菜鸟hack勇者斗恶龙4（dq4）fc英文版实践（实际上记录自己过程）

sdiencelee

0 e0 U8 W% }% F6 L* R# R9 q& N
由于此处无法上传本地图片，所以只能先在其他地方发个贴，贴过来图片，http://tieba.baidu.com/p/2007950726
% x% H2 D* K2 ]/ }3 \dq4是我玩的第一个英文rpg游戏，当时2001年左右，刚大学毕业，用fcsim的模拟器（dos的模拟器，虽无即时存档功能，但有电池存档，不至于心血白费，方便快速关机，逃避家长偷袭，也是那时候唯一可
以玩霸王的大陆模拟器），多亏是英文版，还可以无攻略通（其实那时候也不太知道有攻略这回事）有人当此为废话可以无视，看下面的。
/ c9 h$ J3 z) a* A2 L% F0 ^8 v3 K首先
- h7 ?0 r5 Z5 K+ c* v- q一、为debug做准备找到1.virtuanes的debug版本和2.比较新版的fceux，这两个东东因为互有优缺点，
( [* @. W( E, y' n所以，均准备出来
4 H2 d  I  h, x1 C, |( |/ _
【补充知识，对于ec码与vnes及fceu等模拟器的地址之间有如下关系
对于前面的那段，ram：（0-7ff），ec码地址与模拟器地址相同
- ~6 c: s) u) I5 C5 B对于后面的那段，sram ：ec码地址为800-，模拟器地址为6000-，可以看出两者关系 模拟器地址=ec码

地址+5800】
我们先要hack最贵的金属盾（50000）那个东东，之所以选择最贵的，因为在设置断点追踪过程中，常会
3 {" y* d! k3 Q- F$ ~- K
8 c% ?: q# T# u* S3 l( \再次追踪到零业地址这个变化频率很快的，就会出现断点跳出过快的情况，所以，先找最贵的，利用工

具知道50000的十六进制为3c50(计算机记数为503c，具体参见6502大奥秘）
之后执行到将东西卖给一个人后，当然了，首先作弊将代币个数调到可以买这个金属盾，其实以后往往
! }9 `& _" C4 }, W) R
3 ~* I+ @, g. ]6 t( c3 I3 B; [( K6 I还会特意将东西，调少，干不动某事，其实程序先有指令判断是否可行（在此进行追踪），这样以后的
& x8 @) \$ ^" |
进程无需看了，会减少不必要的过程。
发现，游戏停止，指令方框内将地址$62ad减去$fd的值在赋给$62ad，（及$62ad=$62ad-$fd），至于我
9 h& X3 {8 u2 B1 l7 v
们找的这个对不对，我们点击条命令后暂停，
2 p! V: l0 O! w/ C+ d) c) B: E& x二、其他工具hexedit类如ultraedit（其他亦可），一个16进制十进制等转化器（无需手算，知道了具
( ~. c! }# R( u- T体如何做，不必人手做！！让我想起来一个爱因斯坦的典故：大致意思，一个人问爱因斯坦有个著名的桥多长，爱因斯坦说不知道，可以查书问某个海有多宽，还是不知道可以查书，最后那人说什么都不知道，为什么你那么牛，你脑子里装的什么，爱因斯坦说我只思考和记忆书本上没有的东西，跑题ing）
其实，以后必须要看6502大奥秘这个东东，但是直接看很烦，我也是先看教程，在看6502大奥秘的。
这个实践应该将菜鸟的本人所有的心得，错误均写出来，但是由于最开始的所谓的入门，先找一个最简

& P# I0 P0 T0 g

5 \( P1 Z/ k7 p" |8 i* n" g6 z单开始hack。就是赌场内的物品价格
( F% q- g+ \: O& O' A
" a8 z! v* G9 i2 a点击后发现正确，
% h+ ~) Y5 q4 B- m) `
6 N/ a  f+ ]9 ^9 Q( ^; t, V1 @

