База файлов

В этой статье я покажу как нужно взламывать и искать комбинации клавиш на Нинтендо. Начнем с того, что как происходит опрос клавиш джойстика. Первый джойстик сидит на адресе 4016, а второй на 4017. В большинстве случаев процесс опроса выглядит следующим обраом, пример из игры Ninja Turtles 3:

f92a: ad 16 40 LDA $4016 //чтение с порта джойстика
f92d: 85 0c STA $0C
f92f: 4A LSR
f930: 05 0C ORA $0C
f932: 4A LSR
f933: 36 08 ROL $08,X @ $0008 //помещение состояние джойстика в регистр 08

Состояние джойстика хранится в виде закодированных значений байт и их комбинаций. Чаще всего они кодируются двумя видами кодировок. Самая распространненая выглядит так:

Вправо 01
Влево 02
Вниз 04
Вверх 08
А 80
В 40
START 10
SELECT 20

и их комбинации. Например START+SELECT выглядит как 20 И 10 = 30. То есть складываются логическим И.
Такая схема самая распространенная и встречается в подавляющем большинстве игр. Таких как Ninja Turtles 1-3, SuperContra 1-2, Contra, LifeForce и т.д..
Вторая по распространененности схема кодировок джойстика выглядит так:

Вправо 80
Влево 40
Вниз 20
Вверх 10
А 1
В 2
START 4
SELECT 8

Как видно кодировка отличается лишь тем, что в процесс опроса джойстика сканирование происходит с конца. То есть не
с кнопки Вправо, а с кнопки А. Такую систему легко отличить от первой тем что вместо команды ROL сдвига применяется обратная команда сдвига в другую сторону команда ROR. Пример такого опроса из игры CrossFire:

c35b: BD 16 40 LDA $4016,Х //чтение с порта джойстика
c35e: 85 23 STA $23
c360: 4A LSR
c361: 05 23 ORA $23
c363: 4A LSR
c364: 76 31 ROR $31,X @ $0031 //помещение состояние джойстика в регистр 31

Это два самых распространенных способа кодировок клавиш кнопок. Существуют также и экзотические формы кодировок клавиш, но уже после считывания их в память путем подмены одной кодировки на другую и опрос уже этих кодировок с тем, что записано в памяти. Наиболее яркий пример это игра The Hunt For Red October, которая кодирует повторно клавиши по схеме:

Вправо 52
Влево 4С
Вниз 44
Вверх 55
А 41
В 42
SELECT 53

И так мы разобрали как игры кодируют клавиши кнопок и теперь можно приступить к описанию как отлавливать комбинации в играх.

СПОСОБ 1:Самый простой - поиск в памяти.

Во-первых, определимся где чаще всего игры проверяют комбинации. Правильно чаще всего игры опрашивают на титульном экране и в паузе. Все что нам нужно например на титульном экране войти в дебаггер эмулятора (Я пользуюсь FCEUltra).Сначало необходимо определить какая кодировка используется первая или вторая. Для этого нужно поставить бряк на 4016 и посмотреть какая команда используется ROR или ROL. Затем зайти в редактор памяти, снять дамп памяти RАМ, загрузить в редактор(Я применяю Translhextion), поставить скрипт комбинации которую определили и искать похожие на комбинации наборы. Для примера я взял Ninja Turtles 3. Загружаем ее в FCEUltra ждем когда игра дойдет до титульного экрана и идем в дебаггер. Ставим бряк на 4016 и смотрим. Используется команда ROL. Идем в редактор памяти Memory... и делаем дамп. В строке Memory File Dump вводим 0000 слева и FFFF справа. Тем самым мы полностью дампим память в файл. Теперь загружаем в Translhextion. Далее делаем скрип - текстовый файл с расширением tbl и заполняем его следующим содержимым:

08=u
04=d
01=r
02=l
80=A
40=B

Загружаем его в Translhextion - идем в Script и открываем наш файл. Ставим галочку на Thingy View Active и ищем подозрительные комбинации. Как правило они распологаются ниже середины дампа. После не долгих поисков видим такую строку по адресу A68A:

uuddlrlrAB dduurlrlAB uuddlrlrBA ABrlrldduu urrdddllllBA dddBAdddBA

Это и есть все комбинации которые опрашиваются игрой на заставке. Хотя в разных версиях игры (японская, американская) опрашиваются и не все.
Способ легог до автоматизма, но тем не менее далеко не все игры грузят сразу свои комбинации в память. Есть которые грузять только в процессе сравнения регистра джойстика.
Плюсы: простота метода
Минусы: Подходит далеко не ко всем играм.

СПОСОБ 2:Дамп памяти во время опроса регистра джойстика.

