starflight reverse

Na década de 80, uma empresa desconhecida chamada Binary Systems publicou o jogo Starflight. O jogo coloca o jogador no papel de um capitão de uma nave enviado para explorar a galáxia. Não existe um caminho definido, permitindo aos jogadores alternar livremente entre mineração, combate entre navios e diplomacia alienígena. O enredo mais amplo do jogo surge lentamente, à medida que o jogador descobre que uma antiga raça de seres está fazendo com que as estrelas brilhem e destruam todas as criaturas vivas. O jogo foi amplamente elogiado pela crítica contemporânea e moderna e é um dos primeiros exemplos de jogo sandbox. O jogo influenciou o design de vários outros jogos durante décadas após seu lançamento.

Para saber mais sobre o jogo acesse os seguintes links:

• Wikipédia
• O Antiquário Digital
• Páginas de recursos do Starflight
• Artigos técnicos salvos do esquecimento
• Revisão do Starflight 1
• Revisão do Starflight 2
• Outros sites de fãs ou projetos 1 2 3 4 5

Você pode comprar o jogo no GoG

A primeira vez que ouvi falar do jogo, quis jogá-lo. No entanto, eu era muito jovem e não sabia falar inglês. 20 depois tentei novamente e foi uma experiência muito agradável. A exploração é divertida, o enredo é épico e termina com uma surpresa, que é uma das melhores que já experimentei. Claro, o jogo não envelheceu bem, mas você pode sentir a devoção dos desenvolvedores ao jogo. Há um aspecto artístico neste jogo, bem como a atenção de um artesão aos detalhes.

Por mais que jogar este jogo verdadeiramente incrível seja divertido, a engenharia reversa deste jogo também o é. Você segue os passos dos desenvolvedores e vivencia seus processos de pensamento como se fosse o ano de 1985 novamente. Para este jogo espere o inesperado. Normalmente, quando você faz engenharia reversa em um jogo tão antigo, você recebe dez milhares de linhas de código assembler puro, que você pode analisar com ferramentas usuais como o IDA Pro. Mas não desta vez. Na verdade, para este jogo você pode jogar fora as ferramentas usuais. Eles são inúteis. Você está sozinho. A razão é que Starflight foi escrito em Forth, uma língua que eu mal conhecia.

Em seguida está a linguagem com o minimalismo máximo em relação à sintaxe. Não existe mais sintaxe do que o espaço entre “palavras”. Você pode escrever um leitor e intérprete Forth basicamente em algumas linhas de código.

Em uma linguagem moderna você escreve algo como

 print ( 2 + 3 )

para imprimir o resultado de 2+3. Em Forth, no entanto, é assim.

 2 3 + .

A seguir está uma máquina de pilha, com notação polonesa reversa. A interpretação é a seguinte

• empurre 2 no topo da pilha
• empurre 3 no topo da pilha
• pop as duas últimas entradas da pilha e adicione-as. Empurre o resultado de volta para o topo da pilha.
• retire o valor superior da pilha e imprima-o

A sintaxe é simples e o interpretador é simples. "2", "3", "+" e "." são chamadas apenas de "palavras". Não há distinção sintática entre dados e código. Certamente uma linguagem que correspondeu às limitações dos primeiros computadores domésticos.

Quando você disseca o executável STARFLT.COM, ele revela alguns detalhes internos fantásticos

• O código compilado mantém a estrutura do código-fonte do Forth. Nenhuma otimização pelo compilador. Uma palavra no código-fonte são dois bytes no código compilado.
• O código assembly x86 consome menos de 5% do tamanho do executável
• Mais de 90% dos executáveis ​​são, na verdade, ponteiros de 16 bits.
• 2.000 dos cerca de 6.000 nomes de palavras, que hoje em dia você chamaria de símbolos de depuração, ainda estão no código, mas criptografados. Isso nos permite fazer engenharia reversa de uma grande parte do código-fonte original.
• O interpretador Forth (não o compilador) ainda faz parte do executável e pode ser habilitado
• O executável é lento. Além de algumas rotinas otimizadas em assembler, o código desperdiça pelo menos 50% dos ciclos da CPU apenas pulando no código.
• O executável faz uso intenso de sobreposições de código, o que torna a decodificação muito mais complicada

Conforme explicado acima, Forth é uma máquina de pilha. Como mecânica de codificação, ele usa threading indireto, um método muito eficiente em termos de espaço para armazenar seu código compilado. O código encadeado tem uma forma que consiste essencialmente em chamadas para sub-rotinas. O threading indireto usa ponteiros para locais que, por sua vez, apontam para o código de máquina.

Digamos que seu ponteiro de instrução aponte para o endereço 0x1000 e contenha o valor de 16 bits Read16(0x1000)=0x0f72.

 0x1000 : dw 0x0f72

O valor 0x0f72 é o equivalente codificado da quarta palavra '+'. Lembre-se da descrição acima. A palavra '+' exibe as duas últimas entradas da pilha, soma-as e coloca o resultado de volta no topo da pilha. De acordo com o threading indireto, esse valor de 16 bits 0x0f72 é um ponteiro para um local que, por sua vez, aponta para o código de máquina. Ao ler o conteúdo da memória Read16(0x0f72) você obtém o ponteiro para 0x0f74. E, de fato, quando você olha para este local de memória e o desmonta, você recebe o seguinte

 0x0f72 : dw 0x0f74
0x0f74 : pop    ax
0x0f75 : pop    bx
0x0f76 : add    ax , bx
0x0f78 : push   ax
0x0f79 : lodsw
0x0f7a : mov    bx , ax
0x0f7c : jmp    word ptr [ bx ]

As primeiras quatro instruções realizam exatamente as operações que a palavra “+” deveria realizar. As últimas três instruções assembler começando em "lodsw" aumentam o ponteiro da instrução e saltam para o próximo código.