进入实践，首先我们要设置断点，用vnes（virtuanes简写，那个模拟器简写为fceu，下同）
2 s- t% C% j4 U. K' V通过查询或是ec码，知道要在62ad上设置断点，先存个即时存档以便追踪过程反复读档首先vnes点开ram
% P! ^6 V2 Q; ]: J; ^4 V7 j2 u
  Q/ O3 v& o+ n7 k9 r7 u及debug，注释内出现 如图填入

sdiencelee

我们接着追踪地址$fe（之所以追踪$fe而不是$fd，因为可能$FD也被其他过程调用，而$fe要在调用$fd
5 e1 {, U) Z$ z. ^; u& L* k的基础上，所使用的数值必须是对于255才可能调用，避免了麻烦。），点击运行，读原来的档，注释内
出现填入[00fe]=a=0x3c(意思为将寄存器a的值3c赋给地址$fe,图如下444444444444444444,我们发现又
要追踪$01.别忙,我们发现就在前几个指令上有给$01赋值的语句,而且值也是503c,该句为lda b34f,x 就是说将$b34f偏移x（寄存器）后，去该地址值赋给寄存器a。其实一般说来，追踪地址到
8 {' J3 K: A# K. ?8000-bfff内，就可以hack rom了（这一点在fceu很明显），在memoryview找到$b34f，之后，左右看看
（其实知道x寄存器就可以了，不过免了，比较容易看到），将其改个数测试一下，成功。[img][/img]
/ r- v  `6 T9 J' }! m
- C. s$ |2 o2 U6 }% n我们记下来pc值以便后面使用。
下面我们在此查找4000的流星手镯，这次无需设置读写断点了，而是执行断点（fceu的术语），


点击运行读档，后在图内pc填上a484，同样的操作买4000的流星手镯，模拟器暂停，在
& r' H' Z; k. ^* @0 e. U, M% d  R
2 V5 Q6 E8 I, {0 B: l内存上，看见A00F（就是4000）和刚才的中间差了一个地址，再按照规律向前看，则出现C409（2500）
6 x, F+ @3 R1 D- x% W/ l
" i: c. R4 W4 o6 c3 F等，我们改一下，

. d+ D' h& @0 p/ U

sdiencelee

之后我们再次跟买东西的对话，发现修改成功（可能是我改错位置）嗯，修改成功，
+ _' }  v2 F8 p; }3 N' G
4 ^( D& W$ c- A/ |之后我们用ue找到对应位置，发现有两处，想到dq4有许多版本，512k的，1024k的，这个是1024K的可能出现重复数据，
; b  p7 c3 X2 H/ M（最开头的是分别是5和d，相差8，基本确定为重复数据），对此，还可以用fceu修改。执行断点写入B333（前图中有），之所以不写a484，因为fceu会将a484那一段代码全部写出，即使被跳转而没有执行相关代码，在此处不方便查看。
+ x3 Z$ ?9 H2 L5 `设置好后，找个东西买（由于没有fceu没调代币，只能买最便宜的）

sdiencelee

（试了试转帖工具，很好用）
6 l% }/ g) m. Y, H3 `暂停于此，十六进制编辑器，转到B3F4（应该是B34F，差不多，懒得再截图），之后，点击要改的位置，点击转到相应rom位置

改一下数值，保存另一个rom（直接保存原文件，往往当机），
关闭后重新执行，看一下效果
终于改成了。以后我会将实践的普通物品的写下，应该会简略些，除了比较不一样的，会配图，其他只是写些追踪的地址及指令。普通物品，最开始着实难倒我了（因为没有转到好的追踪方法及没有耐心），连ue直接查找，15000的dragon killer用3a98和983a两种改都无效，没办法，慢慢跟踪找到了，（待续）
. S, t. j5 G0 A+ b0 l! X

sdiencelee

2 [. ~- a3 `/ `+ L; u$ L0 }! Z$ t, j
第一楼不知道为什么文本有出入？

! h$ K( A/ Q& e+ ~
不喜欢在加新楼，再次写入自己的。
这是怪物数据的搜索，由于在百度贴吧说有没有一个一战1千经验的hack，正好适合我这个菜鸟练一下。搜索到每次战斗后的经验，