Для начала нам необходимо найти регистр куда считывается состояние джойстика. Затем найти то место где проверется на нажатие Start. И только после этого провести дамп выше описанным способом. Для примера возьмем игру Super C. Ставим бряк на 4016.

f92a: ad 16 40 LDA $4016 //чтение с порта джойстика
f92d: 85 0c STA $04
f92f: 4A LSR
f930: 05 0C ORA $04
f932: 4A LSR
f933: 36 08 ROL $00,X @ $0000 //помещение состояние джойстика в регистр 00

Наши это регистр 0. Заметим что здесь адрес ROL-ся. Значит схема кодировки 1-я. Теперь ставим бряк на 0 и убираем бряк на 4016. И смотрим в какие другие регистры заносится содержимое из этого регистра. Во-первых, отбрасываем все срабатывания на адрес f933 где содержимое регистра ROL-я. Для этого в FCEUltra добавляем бряк на f933 с галкой Exclude и нажимаем опять Run до тех пор пока не попадаем сюда:

fd06: A5 00 LDA $00
fd08: C5 02 CMP $02
fd0a: D0 1C BNE $FD28

Этот кусок нам не интересен. Нажимаем дальше Run пока не попадем сюда:

fd18: B5 00 LDA $00,X @$0000 = $00 //чтение из регистра где записано значение джойстика
fd1a: A8 TAY //помещение его в регистр Y
fd1b: 55 F7 EOR $F7,X @$00F7 = $00
fd1d: 35 00 AND $00,X @$0000 = $00
fd1f: 95 F1 STA $F1,X @$00F1 //заносится значение джойстика в регистр F1
fd21: 95 F5 STA $F1,X @$00F5 //заносится значение джойстика в регистр F5
fd23: 95 F3 STA $F3,X @$00F3 //заносится значение джойстика в регистр F3
fd25: 94 F7 STA $F7,X @$00F7 //заносится значение джойстика в регистр F7

Тем самым мы нашли где значение джойстика размножается по регистрам. В нашем в случае это F1, F5, F3 и F7. Теперь ставим брак на эти регистры и убираем бряк на 0. Теперь цель найти то место где один из этих бряков сравнивается с 10, то есть со START-ом. Не долго листая нажимая Run попадаем сюда:

e42f: A5 F5 LDA $F5 //чтение из регистра где записано значение джойстика
e431: 29 10 ADC #$10 //сравнение со START-ом

Теперь делаем дамп как в прошлом методе и грузим таблицу скрипта первого типа комбинаций клавиш и ищем последовательности похожие на комбинации. И находим по адресу A2BD такую последовательность:

rlduAB

Хотя если искать первым способом в памяти по этому адресу ее нет.

Плюсы: Можно выявить комбинаций у большего количества игр
Минусы: Более сложный чем первый метод.

СПОСОБ 3:Анализ регистра где записано значение джойстика

Это самый сложный метод и он более точно выявить скрытые опросы, так как непоредственно прослеживается весь путь от регистра до сравнения с комбинациями в памяти. Способ прост по смыслу, но индивидуален для каждых игр. Нужно найти регистр куда сохраняется значение джойстика и что с ним происходит дальше. Но как не трудно догадаться каждая игра в большинтстве случаев делает это по разному. Начнем с самого простого случая встречающегося очень часто. Речь идет о играх где сравнение происходит на лету. Такие игры как Ninja Turtles 3, Super C, Adventure Island 2,3 и т.д..

Пример 1: Ninja Turtles 3(U)
Доходим до заставки выбора числа игроков и ставим бряк на 4016 и смотрим:

f92a: ad 16 40 LDA $4016 //чтение с порта джойстика
f92d: 85 0c STA $0C
f92f: 4A LSR
f930: 05 0C ORA $0C
f932: 4A LSR
f933: 36 08 ROL $08,X @ $0008 //помещение состояние джойстика в регистр 08

Нашли регистр куда сохраняется значение джойстика это адрес 8. Так же обращаем внимание на то, что регистр ROL-ся. Значит схема кодировки первая. Ставим бряк на 8 и убираем бряк на 4016. Пропускаем срабатывания адреса 8 где он ROL-ся. И видим:

fd06: A5 08 LDA $08
fd08: C5 02 CMP $0A
fd0a: D0 1C BNE $F914

Не интересно. Нажимаем Run до следующего срабатывания бряка и попадаем сюда:

f904: B5 08 LDA $08,X @$0008 = $00 //чтение из регистра где записано значение джойстика
f906: A8 TAY //помещение его в регистр Y
f907: 55 FA EOR $FA,X @$00FA = $00
f909: 35 08 AND $08,X @$0008 = $00
f90b: 95 F8 STA $F8,X @$00F8 //заносится значение джойстика в регистр F8
f90d: 95 54 STA $54,X @$0054 //заносится значение джойстика в регистр 54
f90f: 95 FA STA $FA,X @$00FA //заносится значение джойстика в регистр FA
f911: 94 56 STA $56,X @$0056 //заносится значение джойстика в регистр 56

Нашли место куда заносится значение джойстика дальше. В данном случае размножается в регистры F8,54,FA,56. Так же замечу это очень распространенная структура используется для обоих джойстиков. Для первого Х=0, для второго Х=1. Ставим бряки на эти адреса и убираем бряк на 8. Срабатывает бряк и мы попадаем сюда:

806с: A5 F8 LDA $F8
806e: 05 F9 ORA $F9
8070: 29 20 AND #$20 //проверка на SELECT

Собственно здесь проверка на SELECT и нам не интересна. Нажимаем на Run и ждем срабатывания бряка и попадаем сюда:

8090: A5 F8 LDA $F8
8092: 05 F9 ORA $F9
8094: 29 20 AND #$10 //проверка на START

Тоже самое только проверка уже на START. Жмем Run дальше и попадаем сюда:

a648: A5 F8 LDA $F8 //чтение из регистра где записано значение джойстика
a64a: F0 28 BEQ $A674 //проверка на нулевое значение
a64c: BC DA 04 LDY $04DA,X @$04DA = $00 //грузится какое то число в Y
a64f: D1 00 CMP ($00),Y @$A68A = $08 //сравнивается значение джойстика с каким то числом

Вот оно! Нашли где проверка значения джойстика с тем, что в памяти находящимся комбинациями. Нажимая несколько раз на Run убиждаемся, что проверка осуществляется с 4-мя адресами: A68A, A697, A6A4, A6B1. Посмотрев в редакторе памяти и убеждаемся, что именно по этим адресам находится 4-е пароля:

uuddlrlrAB dduurlrlAB uuddlrlrBA ABrlrldduu

Хотя в памяти есть еще 2-а пароля, но именно в этой версии игры проверка только 4-х.

