilemap descomprimido > Não da para rodar código em C no browser!

Slide 197

Slide 197 text

Tilemap comprimido > Antigo código em C para descomprimir Tilemap descomprimido >

Slide 198

Slide 198 text

Emscripten WebAssembly > > Tilemap comprimido > Antigo código em C para descomprimir Tilemap descomprimido >

Slide 199

Slide 199 text

huffman.c lzss.c > Emscripten > huffman.wasm 
 lzss.wasm huffman.js 
 lzss.js +

Slide 200

Slide 200 text

Algumas mudanças para tornar o antigo código em C compatível com o Emscripten:

Slide 201

Slide 201 text

Algumas mudanças para tornar o antigo código em C compatível com o Emscripten: Remover o main e prints

Slide 202

Slide 202 text

Algumas mudanças para tornar o antigo código em C compatível com o Emscripten: Remover o main e prints Adicionar a flag EMSCRIPTEN_KEEPALIVE nas funções de encode e decode não serem removidas

Slide 203

Slide 203 text

Substituir a chamada de filelength Algumas mudanças para tornar o antigo código em C compatível com o Emscripten: Remover o main e prints Adicionar a flag EMSCRIPTEN_KEEPALIVE nas funções de encode e decode não serem removidas

Slide 204

Slide 204 text

const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

Slide 205

Slide 205 text

const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

Slide 206

Slide 206 text

const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

Slide 207

Slide 207 text

const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

Slide 208

Slide 208 text

const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

Slide 209

Slide 209 text

const lzssModule = require('./wasm/lzss.js') const { FS } = lzssModule const lzssDecode = (buffer) => { FS.writeFile('filelzss', buffer) lzssModule._LZS_Decode() try { return lzssModule.FS.readFile('filelzss', { encoding: 'binary' }) } catch (e) { throw new LzssDecodeError(e) } }

Slide 210

Slide 210 text

function docker_run_emscripten { local filename="$1" echo "Compiling $filename..." docker run \ --rm -it \ -v $(pwd)/scissors/src/wasm:/src \ trzeci/emscripten:1.38.43 \ emcc -s WASM=1 -s ALLOW_MEMORY_GROWTH=1 -s MODULARIZE=1 \ -s EXTRA_EXPORTED_RUNTIME_METHODS=[\”FS\"] \ -s EXPORT_NAME=\"$filename\" -o ./$filename.js $filename.c } docker_run_emscripten huffman docker_run_emscripten lzss

Slide 211

Slide 211 text

function docker_run_emscripten { local filename="$1" echo "Compiling $filename..." docker run \ --rm -it \ -v $(pwd)/scissors/src/wasm:/src \ trzeci/emscripten:1.38.43 \ emcc -s WASM=1 -s ALLOW_MEMORY_GROWTH=1 -s MODULARIZE=1 \ -s EXTRA_EXPORTED_RUNTIME_METHODS=[\”FS\"] \ -s EXPORT_NAME=\"$filename\" -o ./$filename.js $filename.c } docker_run_emscripten huffman docker_run_emscripten lzss

Slide 212

Slide 212 text

const extractFullTilemap = (romBuffer, addressStart) => romBuffer.slice(addressStart) |> huffmanDecode |> lzssDecode

Slide 213

Slide 213 text

const compressTilemap = buffer => buffer |> lzssEncode |> huffmanEncode

Slide 214

Slide 214 text

salvando o novo tilemap

Slide 215

Slide 215 text

First Level Second Level Third Level Cada level é armazenado sequencialmente na memória

Slide 216

Slide 216 text

First Level Second Level Third Level

Slide 217

Slide 217 text

First Level Second Level Third Level Alterações no primeiro level >

Slide 218

Slide 218 text

Customised

Slide 219

Slide 219 text

> Second Level Third Level Customised

Slide 220

Slide 220 text

> Second Level Third Level Customised

Slide 221

Slide 221 text

No content

Slide 222

Slide 222 text

Thumb ARM

Slide 223

Slide 223 text

Mais rápido para executar Instruções demandam menos memória Thumb ARM

Slide 224

Slide 224 text

Mais rápido para executar Instruções demandam menos memória Pode performar instruções mais complexas Thumb ARM

Slide 225

Slide 225 text

No content

Slide 226

Slide 226 text

O switch entre ARM e Thumb é feito com a instrução bx.