0 a/ I$ {3 }' L7 l) T0 U; B为地址$7203,对其追踪,发现,$7203会将每一次打死一个敌人的经验累加起来,本来想改一下那个累加的值,最后的语句改为赋给1000
1 G3 Y  I3 l* k4 o3 A
8 ]2 X. {6 @2 @3 s的经验,多赋值几次也没关系,没想到出了错误.索性先追踪,怪物的经验值,以便找到怪物的其他信息,
想了半天,就是10050(4227)的metal babble符合要求,
, B/ ]( t6 R% q7 }: _5 255 65 1023 150 10 10050     Gardenbur(5), Final Cave(5), Royal Crypt(5) (怪物信息)
值比较大(255以内),2字节(上下看看可以更加确认所追踪非误),
6 X  e, R2 e: c: `8 {再次使用金手指ec码,72e4锁定为8会心一击,6E45敌人代码锁定为75,6E49敌人个数锁定为8,遇敌存档,
/ o9 Y  D$ y6 C6 _  K% Q设$7203为断点,最后追到$76,再追$77,vnes注释内写[0077]=a=0x27,没有停止,最后看了看 改为 [0077] 0x27,追踪到$20,
填[0020] 0x27,停止后,下移10行,如图,
8 \# J) [2 b  y8 Z
; o" ~; f8 V% }发现ram内8A50,行与提供的数值符合,应该找到地址了.记住这个$C3FD为执行断点,以便找到将其他一

9 K0 ~+ X" {8 x$ o- h) c6 X
些敌人数据.
又换回了工作单位,还得重新两边,下面,看看最开始的怪物,数据,用fceu设置$C3fd为执行断点.将敌人定代码00,个数8,有些异常，先想想，找找天幻的专门的东西。

sdiencelee

找dragon killer（屠龙），来到rosavillage，在即将买屠龙的地方存档，先将6157金钱地址作为断点，买入后停止在pc为86ca上，6157的值来自$00,由于一抬眼看到了3a(15000计算机表示为983a),在此将指令行上拉,以便看看有无98出现,为此先点停止刷新,在拉上去,看方框中内容,意思是将地址$72的之后3位减去地址$76的三位在赋给地址$72(后三位),可以追踪到$72是地址$6157赋值过来的(已经对此hack无用了),地址$76正是dragon killer价格,之后将其设为断点(图没注意被覆盖,补个图),1
追踪到pc值为821a,数值来自地址$70,发现以后停止都在这个点,如此再次继续,写$70=a=0x3a,到8D58,来自$03C2,以后表示为(8D58:$03C2>),和(BAA9:$0001),经过点击执行后5条命令后暂停,排除出PC为8D58的可能，之后，再次追踪，用如上法排查后
（A06F：$6E13>),
1 y4 ?1 ?: X& D! H9 r$ _: h! R; t+ f再次后,我们将金钱数改为14999,正好钱不够,停在此处,发现方框内语句为将$6E13的值加上 $01,x(使用寻址方式,可以无视)的值在赋给$6E13,而对于$01,和$6E13再次追踪，发现，均来自地址6E13，而且，前面的PC因为在(A06F左右），这样我们只能向上拉，最后看到，先停止刷新，其实我在原来过程中，是一步步追到此处得到的，（8bde：$8DE2,X>),之后找到对于ram附近,经确认那个8f对应为方框中地址,之后由于看见前面有3X aX(两位的头不是3a码),所以也就顺便将其改了,四位全部改为11,不知道会有什么效果.读档后,发现价格改成了,*****记住pc值为8bde,测试,读档后再次跟老板说话,哈哈,改成了,变成了17000,虽然不知道如何改对的反正是成了.
现在我自然是稍微知道如何成的,其实,这段就是我最开始的hack过程,我早说过,我会本人在hack过程中的错误也会说出来.至于如何成的,请见后.其实,只要按照那个执行断点继续下去,也会慢慢明白的.待续