Пример 2: Alien 3(U)

Нашел пароль который набирается в паузе. Ставим игру на паузу и ставим бряк на 4016 и видим:

e7e5: ad 16 40 LDA $4016 //чтение с порта джойстика
e7e8: 4A LSR
e7e9: 66 28 ROR $28 @$0028 //помещение состояние джойстика в регистр 28

Видим, что значение джойстика заносится в регистр 28 причем оно ROR-ся, т.е. кодировка используется вторая. Ставим бряк на 28 и убираем на 4016. Попадаем сюда минуя попадания где адрес ROR-ся:

b3e1: A5 28 LDA $28 //чтение из регистра где записано значение джойстика
b3e3: A8 TAY //помещение его в регистр Y
b3e4: F0 50 BEQ $B436 //проверка на нулевое значение
B3e6: 29 08 AND #$08 //проверка на START
b3e8: D0 4C BNE $B436 //проверка, что нажал на START
b3ea: 98 TYA //Если не нажали на START возвращаем значение джойстика
b3eb: DD 37 B4 CMP $B437,X @$B437=$40 //проверяем его с тем, что в памяти

Смотри, а в памяти по адресу B437 находится комбинация:

LRUDLRABA

Проверяем ее и убеждаемся, что это пароль на переход на следующий уровень

Теперь разберем более сложный случай, когда сначало зачения джойстика записываются в регистры, а уже потом после нажатия на START проверяется. Хороший пример игра CrossFire.Ее и разберем.

Пример3: Cross Fire (J)
Доходим до заставки где горит надпись нажми на START и ставим бряк на 4016 и смотрим:

c35b: BD 16 40 LDA $4016,Х //чтение с порта джойстика
c35e: 85 23 STA $23
c360: 4A LSR
c361: 05 23 ORA $23
c363: 4A LSR
c364: 76 31 ROR $31,X @ $0031 //помещение состояние джойстика в регистр 31

Нашли регистр куда сохраняется значение джойстика это адрес 31. Так же обращаем внимание на то, что регистр ROR-ся. Значит схема кодировки вторая. Ставим бряк на 31 и убираем бряк на 4016. Пропускаем срабатывания адреса 31 где он ROR-ся. И видим:

c36c: A5 31 LDA $31 //чтение из регистра где записано значение джойстика
c36e: 48 PHA
c36f: 05 3B ORA $3B
c371: 45 3B EOR $3B
c373: 85 3A STA $3A //запись из регистра где записано значение джойстика в регистр 3А
c375: 68 PLA
c376: 85 3B STA $3B //запись из регистра где записано значение джойстика в регистр 3B

Видим, что значение джойстика записывается в регистр 3B и 3А. Ставим на них бряк. и попадаем сюда:

8d5b: A5 3A LDA $3A
8d5d: 29 08 AND #$08 //проверка на START

Собственно здесь проверка на START и нам не интересна. Нажимаем на Run и ждем срабатывания бряка и попадаем сюда:

8d2e: A5 3A LDA $3A //чтение из регистра где записано значение джойстика
8d30: F0 0E BEQ $8D40 //проверка на нулевое значение
8d32: AC 22 06 LDY &0622
8d35: C0 10 CPY #$10
8d37: B0 07 BCS $8D40
8d39: 99 23 06 STA $0623,Y @$63B //загрузка значения джойстика в один из регистров
8d3c: C8 INY //инкремент адреса куда писать новое значение джойстика

Мы нашли то место где не нулевые значения джойстика записываются в виде массива в память. Теперь убирираем все бряки и ставим бряк на адрес начальный 0623 и на адрес 0622. Нажимаем Run и переходим к игре и нажимаем Start.
Срабатывает бряк на 0622. Попадаем туда же, т.к. Start тоже заносится в память. Нажимаем Run. Срабатывает бряк на 0623. Там же. Опять жмем Run и попадаем сюда:

8dec: AD 22 06 LDA $0622 //сравнение нашего адреса с каким то в памяти
8def: DD 42 8E CMP $8E42,X @$8E42 = $0A
8df2: F0 0B BEQ $8DFF //если это число совпадает, то идем по адресу 8DFF

Что мы видим по адресу 8DFF:

8dff: 8A TXA
8e00: 48 PHA
8e01: A0 00 LDY #$10
8e03: E8 INX
8e04: B9 23 06 LDA $0623,Y //сравнивается нажатые кнопки с какими в памяти
8e07: DD 42 8E CMP $8E42,X @$8E43 = $04 //сравнение

Таким образом видим, что по адресу 0622 расположен счетчик нажатых клавиш, а начиная с 0623 массив нажатых кнопок. Смотри, что есть в дампе по адресу 8E43:

SSABBSBSA BBBABSSBAAS SBSBABBABBS где S - Select

И того 3-и комбинации.

Теперь перейдем к более сложному примеру Hunt for the Red October. В нем клавиши шифруются в другие значения.

