吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11903|回复: 242
收起左侧

[原创] 解包某电钢琴学习机的歌曲包

    [复制链接]
whc2001 发表于 2024-3-31 17:38
本帖最后由 whc2001 于 2024-3-31 21:00 编辑

0. 写在前面
这是大概两年前搞的,能搞出来纯属瞎猫碰上死耗子,看了一眼厂家的官网都不在了,发上来备份一下吧
由于个人水平不行纯粹是在瞎搞,帖子写得有点长,不想看的可以直接拉到最后面,提供了原版升级包和歌曲包下载(厂商官网已经下线,WaybackMachine 也没有备份,这里算是备份一下吧)和解包工具源代码

1. 背景
楼主的一个朋友无意在小黄鱼上发现了一批清仓处理的看起来像电子琴的玩意,带有可以显示歌词的屏幕和基于硬件 LED 的钢琴卷帘(类似 Synthesia 那种)显示,放张官网图:
1-1FZ41HQ55E.gif

去官网看了一眼,内置快 3000 首歌曲,带有一层目录结构,官网还提供了升级包和歌曲包下载,于是果断下下来研究一下:
屏幕截图 2024-03-31 032753.png 屏幕截图 2024-03-31 032855.png

2. 初步观察
其中小的是系统升级包,大点的是歌曲包,先来看升级包:
屏幕截图 2024-03-31 033200.png

文件具有自定义的后缀名和文件头,暂时不知道里面是什么,用 7zip 打开试试:
屏幕截图 2024-03-31 033337.png 屏幕截图 2024-03-31 033401.png

哦豁,竟然就是个普通 zip 包,而且里面就是 WinCE 平台的主程序,先记一笔,看看音乐包是个啥情况
官网提供了 3 种不同的音乐包,分别是【儿童版】【青年版】【长者版】,但下载下来之后发现大小完全相同:
屏幕截图 2024-03-31 033545.png

推测内容应该一致,是使用了内部字段来控制应用内显示哪些歌曲,丢 WinHex 看眼先

3. 观察音乐包格式
头部是版本号,以及一大堆空白:
屏幕截图 2024-03-31 033830.png

从 1KB 的位置开始,出现了很多非明文但大多重复的可疑内容
屏幕截图 2024-03-31 033846.png

从 0x056380 偏移开始,出现了明文的 MIDI 数据(包括 MThd 头以及内嵌的 MIDI Text):
屏幕截图 2024-03-31 034014.png

到了这步,其实格式就已经很清晰了,前面很明显是经过某种加密或编码的目录信息(以某网游的数据包体进行类比,就相当于 Trunk.dir),后面的则是连续的明文歌曲数据。
理论上来讲,现在已经可以开始拆内容了,只需要按顺序寻找 MThd 文件头,将之间的内容保存为文件就可以了。但实际操作下来发现,很多 MIDI 文件里没有内嵌歌曲名称数据,也就意味着不研究一下目录数据格式的话,歌曲名称和目录名称都是搞不出来的。
那就先把主程序丢进 IDA 看眼吧,万一呢.png


4. 查证目录部分加密方式与密钥
已知歌曲包文件名为 PianoCat.yym,从字符串入手:
屏幕截图 2024-03-31 035203.png 屏幕截图 2024-03-31 035239.png

引用还不少,一个一个看过去,发现其中一个函数的日志中提到名称 SongYYmDat_Find,可能和寻找歌曲偏移有关,先改下函数名称
屏幕截图 2024-03-31 035938.png

其中这个 sub_14930 的函数名根据日志可以看到叫做 ReadFileShort,用来读取某个文件从某偏移开始的固定长度,里面有很多 COREDLL_XXX 的函数,由于手头没有 WinCE 的CoreDLL.dll,相关导入函数名称也没有,根据上下文猜测用途,一起重命名掉
屏幕截图 2024-03-31 040515.png

可以看到,首先从偏移 1280 开始读取了 128 字节,然后对这 128 字节数据进行了 sub_394B0 的处理。回去观察歌曲包数据:
屏幕截图 2024-03-31 040854.png