Vamos continuar. Agora o ponteiro de instrução aponta para 0x1002

 0x1002 : dw 0x53a3

A leitura do endereço 0x53a3 revela

 0x53a3 : dw 0x1d29
0x53a5 : dw 0x0001

e o código correspondente

 0x1d29 : inc    bx
0x1d2a : inc    bx
0x1d2b : push   bx
0x1d2c : lodsw
0x1d2d : mov    bx , ax
0x1d2f : jmp    word ptr [ bx ]

Neste momento o registrador bx contém o endereço da palavra 0x53a3. Portanto, este código apenas coloca o endereço 0x53a5 no topo da pilha. O que fizemos foi fornecer ao programa um ponteiro para uma variável. A variável tem o conteúdo 0x0001. A quarta palavra '@' retiraria o endereço da pilha, leria seu conteúdo e o colocaria de volta na pilha.

Até agora consegui identificar 6.256 palavras que contêm código ou dados.

• 3711 são palavras que executam outras palavras. Eu acho que você pode chamá-los de funções.
• 906 Variáveis ​​ou matrizes de dados de 16 bits. Em casos muito raros (~20) a matriz de dados contém código de máquina x86
• 356 estruturas de dados que definem o conteúdo das tabelas armazenadas em disco (veja abaixo)
• 346 estruturas de dados que definem o conteúdo da estrutura de dados da árvore de instâncias (veja abaixo)
• 278 palavras contêm código de máquina x86
• 235 constantes de 16 bits
• 127 expressões switch-case
• 105 palavras contêm estruturas de dados para definir as sobreposições de código
• as outras palavras são de tipo diferente

E isso é tudo que você precisa saber sobre a estrutura do código. Como você pode ver, esta pode ser uma codificação eficiente em termos de espaço, mas em termos de velocidade é uma catástrofe. A cada poucas instruções de código de máquina, você precisa pular para um bloco de código diferente.

O equivalente ao threading indireto em C seria assim.

 uint16_t instruction_pointer = start_of_program_pointer ;
    
void Call ( uint16_t word_adress )
{
    // the first two byte of the word's address contain 
    // the address of the corresponding code, which must be executed for this word
    uint16_t code_address = Read16 ( word_address );

    switch ( code_address )
    {
        .
        .
        .
        case 0x0f74 : // word '+'
            Push16 ( Pop16 () + Pop16 ());
            break ;
        .
        .
        .
    }
}

void Run ()
{
    while ( 1 )
    {
        uint16_t word_address = Read16 ( instruction_pointer );
        instruction_pointer += 2 ;
        Call ( word_address );
    }
}

O código executado para uma palavra específica tem acesso a 5 variáveis ​​principais (16 bits)

• ponteiro de instrução (registro si): aponta para dentro de uma função mais complexa ("palavra") em Forth. Aponta para o endereço da quarta “palavra” na memória que deve ser executada a seguir. O ponteiro de instrução pode ser alterado pelo código da palavra para controle de desvio e loop.
• ponteiro de pilha (registro sp): Esta é uma máquina de pilha e, portanto, precisa de um ponteiro de pilha. Push colocará um item na pilha. Pop recupera um item do topo da pilha.
• ponteiro da pilha de chamadas (registro bp): contém os endereços de retorno das funções. Também usado para armazenar itens temporariamente.
• endereço da palavra (registro bx): Os primeiros 2 bytes contêm o endereço do código de máquina x86 desta palavra. Depois, podem haver dados opcionais como constantes, variáveis ​​e arrays. No exemplo acima para '+' ele contém o próprio código de máquina.
• endereço do código (registro ip): O código da máquina x86 que deve ser executado

A desmontagem transpila o código FORTH em código estilo C. A maior parte do código transpilado é compilado. Para entender o que o programa faz, dê uma olhada na tabela a seguir. Ele pega o "bytecode" (que são principalmente ponteiros de 16 bits) como entrada e o transforma em C.

Quarto código:

: .C ( -- )
 Display context stack contents.
  CR CDEPTH IF CXSP @ 3 + END-CX
               DO I 1.5@ .DRJ -3 +LOOP
            ELSE ." MT STK"
            THEN CR ;
  EXIT

Transformação:

O jogo vem em 3 arquivos

• STARA.COM e STARB.COM: Ambos contêm os dados do jogo e o executável do jogo armazenados em sua própria estrutura de diretórios.
• STARFLT.COM: Este arquivo é um executável DOS e contém as rotinas de inicialização, rotinas gerais do Forth e rotinas para leitura e gravação das estruturas de dados em disco em STARA.COM e STARB.COM.

Conteúdo de STARA.com

Conteúdo de STARB.COM

Coloque os arquivos do jogo Starflight original nas pastas starflt1-in e starflt2-in e execute make . Você deve obter dois executáveis ​​( disasOV1 e disasOV2 ), que produzem o conteúdo nas pastas starflt1-out e starflt2-out . A saída gerada faz parte deste repositório.