Пример4: Hunt for the Red October, The [p1]
Найдем пароли которые набираются в паузе. Ставим игру на паузу и ставим бряк на 4016 и видим:

9f7d: AD 16 40 LDA $4016
9f80: 29 03 AND #$03
9f82: c9 01 CMP #$01
9f82: 26 47 ROL $47
...... //повторения
9fbc: AD 16 40 LDA $4016
9fbf: 29 03 AND #$03
9fbf: 26 47 ROL $47 //помещение состояние джойстика в регистр 47

Нашли регистр куда сохраняется значение джойстика это адрес 47. Так же обращаем внимание на то, что регистр ROL-ся. Значит схема кодировки первая. Тут восемь вхождений в 4016 и восемь сдвигов регистра 47. То есть по сути вместо цикла поставили подрят восемь считываний. Ставим бряк на 47 и убираем бряк на 4016. Пропускаем срабатывания адреса 47 где он ROL-ся. И видим:

ffde: A5 47 LDA $47
ffe0: 29 30 AND #$30 //проверка на Select и Start
ffe2: C9 30 CMP #$30
ffe4: D0 08 BNE $FFEE //Проверка одновременное нажатие кнопок Select и Start

В принципе не интересно. Стоит отметить, что когда ждут одновременное нажатие Select и Start ставять BNE, а если одну из кнопок, то ставят BEQ. Нажимаем на Run. И видим:

bbe8: A5 47 LDA $47
bbea: 29 10 AND #$10
bbec: D0 1C BNE $BC0A

Не интересно. Банальная проверка на Старт. Нажимаем на Run. И видим:

bbee: A5 47 LDA $47
bbf0: A2 00 LDX #$00
bbf2: 4A LSR //сдвиг вправо на 1
bbf3: 90 09 BCC $BBFE //проверка если не сдвинули до 0, то уходим на BBFE
bbf5: BD 0E BC LDA $BC0E,X //загружаем новый код клавиши
bbf8: 20 64 BD JSR $BD64 //уходим отсюда
bbfb: 90 07 BCC $BC04
bbfd: 60 RTS
bbfe: E8 INX //инкрементируем указатель на код клавиши расположенные по BC0E+Х
bbff: E0 08 CPX #$08 //проверка обошли ли все 8-м шифровок клавиш
bc01: 90 EF BCC $BBF2

Вот нашли. Здесь выбирается новый код клавиши из массива начинающемуся по адресу BC0E. Загрузив новый код клавиши уходит по адресу BD64. Смотрим, что происходит по этому адресу:

bd64: 85 0F STA $0F //новый код заносится в регистр F.

И так попав в адрес bbee занесем в регистр 47 число например 0Х80 - код клавиши, ставим бряк на F на чтение . Нажимаем Run и видим:

bd80: B1 09 LDA($09),Y @$BCEA =$41 //грузится какой то код и
bd82: C5 0F CMP $0F @$000F =$42 //сравнивает с нашим

Попали в область где проверка нашей клавиши с массивом в памяти начало которого по адресу BCEA. Кодировки клавиш как я писал раньше:

Вправо 52
Влево 4С
Вниз 44
Вверх 55
А 41
В 42
SELECT 53

Посмотрим, что находится по адресу BCEA, сняв дамп и загрузив его в Translhextion. Включим скрипт по этой кодировке:

ABBARDULL ABSABSABSABSABSABBA ABSRLLRSBABBA S UDLRUDLRUDLRUDLRAAABBBSSSRRRUUUDDDLLLABBA
UDLRS UDLRUDLRUDLRABBA UUDDLLRR где S - Select

И того всего 8-м паролей. Из них два новых.

-- 13 янв 2010, 20:47 --

РАЗДЕЛ 2: Удерживаемые комбинации клавиш.

Пример1: Splatter_House_-_Wanpaku_Graffiti_(J). Комбинации при нажатии на RESET.

Теперь хотелось бы поговорить о поиск мест где необходимо зажимать определенные клавиши для включения чита. Особенно поиски мест где необходимо нажимать RESET на приставке. Как правило процесс опроса выглядит следующим образом на примере игры Splatter_House_-_Wanpaku_Graffiti_(J):

ac6b: A5 68 LDA $68 @ $0068 = $00 //чтение из регистра где записано значение джойстика причем со второго
ac6d: C9 C4 CMP #$C4 //сравнение с А+В+Вниз
ac6f: D0 09 BNE $AC7A //проверка на данную комбинацию

Как же найти процедуру проверки на зажатие кнопкок сразу после сброса приставки. А очень просто. Поставте бряк на 4016 и 4017 и в дебаггере нажмите Reset. Сразу попадаем в процедуру опроса джойстика:
Для бряка на 4016:

e1c2: AD 16 40 LDA $4016 @ $4016 = $40 //чтение с порта джойстика 1
e1c5: 85 02 STA $02
e1c7: 4A LSR
e1c8: 05 02 ORA $02 @ $0002 = $00
e1ca: 4A LSR
e1cb: 26 00 ROL $00 @ $0000 = $0F //помещение состояние джойстика в регистр 00

Для 4017

e1cd: AD 17 40 LDA $4017 @ $4017 = $40 //чтение с порта джойстика 2
e1d0: 85 02 STA $02
e1d2: 4A LSR
e1d3: 05 02 ORA $02 @ $0002 = $00
e1d5: 4A LSR
e1d6: 26 01 ROL $01 @ $0001 = $FF //помещение состояние джойстика в регистр 01
e1d8: 88 DEY
e1d9: D0 E7 BNE $E1C2