sdiencelee

为什么百度老出事、贴个这个图挡住，什么意思，

sdiencelee

之后,用fceu将对用的rom地址改过后,成功了.
9 i) u) g. `9 d; ]我们也没有看到改了那么多数,dragon killer的几个有点类似我们预想的,我们再试试8000的睡觉剑(这次只改对应那一个地址)，设置执行断点8bde，再次买东西时停止了（A=0x37？），为什么，先让他继续吧，去买8000的剑，有时候会该暂停的不停了，不知道为什么，反正将debug窗口，关闭在开启就可以了。在直行5条后。如图，方框内，中间的 AND #$7f什么意思,就是寄存器a和7F做逻辑运算"与",就是屏蔽a的最高位,即a取128的余数.D0就成为50,不管他,先填个数吧,写22吧,最后成了3400,对了原来改11的时候dragon killer为17000,似乎相似,好这次直接7500对应改11,也成了1700
# `/ n) B- e" N5 e2 u

差不多明白了,一个地址对应一个价格,而且发现,17正好是11的十六进制,34正好是22的十六进制,至于为什么会加不定个数的零,我也不懂,这样,再想想开始那个37就是55,应该是5500的东西,为了验证这个想法,我们查一下物品的代码,查
ec,
曾木棒=8cb,0
. i* t! I! [0 c. `木棒=8cb,1
. ]* g& K6 C2 t6 `铜剑=8cb,2
/ e$ S' n0 B( O铁爪=8cb,3
' Q1 i2 d3 Q/ Y- v9 X$ P. f4 u锁链镰刀=8cb,4
铁枪=8cb,5
钢剑=8cb,6
战斧=8cb,7,

( B7 {3 \7 s+ |0 s# X8 }
2 h9 Y$ ?- J6 \# q之后我们找到一个城,买木杖,30的,正好1e,100的铜剑64,0f是15,对应1500的ironclaw,37,对应550的,58对应880,一下最起码武器走完都可以验证.行了,该上班了.

zsg026

这图片看的不爽啊，楼主。

sdiencelee

要是被百度给挡了，我也没办法，其他的，请提出应该在注明谢什么，反正我发的那个巧用变化次数找到吞食天地的控制隐藏物品是否被找到的文，以也是常常被挡。可恶的百度。http://bbs.emu618.com/forum.php? ... D328%26typeid%3D328

湘西小人物

论坛不是有附件功能吗

sdiencelee

欧，试试吧
file:///C:%5CUsers%5CADMINI%7E1%5CAppData%5CLocal%5CTemp%5Cmsohtml1%5C01%5Cclip_image002.jpg
9 v! W! ]$ G; n& Z# p9 W& X: a9 j8 n/ i+ rfile:///C:%5CUsers%5CADMINI%7E1%5CAppData%5CLocal%5CTemp%5Cmsohtml1%5C01%5Cclip_image004.jpg
file:///C:%5CUsers%5CADMINI%7E1%5CAppData%5CLocal%5CTemp%5Cmsohtml1%5C01%5Cclip_image006.jpg
，看看成否，这是第一楼的三个图

sdiencelee

在此请问斑竹，到底附件在哪里，我用这里的word的黏贴也变成。

湘西小人物

sdiencelee 发表于 2012-11-26 19:14
在此请问斑竹，到底附件在哪里，我用这里的word的黏贴也变成。

/ e7 p6 Y5 L: s$ B& T你查看下权限
设置 用户组

sdiencelee

谢谢斑竹，在网上看到这里有许多hack的rom的教程或是帖子，也是刚学的一点点hack（不到两个月）
/ M# g7 h7 Q$ G. a5 N$ T- G所以，刚来、属于新人，权限低，没关系，我试试在其他的网页贴图吧。