可以看到是从偏移 1280 开始,数据每 32 字节的头尾呈现明显的相似特征,而 1024 - 1279 这块似乎有个断层。那么 sub_394B0 在做什么呢?
屏幕截图 2024-03-31 041242.png

刚看到还是有点迷惑的,但仔细看一下,就会发现这玩意做的事很简单:对于 buffer 里的每一个字节,使用 (word_1FA0F0 + 27174) 这个数组里的每一个字节(一共 32 字节,循环取)进行相减。C# 转写下:
[C#] 纯文本查看 复制代码
public static byte[] key = { ... };

public void Decrypt (ref byte[] buffer, int len)
{
    for (int i = 0; i < len; ++i)
        buffer[i] -= key[i % 32];
}


那么现在这个 word_1FA0F0 + 27174 应该就是密钥了,但是这玩意是从哪里被读出来的呢?IDA 似乎没有搜索某个变量加上一个特定的偏移的方式,而这玩意又是一大堆引用,没办法继续手动找,然后发现了这么个诡异的函数:
屏幕截图 2024-03-31 042452.png

看一眼这玩意的引用,只有一个:
屏幕截图 2024-03-31 042546.png

首先读取了从 1024 字节开始的连续 256 字节内容(也就是前文提到的目录之前的奇怪部分),然后塞进了这个函数。
但是这个函数其实没太看懂(尤其是“a1 [v2 + 27174] = ...”这一句),但是大概看出来了好像是使用后 32 字节的内容减去前 32 字节的内容。使用 C# 做一下实验吧,还记得之前读取歌曲目录的那边,从 1280 开始读取了 128 个字节,那么也复制目录部分最开始 128 字节,做一下解密测试:
屏幕截图 2024-03-31 044531.png

离谱,瞎猫碰上死耗子,竟然成了!目前可以得知以下内容:
  • 解密后的数据同时存在字符串和二进制
  • 解密后的数据的字符串为 GBK 编码
  • 1280 开始的这部分为目录数据中的文件夹部分,歌曲部分的数据应该更加靠后,且歌曲部分的密钥不知道是否相同

死马当活马医,把 1280 字节到 353151 字节这部分全部提取出来解密试试看:
屏幕截图 2024-03-31 045349.png 屏幕截图 2024-03-31 045401.png

密钥是相同的!1024 到 3071 字节部分是文件夹,3072 字节开始则是文件内容。至此,目录部分的解密已完成。

5. 查证目录数据的部分结构
刚才的函数中,还发现读取了从 252 字节开始的连续 4 个字节:
屏幕截图 2024-03-31 045613.png

查看原文件,可以看到这里的数值是 24,刚好可以和解密出的文件夹的数量对上,同时位置处于目录数据之前也说得通,此处应为包含的所有目录数量:
屏幕截图 2024-03-31 045710.png

同时,在函数 SongYYmDat_Find 中读取 128 字节时,出现了一个类似缓冲区溢出的行为:
屏幕截图 2024-03-31 050307.png

也就是 v13 和 v14 分别对应了读出来的 128 字节的最后 2 个 4 字节,通过下面的代码分析一下作用,可以知道从 v14 开始读取了 v13 << 7 个字节,同时计数变量与 v7 有关。因此可知,v14(每个文件夹的数据块最后4字节)为文件夹内容的起始偏移,而 v13 (倒数第二个 4 字节)为文件夹内文件的数量,且文件夹内每个歌曲数据块的大小为 128(因为左移 7 相当于乘以 128)。