Как видно для первого джойстика состояние записывается в 0, второго в 1. Ставим бряк на 0 и 1 и снимаем с 4016 и 4017, а так же исключаем бряки на e1cb и e1d6 где адреса 0 и 1 ROL-ся. Нажимаем Run и попадаем сюда:

e1e6: B5 00 LDA $00,X @ $0000 = $00 //считывание состояние 1-го джойстика
e1e8: A8 TAY //копирование состояние джойстика из регистра А в Y
e1e9: 55 67 EOR $67,X @ $0067 = $00
e1eb: 35 00 AND $00,X @ $0000 = $00
e1ed: 95 65 STA $65,X @ $0065 //помещение состояние джойстика в регистр 65
e1ef: 94 67 STY $67,X @ $0067 //помещение состояние джойстика в регистр 67
e1f1: 60 RTS

Это стандартная структура где Х при 0 для 1-го джойстика, а 1 для 2-го. То есть для 1-го джойстика будут адреса 65,67 а для второго 66,68. Ставим бряки еще для 65-68 адресов. 0 и 1 не убираем, так как бывает что и с на тоже проверка организуется. Нажимаем Run и попадаем сюда:

ac6b: A5 68 LDA $68 @ $0068 = $00 //чтение из регистра где записано значение джойстика причем со второго
ac6d: C9 C4 CMP #$C4 //сравнение с А+В+Вниз
ac6f: D0 09 BNE $AC7A //проверка на данную комбинацию
ac71: A9 09 LDA #$09
ac73: 85 70 STA $70
ac75: A9 00 LDA #$00
ac77: 85 71 STA $71

Вот и нашли где сразу после RESET опрашивается 2-й джойстик на комбинацию А+В+Вниз. Нажме еще Run может еще опрос есть:

ac7a: A5 67 LDA $67 @ $0067 = $00 //чтение из регистра где записано значение джойстика1
ac7c: C9 A8 CMP #$A8 //сравнение с А+Select+Вверх
ac7e: D0 09 BNE $AC89 //проверка на данную комбинацию
ac80: A9 05 LDA #$05
ac82: 85 70 STA $70
ac84: A9 00 LDA #$00
ac86: 85 71 STA $71

И не ошиблись есть еще проверка на А+Select+Вверх 1-го джойстика. Так же стоит обратить внимание на то что при разных комбинация есть только одно место которое отличается строка ac71 и ac80. В первом случае грузится 9, во втором 5. Это место где выбирается что приставке грузить дальше. Путем подбора выяснил, что если заменить 9 на 8, то вместо TEST MODE загрузится SCENE SELECT MODE. Судя по дампу памяти в роме есть еще STAGE SELECT MODE, но добратся до него не удалось.

Пример2: Battletoads (U). Проверка комбинаций после Start.

Бывает так, что комбинация при одновременном нажатии Start и еще каких либо проверяются не сразу. Одну из таких игр и рассмотрим.
Ставим бряк на 4016-4017:

Для 4016
8d83: AD 16 40 LDA $4016 @ $4016 = $40 //чтение с порта джойстика 1
8d86: 6A ROR
8d87: 26 15 ROL $15 @ $0015 = $00 //помещение состояние джойстика в регистр 15

Для 4017
8d89: AD 17 40 LDA $4017 @ $4017 = $40 //чтение с порта джойстика 2
8d8c: 6A ROR
8d8d: 26 16 ROL $16 @ $0016 = $00 //помещение состояние джойстика в регистр 16

Ставим бряк на 15-16, убираем на 4016-4017, делаем исключение для 8d87 и 8d8d.Запускаем Run и попадаем сюда:

8d92: A5 15 LDA $15 @ $0015 = $00 //чтение из регистра где записано значение джойстика1
8d94: AA TAX //копирование состояние джойстика из регистра А в Х
8d95: 45 29 EOR $29 @ $0029 = $00
8d97: 86 29 STX $29 //помещение состояние джойстика1 в регистр 29
8d99: 25 15 AND $15 @ $0015 = $00
8d9b: 85 2B STA $2B //помещение состояние джойстика1 в регистр 2B
8d9d: A5 16 LDA $16 @ $0016 = $00 //чтение из регистра где записано значение джойстика2
8d9f: AA TAX //копирование состояние джойстика из регистра А в Х
8da0: 45 2A EOR $2A @ $002A = $00
8da2: 86 2A STX $2A //помещение состояние джойстика2 в регистр 2А
8da4: 25 16 AND $16 @ $0016 = $00
8da6: 85 2C STA $2C //помещение состояние джойстика2 в регистр 2С

Размножение из адресов 15, 16 в 29,2В и 2А,2С соответственно. Ставим бряки на 29,2В и 2А,2С.Запускаем Run и попадаем сюда:

e5ca: A5 2B LDA $2B @ $002B = $00 //чтение из регистра где записано значение джойстика1
e5cc: 05 2C ORA $2C @ $002C = $00
e5ce: 29 10 AND #$10 //сравнение со START-ом
e5d0: D0 0C BNE $E5DE

Нашли где проверка на START. Теперь запишем в регистр 2В число 10. Для этого заходим в Memory... и в строке MemoryPoke ставим число 10 и нажимаем Poke Me!. Это эмуляция нажатия START. Запускаем Run и попадаем сюда:

e5eb: B5 2B LDA $2B,X @ $002C = $00 //чтение из регистра где записано значение джойстика2
e5ed: 29 10 AND #$10 //сравнение со START-ом