sdiencelee

* c( V+ l' g4 S- n& q
下面，我试试看看到底在后面加零的，成功与否，我也不知，开头说是实践，有错误就要如实写出来。若要暂时放弃此处也会写出来的。在原来我们可以基本确定a03几-a06几这段是在后面加零的，在vnes下，点击pc为？？时暂停（执行断点，下同），点击执行后30条指令，之后发现30条不够，慢慢加到近100条，出现了$a065之后的$a067,就出现了18,01就是280的价格.而在a033之后,发现了a059的跳转.A046的跳转,没办法,直接看机器码或是6502的反编译器,暂时找不到6502反汇编器，没办法,先使用fceu的指令记录器（正好顺便教一下这个用法）.如图,设置两个执行断点(原来不知道这样设置或是条件不允许如此设置,记录为文件时很大,除了editplus打开快点外,其他都很慢),这次用的120的wooden hat,这是记录出来的东西,我先自己研究研究.
8 u7 C+ s( j  E/ ^" dFCEUX 2.1.6-interim svn2248 - 痕迹记录文件
$8BDE:BD E2 8D  LDA $8DE2,X @ $8E29 = #$0C A:47 X:47 Y:00 S:DC P:nvUBdIzc
$8BE1:29 7F     AND #$7F                   A:0C X:47 Y:00 S:DC P:nvUBdIzc
4 `% a$ f, k9 @3 `! Y6 @$8BE3:AE 0F 6E  LDX $6E0F = #$00           A:0C X:47 Y:00 S:DC P:nvUBdIzc
- p! A: P* C) Z- M$8BE6:20 35 A0  JSR $A035                  A:0C X:00 Y:00 S:DC P:nvUBdIZc
$A035:8D 11 6E  STA $6E11 = #$00           A:0C X:00 Y:00 S:DA P:nvUBdIZc
* `3 M& A9 S5 R$A038:A9 00     LDA #$00                   A:0C X:00 Y:00 S:DA P:nvUBdIZc
$A03A:8D 12 6E  STA $6E12 = #$78           A:00 X:00 Y:00 S:DA P:nvUBdIZc
1 n- \& z5 J/ O+ `1 s$A03D:8D 13 6E  STA $6E13 = #$00           A:00 X:00 Y:00 S:DA P:nvUBdIZc
$A040:8D 14 6E  STA $6E14 = #$00           A:00 X:00 Y:00 S:DA P:nvUBdIZc    //$6e11=a,$6e12-$5e14=0(初始化)
$A043:4E 11 6E  LSR $6E11 = #$0C           A:00 X:00 Y:00 S:DA P:nvUBdIZc   //$6e11=$6e11/2
  v) T1 ~  s' K3 l$A046:90 16     BCC $A05E                  A:00 X:00 Y:00 S:DA P:nvUBdIzc    //能除开则跳转16个地址即执行A05E，不行则继续执行A048
$A05E:16 00     ASL $00,X @ $0000 = #$0A   A:00 X:00 Y:00 S:DA P:nvUBdIzc
$A060:36 01     ROL $01,X @ $0001 = #$00   A:00 X:00 Y:00 S:DA P:nvUBdIzc
$A062:AD 11 6E  LDA $6E11 = #$06           A:00 X:00 Y:00 S:DA P:nvUBdIZc
8 z# U/ i- G1 P: p/ z; ^* p$A065:D0 DC     BNE $A043                  A:06 X:00 Y:00 S:DA P:nvUBdIzc
. e2 W; z8 B! Y6 @- E9 P; [$A043:4E 11 6E  LSR $6E11 = #$06           A:06 X:00 Y:00 S:DA P:nvUBdIzc
2 ^  O" G7 [- y* y' K$A046:90 16     BCC $A05E                  A:06 X:00 Y:00 S:DA P:nvUBdIzc