知道了这些就可以写出读取目录数据里文件夹部分的 C# 代码:
[C#] 纯文本查看 复制代码
private static (string dirName, int dirDataLength, int dirDataOffset)[] GetAllDirs(byte[] fileData)
{
    List<(string dirName, int dirDataLength, int dirOffset)> ret = new List<(string dirName, int dirDataLength, int dirOffset)>();
    int dirNum = BitConverter.ToInt32(fileData.Skip(252).Take(4).ToArray(), 0);
    for (int i = 0; i < dirNum; ++i)
    {
        int offset = 1280 + i * 128;
        byte[] item = fileData.Skip(offset).Take(128).ToArray();
        for (int j = 0; j < item.Length; ++j)
            item[j] -= key[j % 32];
        string dirName = gbk.GetString(item.Take(120).ToArray()).TrimEnd('\0');
        int dirDataLength = BitConverter.ToInt32(item.Skip(120).Take(4).ToArray(), 0) << 7;
        int dirDataOffset = BitConverter.ToInt32(item.Skip(124).Take(4).ToArray(), 0);
        ret.Add((dirName, dirDataLength, dirDataOffset));
    }
    return ret.ToArray();
}


而针对歌曲数据块的解析,讲真个人不太想继续看反编译出来的代码了,既然歌曲数据本身没有被加密,且现在要解包歌曲数据只需要得知每首歌曲的偏移量和长度,那直接到歌曲数据部分随便找几个,然后到目录区去硬对不就完事了!
随便找了一首歌曲数据里有嵌入标题的,偏移 356916 (0x057234),长度 825 (0x0339)

屏幕截图 2024-03-31 051134.png

到目录区找到对应名称的歌曲数据块,可以看出数据块 +64 和 +68 就分别是歌曲数据偏移和歌曲数据长度:
屏幕截图 2024-03-31 051511.png

这样就也可以写出已知文件夹起始偏移和文件夹总长度,读取文件夹中所有歌曲信息、以及读取每首歌曲的 MIDI 数据部分的 C# 代码:
[C#] 纯文本查看 复制代码
private static (string fileName, int songDataOffset, int songDataLength)[] GetAllFiles(byte[] fileData, int dirDataOffset, int dirDataLength)
{
    List<(string fileName, int songDataOffset, int songDataLength)> ret = new List<(string fileName, int songDataOffset, int songDataLength)>();
    for (int i = 0; i < dirDataLength / 128; ++i)
    {
        int offset = dirDataOffset + i * 128;
        byte[] item = fileData.Skip(offset).Take(128).ToArray();
        for (int j = 0; j < item.Length; ++j)
            item[j] -= key[j % 32];
        string fileName = gbk.GetString(item.Take(64).ToArray()).TrimEnd('\0');
        int songDataOffset = BitConverter.ToInt32(item.Skip(64).Take(4).ToArray(), 0);
        int songDataLength = BitConverter.ToInt32(item.Skip(68).Take(4).ToArray(), 0);
        ret.Add((fileName, songDataOffset, songDataLength));
    }
    return ret.ToArray();
}

private static byte[] GetSongData(byte[] fileData, int songDataOffset, int songDataLength)
{
    return fileData.Skip(songDataOffset).Take(songDataLength).ToArray();
}


6. 解包工具实现
有了这些,再实现一下文件的输入和输出,就可以把歌曲包里的内容按照相同的文件夹结构完美地解到本地文件系统,使用效果如图:
屏幕截图 2024-03-31 052740.png 屏幕截图 2024-03-31 052812.png

7. 相关下载
由于官网已不存在,在此上传官网提供的最后一版升级包和歌曲包:https://pan.baidu.com/s/111Otr48eP88zShUBaLd4gA?pwd=52pj
完整代码:https://github.com/whc2001/PianoCatSongDataExtractor
已编译的解包工具:https://pan.baidu.com/s/186KJtWOo1YhTEe6wDLDHcQ?pwd=52pj