Пропускаем так как первый игрок нас не интересует. Запускаем Run и попадаем сюда:

e5eb: B5 2B LDA $2B,X @ $002B = $10 //чтение из регистра где записано значение джойстика1
e5ed: 29 10 AND #$10 //сравнение со START-ом

Видимо проверка есть вместе 2-х джойстиков на START и по отдельности. Здесь отдельная проверка для первого джойстика. Значение в регистре сохранено и равно по прежнему 10. Пропускаем. Запускаем Run и попадаем сюда:

e611: B5 29 LDA $29,X @ $0029 = $00 //чтение из регистра где записано значение джойстика1
e613: C9 D4 CMP #$D4 //проверка на А+В+Вниз+Start
e615: D0 0B BNE $E622
e617: A9 05 LDA #$05 //грузится в случае правильного набора 5 жизней
e619: 95 11 STA $11,X @ $0011 //здесь память жизней

Вот и нашли где после нажатия START проверяется комбинация клавиш.

-- 13 янв 2010, 20:47 --

РАЗДЕЛ 3: ДОБАВЛЯЕМ СВОИ КОМБИНАЦИИ КЛАВИШ

Используя знания предыдущих разделов можно самому добавлять комбинации клавиш. Скажем кто мешает добавить пополнение энергии комбинацией Вверх+START. Как это делается в этом разделе и рассмотрим. Но сначало рассмотрим несколько нюансов связанных с тем, что игры на NES в память полностью не грузятся, а что грузить определяет маппер. Всего мапперов очень много и разбираться с ними не иммет мысла и перспектив в этом вопросе. Поэтому мы пойдем другим путем. А именно будет вставлять свой код в текущий в данный момент опроса блок памяти. Но чтобы знать какой блок в данный момент грузится необходимо опять обратится к маперру? Нет, можно и это обойти. Для этого необходимо найти то место где ведется опрос на Start.И пределы области памяти 0000-FFFF где находится этот опрос и будет текущий. И знать как маппер блоками рулит нет надобности.

Пример1: Little Mermaid, The (U) добавим комбинацию Вверх+START для пополнения жизни.

Для начала необходимо найти адрес где текущая жизнь хранится с помощью VirtualNes. В данной игре это адрес В1. Теперь найдем опрос на Start. Ставим игру на паузу и ставим бряк на 4016. Запускаем Run и попадаем сюда:

c123: AD 16 40 LDA $4016 @ $4016 = $40 //чтение из регистра джойстика1
c126: 4A LSR
c127: 26 14 ROL $14 @ $0014 = $00 //помещение состояние джойстика в регистр 14
c129: 4A LSR
c12a: 26 00 ROL $00 @ $0000 = $F5 //помещение состояние джойстика в регистр 0

Выбираем регистр 14 и ставим бряк на него, убираем на 4016, исключаем c127. Запускаем Run и попадаем

c13a: 05 14 ORA $14 @ $0014 = $00
c13c: 85 14 STA $14 //помещение состояние джойстика в регистр 14
c13e: A5 01 LDA $01 @ $0001 = $00
c140: 05 15 ORA $15 @ $0015 = $00
c142: 85 15 STA $15
c144: A2 01 LDX #$01
c146: B5 14 LDA $14,X @ $0014 = $00 //чтение из регистра где записано значение джойстика1
c148: A8 TAY //копирование состояние джойстика из регистра А в Y
c149: 55 16 EOR $16,X @ $0016 = $00
c14b: 35 14 AND $14,X @ $0014 = $00
c14d: 95 14 STA $14,X @ $0014 //помещение состояние джойстика в регистр 14
c14f: 94 16 STY $16,X @ $0016 //помещение состояние джойстика в регистр 16

Видим, что есть еще регистр где хранится состояние джойстика1. Это регистр 16. Ставим бряк на 16.Нажимаем Run пока не попадем сюда:

eb70: A5 14 LDA $14 @ $0014 = $00 //чтение из регистра где записано значение джойстика1
eb72: 29 10 AND #$10 //сравнение со START-ом
eb74: D0 09 BNE $EB7F //если нажали START идем по адресу EB7F.
eb76: 20 02 EC JSR $EC02
eb79: 20 AD FF JSR $FFAD
eb7c: 4C 70 EB JMP $EB70
eb7f: A9 1C LDA #$1C
eb81: 20 A0 FC JSR $FCA0

То что нужно. Здесь опрос и переход если нажали START. Теперь необходимо взять 3 байта под переход JMP. Команду BNE мы взять не можем, т.к. это по сути команда пропуска байт если выполнилось условие от того место откуда она была вызвана. Смотрим что идет по перехода EB7F:

eb7f: A9 1C LDA #$1C
eb81: 20 A0 FC JSR $FCA0

Вот это мы можем захватить под переход, так как здесь переход прямой по адресу FCA0. Теперь необходимо найти место в роме где можно воспроизвести то, что мы позаимствовали под переход JMP. Смотрим ниже адреса eb81 и ищим повторяющиеся байты FF не менее 20-30 раз. Для этого прокручиваем в дебаггере бегунок вниз и смотрим. Смотрим и находим по адресу FE8D. Там достаточно места для написания нашего кода. Вообще смотреть свободное место лучше начинать с конца. Таким образом нам необходимо заменить код :

eb7f: A9 1C LDA #$1C
eb81: 20 A0 FC JSR $FCA0

На следующий

eb7f: 4C 8D FE JMP $FE8D //переход по нашему адресу FE8D там где будет расположен наш код
eb82: EA NOP //пустая команда под заполение оставшегося места
eb83: EA NOP //пустая команда под заполение оставшегося места

Для того чтобы заменить старый на новый необходимо в роме в нЕХ редакторе найти последовательность байт:
4C 70 EB A9 1C 20 A0 FC и заменить ее на 4C 70 EB 4C 8D FE EA EA.