Slide 227

Slide 227 text

O switch entre ARM e Thumb é feito com a instrução bx. Ela apenas ler de um registrador

Slide 228

Slide 228 text

O switch entre ARM e Thumb é feito com a instrução bx. Ela apenas ler de um registrador bx atualiza o PC com o valor do registrador usado como parâmetro

Slide 229

Slide 229 text

Very big hole space at the end of cartridge First Level Second Level Third Level Instruction to load a level

Slide 230

Slide 230 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole

Slide 231

Slide 231 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

Slide 232

Slide 232 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

Slide 233

Slide 233 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

Slide 234

Slide 234 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 0836720 FC 27 1B 08 0836724 00 77 36 08 0836728 5C 3E 1B 08 083672C B0 86 36 08 0836730 AC 50 1B 08 0836734 80 93 36 08

Slide 235

Slide 235 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole

Slide 236

Slide 236 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Original Loader 08043B0A mov r4, r0 08043B0C add r0, r5, 4 08043B0E mov r1, r4 08043B10 bl 0805143Ch

Slide 237

Slide 237 text

First Level Second Level Third Level Instruction to load a level (patched) Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Original Loader 08043B0A mov r4, r0 08043B0C add r0, r5, 4 08043B0E mov r1, r4 08043B10 bl 0805143Ch Patched Loader 08043B0A mov r4, r0 08043B0C bl 08367610h 080v3B10 bl 0805143Ch

Slide 238

Slide 238 text

First Level Second Level Third Level Instruction to load a level (patched) Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Patched Loader 08043B0A mov r4, r0 08043B0C bl 08367610h 080v3B10 bl 0805143Ch R0 é o ponteiro de qual tilemap será carregado. Devemos atualizá-lo com o endereço do level customizado

Slide 239

Slide 239 text

First Level Second Level Third Level Instruction to load a level (patched) Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole Patched Loader 08043B0A mov r4, r0 08043B0C bl 08367610h 080v3B10 bl 0805143Ch

Slide 240

Slide 240 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367610 mov r0, r15 ; r15 = PC
 08367612 add r0, 3Ch
 08367614 bx r0

Slide 241

Slide 241 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

Slide 242

Slide 242 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

Slide 243

Slide 243 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

Slide 244

Slide 244 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

Slide 245

Slide 245 text

First Level Second Level Third Level Instruction to load a level Constant addresses map table Hole Customised level loader Customised First Level Customised Second Level Customised Third Level Hole Hole Hole 08367650 add r0, r4, 4h 08367654 ldr r4, [r15, #-3Ch] 08367658 cmp r0, r4 0836765C ldreq r0, [r15, #-40h] 08367660 ldr r4, [r15, #-40h] 08367664 cmp r0, r4 08367668 ldreq r0, [r15, #-44h] 0836767C ldr r4, [r15, #-44h] 08367680 cmp r0, r4 08367684 ldreq r0, [r15, #-48h] 08367688 mov r4, r1 0836768C bx r14