完毕,感谢观看

免费评分

参与人数 97吾爱币 +94 悬赏值 +1 热心值 +84 收起 理由
wyh21cn + 1 + 1 谢谢@Thanks!
weitao4112 + 1 谢谢@Thanks!
licaicaikan + 1 + 1 用心讨论,共获提升!
笙若 + 1 + 1 谢谢@Thanks!
zptc123 + 1 我很赞同!
Y1994 + 1 + 1 好多钢琴曲i听 爱了
古天乐le + 1 谢谢@Thanks!
leechjia + 1 鼓励转贴优秀软件安全工具和文档!
Pipi2018 + 1 用心讨论,共获提升!
tianyalaike + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wdpjplc + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
ljbnlb + 1 + 1 我很赞同!
fengbu401 + 1 + 1 我很赞同!
jovizhuang + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
intitle + 1 + 1 热心回复!
hl520 + 1 谢谢@Thanks!
procurve + 1 + 1 谢谢@Thanks!
Twenty2k + 1 + 1 谢谢@Thanks!
xenos4 + 1 + 1 我很赞同!
大理宾馆 + 1 + 1 我很赞同!
小朋友呢 + 2 + 1 热心回复!
zjx00a + 1 + 1 用心讨论,共获提升!
Lemontea0 + 1 + 1 我很赞同!
yuanshuzhen + 1 + 1 我很赞同!
kof + 1 我很赞同!
ts73033 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
perix + 1 我很赞同!
LoveDigital + 1 我很赞同!
flyers + 1 + 1 谢谢@Thanks!
fylm + 1 + 1 谢谢@Thanks!
lsxon + 1 + 1 谢谢@Thanks!
yzaideshiyan + 1 用心讨论,共获提升!
cxzl + 1 + 1 我很赞同!
sanmylc + 1 + 1 我很赞同!
qjlfl + 1 + 1 热心回复!
Honda + 1 + 1 谢谢@Thanks!
贪睡的叶浠 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
ninja2ren + 1 + 1 谢谢@Thanks!
zj1d + 2 + 1
Halo_world + 1 谢谢@Thanks!
Clarence210 + 1 + 1 我很赞同!
wangyongdesign + 1 + 1 谢谢@Thanks!
VertexLink + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Cofei430 + 1 + 1 谢谢@Thanks!
iamzhb + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
121woaipojie121 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
guoruihotel + 1 + 1 谢谢@Thanks!
chen0822011 + 1 + 1 我很赞同!
fortytwo + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
3bbdyg + 1 + 1 非常有意思
FingerMan + 1 + 1 太强了
ma4907758 + 1 + 1 谢谢@Thanks!
喵喵爱吃鱼 + 1 + 1 用心讨论,共获提升!
hopecolor514 + 1 我很赞同!
gp99821015 + 1 热心回复!
gamingnow + 1 + 1 用心讨论,共获提升!
cwldy + 1 谢谢@Thanks!
mancong122 + 1 热心回复!
jellymeow + 1 + 1 用心讨论,共获提升!
yy19917 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
dechong + 1 鼓励转贴优秀软件安全工具和文档!
abaooo + 1 + 1 我很赞同!
hu1590 + 1 + 1 谢谢@Thanks!
52pojieplayer + 1 + 1 谢谢@Thanks!
kuiba + 1 + 1 谢谢@Thanks!
ddconstantinebb + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
foreverly + 1 + 1 我很赞同!
zd53011 + 1 鼓励转贴优秀软件安全工具和文档!
弃族 + 1 + 1 用心讨论,共获提升!
songbai + 1 谢谢@Thanks!
ws001980 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
yyxqf + 1 + 1 热心回复!
wyt521 + 1 + 1 谢谢@Thanks!
VnYzm + 1 + 1 用心讨论,共获提升!
zhuzhuxia111 + 1 + 1 我很赞同!
awwwawww + 1 + 1 大佬大佬厉害又有毅力
bot4o7 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
kj1004 + 1 谢谢@Thanks!
Chenda1 + 1 + 1 我很赞同!
fengbolee + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
QQ165888 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wangguang + 2 + 1 我很赞同!
geybang2024 + 1 用心讨论,共获提升!
yixi + 1 + 1 谢谢@Thanks!
usb00 + 1 + 1 谢谢@Thanks!
5omggx + 1 + 1 用心讨论,共获提升!
iTMZhang + 1 + 1 用心讨论,共获提升!
w220913 + 1 + 1 我很赞同!
BonnieRan + 1 + 1 谢谢@Thanks!
大牙船长 + 1 + 1 谢谢@Thanks!
lange21cn + 1 + 1 用心讨论,共获提升!
侃遍天下无二人 + 4 + 1 前段时间也买了个折叠琴,可惜没玩起来
haopengyou + 1 + 1 谢谢@Thanks!
roveryz + 1 + 1 谢谢@Thanks!
wapjltb + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
a20549304 + 1 + 1 我很赞同!
shengruqing + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

