需要引用的内容是一些前辈通过黑客技术,逆向工程,反汇编技术等等方法所获得的,由于某种非人力不可抗拒因素,这里不能列出他们的名字,抱歉!
...
MPQ文件是一种压缩包(pack)格式,它可以单独存在如*.mpq,也可以寄存在其他文件中如*.w3m,*.w3x
它有一个标准的32byte的header:
CODE:
struct TMPQHeader
{
DWORD dwMpqFlag;
DWORD dwHeaderSize;
DWORD dwArchiveSize;
USHORT wFormatVersion;
USHORT wBlockSize;
DWORD dwHashTablePos;
DWORD dwBlockTablePos;
DWORD dwHashTableSize;
DWORD dwBlockTableSize;
};
其中dwMqpFlag是一个常量,它的值为'MPQ',用来定位MPQ在寄主文件中的文件头位置。这个地址将作为MPQ包的基地址。
MPQ使用HashTable-BlockTable来定位一个文件在MPQ包中的位置,当然它们是经过确定密钥加密后放如MPQ包中的,以逃脱明文存放的危险。
在MPQ中的加密算法分两种:
1),摘要加密:把不定长度数据转化为定长的数据,hash算法得到一个DWORD
2),对称加密:把不定长度数据按DWORD转换为同样长度的数据。
上面两种加密在MPQ中会用到密钥,以确保Hash算法的更不可预料性和对称加密的密钥。
MPQ使用的密钥有5组,每组密钥(长0x100个DWORD)被全部用于某次加密。密钥是确定的,是可以在加密之前计算出来并且保持不变的常量。计算方法相当有规律:
CODE:
DWORD cryptTable[0x500]
void prepareCryptTable()
{
DWORD dwHih, dwLow,seed = 0x00100001,index1 = 0,index2 = 0, i;
for(index1 = 0; index1 < 0x100; index1++)
{
for(index2 = index1, i = 0; i < 5; i++, index2 += 0x100)
{
seed = (seed * 125 + 3) % 0x2AAAAB;
dwHih= (seed & 0xFFFF) << 0x10;
seed = (seed * 125 + 3) % 0x2AAAAB;
dwLow= (seed & 0xFFFF);
cryptTable[index2] = (dwHih| dwLow);
}
}
}
然后就可以使用MPQ中的加密函数了。
CODE:
DWORD HashString(char *lpszFileName,DWORD dwCryptIndex)
{
unsigned char *key = (unsigned char *)lpszFileName;
DWORD seed1 = 0x7FED7FED, seed2 = 0xEEEEEEEE;
int ch;
while(*key != 0)
{
ch = toupper(*key++);
seed1 = cryptTable[(dwCryptIndex<< 8) + ch] ^ (seed1 + seed2);
seed2 = ch + seed1 + seed2 + (seed2 << 5) + 3;
}
return seed1;
}
这个Hash函数被用来Hash一个filename根据密钥0,密钥1,密钥2获得三个Hash:Hash,Hash1,Hash2.
其中Hash被用来在HashTable中定位。Hash%HashTableSize就是索引。
CODE:
struct TMPQHash
{
DWORD dwHash1;
DWORD dwHash2;
USHORT lcLocale;
USHORT wPlatform;
DWORD dwBlockIndex;//0xFFFFFFFEh,0xFFFFFFFFh表示该HashItem无效.
};
当然很可能几个不同的filename对应到了一个索引,这时就依靠Hash1,Hash2来校验。
只要找到Hash1和Hash2都符合的HashItem就读取BlockIndex并进入BlockTable,否则校验下一个HashItem。由此 可见MPQ的设计比较科学!如果检查一个MPQ中不存在的filename是否在MPQ包中,花费的时间是相当可观的,将会查询完整个 HashTable。
struct TMPQBlock
{
DWORD dwFilePos;
DWORD dwCSize;
DWORD dwFSize;
DWORD dwFlags;
};
只在BlockTable中才纪录了有用的信息。把BlockTable和HashTable分离开,这充分体现了MPQ设计的科学性:如果把任何一个BlockItem中的属性放到HashTable中都会降低MPQ的安全性。
到这儿整个文件的定位工作就完了,下面仅仅需要根据Flags来分析文件采用的存储方式:
默认密钥加密,种子带文件长度和文件名修正的加密;
PKware压缩,Wave压缩,多方式压缩,不压缩。