Теперь необходимо вставить наш код по адресу FE8D. А код такой:

FE8D: A5 16 LDA $16 //грузится значение джойстика1
FE8F: C9 18 CMP #$18 //сравнение с Вврех+Start
FE91: D0 04 BNE $FE97 //если не нажата комбинация-идем к старому коду который убрали под переход JMP
FE93: A9 05 LDA #$05 //если нажали комбинацию, то грузим жизнь 5
FE95: 85 B1 STA $B1 //помещаем ее в регистр где жизнь текущая хранится
FE97: A9 1C LDA #$1C //далее выполняем старый код который выбрали по JMP
FE99: 20 A0 FC JSR $FCA0
FE9C: 4C 84 EB JMP $EB84 //переход обратно откуда перешли суда минуя переход который вставили

Заменяем старый код на новый найдем где же пустое место с FF расположено в роме. Для этого в эмуляторе посморим, что расположено выше адреса FE8D:

04 08 10 20 40 80 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

Эту последовательность и ищем в НЕХ редакторе и заменяем ее на:

04 08 10 20 40 80 A5 16 C9 18 D0 04 A9 05 85 B1 A9 1C 20 A0 FC 4c 84 EB

Сохраняем изменения в НЕХ редакторе. Запускаем ром нажимаем паузу и затем Вверх+Start и у вас 5 текущих жизней. Работает.

Пример2: Snake_Rattle_n_Roll(U) добавим комбинацию Вниз+START чтобы жизней стало 9 и таймер установить на 90.

Первоначально находим где хранится жизнь и таймер - 3DF и десятые значения таймера хранятся в СЕ. Теперь нужно найти где происходит проверка на Start. Как обычно ставим бряк на 4016, затем на регист где хранится состояние джойстика(у меня адрес 4) и находим все адреса где хранится значение джойстика. У меня получилось 4, 16 и 18. Теперь ставим бряк еще и на 16,18 и ищем где проверка на START пока не находим такой кусок кода:

8dac: A5 18 LDA $18 @ $0018 = $00 //грузится значение джойстика1
8dae: 05 19 ORA $19 @ $0019 = $00
8db0: 29 10 AND #$10 //сравнение со START-ом

Теперь нужно определиться что будет заимствовать под переход. Лучше все здесь подходит операция загрузки LDA и логическая операция ORA их и заменим на JMP. Необходимо так же знать куда будем переходить - найдем свободную область памяти куда можно вставить свой код. Чесно сказать в этой игде свободного места почти нет. Единственное место это область заполненная нулями по адресу ECC1. Ее и будем использовать. Таким образом известен адрес куда будем идти. Меняем выуказанный код на свой:

8dac: 4C C1 EC JMP $ECC1 //переход по адресу ECC1
8daf: EA NOP //свободное место заполняем NOP
8db0: 29 10 AND #$10

Для того чтобы заменить старый на новый необходимо в роме в нЕХ редакторе найти последовательность байт:
A5 18 05 19 29 10 и заменить ее на 4C C1 EC EA 29 10

Далее необходимо 00 по адресу ECC1 заменить на наш код:

ecc1: A5 16 LDA $16 @ $0016 = $00 //берем второй регистр 16, а не 18 для загрузки значения джойстика1
ecc3: C9 14 CMP #$14 //сравнение с Вниз+Start
ecc5: D0 09 BNE $ECD0 //если не нажата комбинвация, то выполняем старый код который заменили на JMP
ecc7: A9 09 LDA #$09 //загружаем жизнь равную 9
ecc9: 8D DF 03 STA $03DF //делаем жизнь по адресу 3DF равную 9
eccc: A9 09 LDA #$09 //загружаем таймер равный по десяткам 9
ecce: 85 CE STA $CE //делаем таймер по адресу СЕ равный по десяткам 9
ecd0: A5 18 LDA $18 @ $0018 = $00 //старый код который заменили выше на JMP
ecd2: 05 19 ORA $19 @ $0019 = $00
ecd4: 4C B0 8D JMP $8DB0 //уходим обратно откуда ушли минуя наш JMP

Заменяем старый код на новый найдем где же пустое место с 00 расположено в роме. Для этого в эмуляторе посморим, что расположено выше адреса ECC1:

48 3F 04 04 04 01 01 01 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00

Эту последовательность и ищем в НЕХ редакторе и заменяем ее на:

48 3F 04 04 04 01 01 01 00 A5 16 C9 14 D0 09 A9 09 8D Df 03 A9 09 85 CE A5 18 05 19 4C B0 8D

Сохраняем изменения в НЕХ редакторе. Запускаем ром нажимаем паузу и затем Вниз+Start и у вас 9 жизней и таймер снова становится больше 90. Работает.