Slide 246

Slide 246 text

const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

Slide 247

Slide 247 text

1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 }

Slide 248

Slide 248 text

const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

Slide 249

Slide 249 text

const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

Slide 250

Slide 250 text

const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

Slide 251

Slide 251 text

const setPatchCustomVisionLoader = (romBuffer) => { const visionsWithCustomTilemap = allVisions.map(visionInfo => visionHasCustomTilemap(romBuffer, visionInfo)) const addresses = allVisions.map(visionInfo => ({ custom: mapAddressToRomOffset(visionInfo.rom.customTilemap), original: mapAddressToRomOffset(visionInfo.rom.tilemap), })) // set bl to go to our patch romBuffer.set([0x23, 0xF3, 0x80, 0xFD], 0x43B0C) // bl 08367610h // switch to arm mode and run our code romBuffer.set([0x78, 0x46], 0x367610) // mov r0,r15 romBuffer.set([0x3C, 0x30], 0x367612) // add r0, 3Ch romBuffer.set([0x00, 0x47], 0x367614) // bx r0 // write original and custom address of each vision addresses.forEach(({ custom, original }, index) => { const offset = 0x367620 + (index * 8) setConstant(romBuffer, offset, original) setConstant(romBuffer, offset + 4, custom) }) // change value at R0 to custom address if need romBuffer.set([0x04, 0x00, 0x85, 0xE2], 0x367650) // add r0, r5, 4h addresses.forEach((_, index) => { if (visionsWithCustomTilemap[index]) { const offset1 = 0x3C + ((index * 12) - (index * 8)) const offset2 = 0x40 + ((index * 12) - (index * 8)) romBuffer.set([offset1, 0x40, 0x1F, 0xE5], 0x367654 + (index * 12)) // ldr r4,[r15,#-offset1] romBuffer.set([0x04, 0x00, 0x50, 0xE1], 0x367658 + (index * 12)) // cmp r0, r4 romBuffer.set([offset2, 0x00, 0x1F, 0x05], 0x36765C + (index * 12)) // ldreq r0,[r15,#-offset2] } }) romBuffer.set([0x01, 0x40, 0xA0, 0xE1], 0x367660 + (addresses.length * 12)) // mov r4, r1 romBuffer.set([0x1E, 0xFF, 0x2F, 0xE1], 0x367664 + (addresses.length * 12)) // bx r14 } 1. Redirecionar para o patched level loader 2. Escrever a tabela 3. Escrever a lógica que compara o R0 com os valores da tabela e atualizá- lo se der match 4. Volta ao level loader original

Slide 252

Slide 252 text

resultado O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 253

Slide 253 text

No content

Slide 254

Slide 254 text

No content

Slide 255

Slide 255 text

No content

Slide 256

Slide 256 text

No content

Slide 257

Slide 257 text

No content

Slide 258

Slide 258 text

No content

Slide 259

Slide 259 text

outros projetos O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 260

Slide 260 text

react-gbajs github.com/macabeus/react-gbajs

Slide 261

Slide 261 text

WE ARE... O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 262

Slide 262 text

BRUNO MACABEUS Senior Software Engineer 
 @animaapp organizador da gambiconf macabeus bmacabeus gambiconf

Slide 263

Slide 263 text

RayCarrot agradecimentos 
 por ajudar a 
 extrair os sprites RayCarrot RayCarrot

Slide 264

Slide 264 text

No content

Slide 265

Slide 265 text

Raul peres agradecimentos 
 pelas artes KniksisG

Slide 266

Slide 266 text

essa talk O DIA QUE FIZ ENGENHARIA REVERSA NUM JOGO DE GBA

Slide 267

Slide 267 text

github.com/macabeus/klo-gba.js

Slide 268

Slide 268 text

github.com/macabeus/klo-gba.js

Slide 269

Slide 269 text

bit.ly/gba-posts

Slide 270

Slide 270 text

github.com/macabeus/klo-gba.js

Slide 271

Slide 271 text

github.com/macabeus/klo-gba.js

Slide 272

Slide 272 text

github.com/macabeus/klo-gba.js

Slide 273

Slide 273 text

github.com/macabeus/klo-gba.js

Slide 274

Slide 274 text

github.com/macabeus/klo-gba.js

Slide 275

Slide 275 text

OBRIGADO THANKS macabeus ALL THE LINKS!