protech 发表于 2024-4-7 19:05
感谢! 已解包。
注:厂家工程文件三个压缩包dgq_gqb1.rar, dgq_gqb2.rar, dgq_gqb3.rar 里歌曲是一样的,只是文件夹排序不同。

下载: https://wwd.lanzn.com/iY2wc1u959af
密码: 7878

Mid 格式转简谱,可以用 EveryonePiano 插件里的 “EOP简谱大师” 。
gksj 发表于 2024-3-31 21:47
溜玩音乐 发表于 2024-3-31 19:34
一个字,佩服。小日子的键盘数据加密文件,不知道有没有兴趣研究。

YAMAHA的音色包CPI文件是RSA非对称加密的,YEM逆向顶多弄出来个公钥,私钥除非把芯片里面的程序抠出来,目前只有做中文系统的那帮人搞定了.

免费评分

参与人数 1热心值 +1 收起 理由
whc2001 + 1 我很赞同!

查看全部评分

 楼主| whc2001 发表于 2024-3-31 20:42
溜玩音乐 发表于 2024-3-31 19:34
一个字,佩服。小日子的键盘数据加密文件,不知道有没有兴趣研究。

我之前试图研究过 C 家的 CM2 格式,没搞出个所以然来,Y家的估计更复杂
s1986q 发表于 2024-4-1 15:21
willcine 发表于 2024-4-1 11:28
有无gif啊?还是闪退

https://www.52pojie.cn/thread-1908377-1-1.html
去看看我的python版

免费评分

参与人数 1吾爱币 +2 热心值 +1 收起 理由
whc2001 + 2 + 1 用心讨论,共获提升!

查看全部评分

jackrong 发表于 2024-4-1 15:51
willcine 发表于 2024-4-1 11:28
有无gif啊?还是闪退

cmd  应该会吧
比如,你下载之后,在 D:\test 下。
解压得到
d:\tset\PianoCat.yym
d:\tset\PianoCat.yym
把 PianoCatSongDataExtractor.exe 也拷到 d:\tset\PianoCatSongDataExtractor.exe

第二步
cmd
d:
cd test

第三步 打入
PianoCatSongDataExtractor.exe PianoCat.yym d:\tset\
-----------------------
之后 ,就跑起来了。

免费评分

参与人数 1吾爱币 +2 热心值 +1 收起 理由
whc2001 + 2 + 1 热心回复!

查看全部评分

kghong 发表于 2024-3-31 18:47
不错,楼主把解包工具一并发出来可行
Archange 发表于 2024-3-31 18:47
感谢分享
 楼主| whc2001 发表于 2024-3-31 18:57
本帖最后由 whc2001 于 2024-3-31 19:16 编辑
kghong 发表于 2024-3-31 18:47
不错,楼主把解包工具一并发出来可行

晚点我整理一下丢 GitHub 吧
已更新

dork 发表于 2024-3-31 19:21
话说MID有了,那有没有mid转简谱的工具软件呢?
溜玩音乐 发表于 2024-3-31 19:34
一个字,佩服。小日子的键盘数据加密文件,不知道有没有兴趣研究。
gabhgax 发表于 2024-3-31 19:53
不错,感谢分享
kidyan0000 发表于 2024-3-31 20:29
感谢分享,以后我也可以试试
 楼主| whc2001 发表于 2024-3-31 20:43
dork 发表于 2024-3-31 19:21
话说MID有了,那有没有mid转简谱的工具软件呢?

简谱的话大概只能找国产软件了吧,MuseScore 可以导入 MID 但是只能显示成五线谱
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-22 06:53

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表