Пример3:Darkwing Duck (U) [o1] добавим комбинацию в паузе Верх,Вниз,Влево,Вправо - сделаем9 жизней при ее вводе

Пример болле сложный и места потребуется гораздо больше. Не случайно я выбрал эту игру. Во-первых, в ней нет комбинаций вообще, а во-вторых, в ней есть достаточно места чтобы вставить достаточно большой кусок кода. Для начала найдем где хранится жизнь - у меня это адрес 5Е6. Жизнь хранится в виде числа жизней + 0х70. То есть жизней 3, а хранится 73. Теперь найдем где происходит опрос на нажатие START. У меня это вот это место:

8fc4: A5 14 LDA $14 @ $0014 = $00
8fc6: 29 10 AND #$10
8fc8: F0 ED BEQ $8FB7

Ищем место куда можно вставить 43 байта. Очень много места по адресу FC4B. Определились куда будем пихать наш код. Теперь заменим кусок кода по адресу 8fc4-8fc7 на переход:

8fc4: 4C 4B FC JMP $FC4B
8fc7: EA NOP
8fc8: F0 ED BEQ $8FB7

Для того чтобы заменить старый на новый необходимо в роме в нЕХ редакторе найти последовательность байт:
A5 14 29 10 F0 ED и заменить ее на 4C 4B FC EA F0 ED

Далее начиная с адреса FC4B вставляем свой код:

fc4b: AD FF 1F LDA $1FFF @ $1FFF = $00 //грузим счетчик введеных правильно комбинаций
fc4e: AA TAX //грузим его в регистр Х
fc4f: A5 14 LDA $14 @ $0014 = $00 //грузим состояние джойстика
fc51: DD 73 FC CMP $FC73,X @ $FC83 = $FF //сравниваем его с правильной комбинацией
fc54: D0 13 BNE $FC69 //если не правильно выполняем старый код который заменили на JMP
fc56: E8 INX //если правильно ввели увеличиваем счетчик правильно введеных комбинаций
fc57: 8A TXA //помещаем его в регистр А
fc58: 8D FF 1F STA $1FFF //заносим увеличенный счетчик по адресу 1FFF
fc5b: C9 04 CMP #$04 //сравниваем правильное введеное количество с 4.Всего 4-е комбинации
fc5d: D0 0A BNE $FC69 //если не все правильно ввели, то выполняем старый код
fc5f: A9 00 LDA #$00 //если всен ввели, то обнуляем счетчик введеных комбинаций
fc61: 8D FF 1F STA $1FFF //заносим обнуленный счетчик по адресу 1FFF
fc64: A9 79 LDA #$79 //делаем жизнь раную 9
fc66: 8D E6 05 STA $05E6 //грузим новое число жизней
fc69: A9 FF LDA #$FF //заносим число которое было в Х обратно, там было FF
fc6b: AA TAX //и в Х его
fc6c: A5 14 LDA $14 @ $0014 = $00 //это старый код который мы заменяли выше на JMP
fc6e: 29 10 AND #$10
fc70: 4C C8 8F JMP $8FC8 //уходим отсуда обратно минуя наш JMP
fc73: 08 PHP //код кнопки Вверх
fc74: 04 .db $04 //код кнопки Вниз
fc75: 02 .db $02 //код кнопки Влево
fc76: 01 00 ORA ($00,X) @ $0000 = $76 //код кнопки Вправо

Теперь по подробнее рассмотрим, что и откуда я взял для написания этого кода. Первое, я взял под хранение счетчика правильно нажатых кнопок адрес 1FFF. Как правило этот адрес редко используется. В этом легко убедиться поставив бряк на этот адрес и начать с самого начала с загрузки игры и до паузы - бряк не сработал. Можно и другой, но нужно проверять используется ли этот адрес во время игры. Далее для того, чтобы смещаться относительно базового адреса и сравнивать код клавиши с тем что в памяти можно использовать X или Y. Я взял Х. Предварительно я посмотрел чему равно значение до вхождения в наш кусок кода. А равно оно FF. Так же убедился, что значение не меняется поиграв немного и снова войдя в наш кусок кода. По прежнему FF. И перед тем как выполнить старый код который мы заменили на JMP я вернул то самое FF. Алгоритм прост. Сначало грузится счетчик правильно введеных комбинаций кнопок по адресу 1FFF в регистр Х. Затем грузится состояние джойстика. Оно сравнивается с тем, что записано в памяти + смещение на величину введеных уже комбинаций. Если они не равны, то возвращается старое значение Х и выполняется старый код. А если они равны увеличивается счетчик введеных клавиш и сохраняется по адресу 1FFF. Далее оно сравнивается с максимальным числом комбинаций которое нужно ввести. Если оно меньше, то возвращается старое значение Х и выполняется старый код. Если же они они одинаковы, то счетчик обнуляется и сохраняется по адресу 1FFF. Потом заносится новое значение жизни 79 по адресу 5E6, возвращается старое значение Х и выполняется старый код. И наконец выходим из программы обратно минуя наш переход JMP.

Заменяем старый код на новый найдем где же пустое место с FF расположено в роме. Для этого в эмуляторе посморим, что расположено выше адреса fc4b:

40 03 60 01 02 04 08 10 20 40 80 FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF FF

Эту последовательность и ищем в НЕХ редакторе и заменяем ее и все что дальше на:

40 03 60 01 02 04 08 10 20 40 80 AD FF 1F AA A5 14 DD 73 FC D0 13 E8 8A 8D FF 1F C9 04 D0 0A A9 00 8D FF 1F A9 79 8D E6 05 A9 FF AA A5 14 29 10 4C C8 8F 08 04 02 01

Сохраняем. Проверяем. Идем в паузу, Нажимаем Верх,Вниз,Влево,Вправо и видим, что жизнь с 3-х сменилась на 9. Работает.