$A05E:16 00     ASL $00,X @ $0000 = #$14   A:06 X:00 Y:00 S:DA P:nvUBdIzc
5 T, W2 A0 P; k; S6 b0 V$A060:36 01     ROL $01,X @ $0001 = #$00   A:06 X:00 Y:00 S:DA P:nvUBdIzc
$A062:AD 11 6E  LDA $6E11 = #$03           A:06 X:00 Y:00 S:DA P:nvUBdIZc
$A065:D0 DC     BNE $A043                  A:03 X:00 Y:00 S:DA P:nvUBdIzc
5 _# f+ l! M* q* j5 L, s2 P" }$A043:4E 11 6E  LSR $6E11 = #$03           A:03 X:00 Y:00 S:DA P:nvUBdIzc
! @# p9 C; T/ Z6 v$ |$A046:90 16     BCC $A05E                  A:03 X:00 Y:00 S:DA P:nvUBdIzC
- q) G3 Z2 ~% F: E3 ~' I2 N* H$A048:B5 00     LDA $00,X @ $0000 = #$28   A:03 X:00 Y:00 S:DA P:nvUBdIzC
5 ?+ O' f8 X, `- O( _$A04A:18        CLC                        A:28 X:00 Y:00 S:DA P:nvUBdIzC
$A04B:6D 12 6E  ADC $6E12 = #$00           A:28 X:00 Y:00 S:DA P:nvUBdIzc
$A04E:8D 12 6E  STA $6E12 = #$00           A:28 X:00 Y:00 S:DA P:nvUBdIzc
$A051:B5 01     LDA $01,X @ $0001 = #$00   A:28 X:00 Y:00 S:DA P:nvUBdIzc
$A053:6D 13 6E  ADC $6E13 = #$00           A:00 X:00 Y:00 S:DA P:nvUBdIZc
$A056:8D 13 6E  STA $6E13 = #$00           A:00 X:00 Y:00 S:DA P:nvUBdIZc
' v9 m2 S$ F- Y2 @: h7 K$A059:90 03     BCC $A05E                  A:00 X:00 Y:00 S:DA P:nvUBdIZc
& j1 w1 c8 y- w: A! O% L5 M8 }$A05E:16 00     ASL $00,X @ $0000 = #$28   A:00 X:00 Y:00 S:DA P:nvUBdIZc
' C7 H, d  A$ c' O- s$A060:36 01     ROL $01,X @ $0001 = #$00   A:00 X:00 Y:00 S:DA P:nvUBdIzc
/ c( D0 t, j0 U- C4 L9 u6 U$A062:AD 11 6E  LDA $6E11 = #$01           A:00 X:00 Y:00 S:DA P:nvUBdIZc
$A065:D0 DC     BNE $A043                  A:01 X:00 Y:00 S:DA P:nvUBdIzc
% U- Z) n# F2 y. @9 a0 ~$A043:4E 11 6E  LSR $6E11 = #$01           A:01 X:00 Y:00 S:DA P:nvUBdIzc
) D. n- J% _3 i$ G4 B" n$A046:90 16     BCC $A05E                  A:01 X:00 Y:00 S:DA P:nvUBdIZC
$A048:B5 00     LDA $00,X @ $0000 = #$50   A:01 X:00 Y:00 S:DA P:nvUBdIZC
$A04A:18        CLC                        A:50 X:00 Y:00 S:DA P:nvUBdIzC
$ o( a6 {5 x* l% b' t5 [9 x$A04B:6D 12 6E  ADC $6E12 = #$28           A:50 X:00 Y:00 S:DA P:nvUBdIzc
# H+ x8 o1 m, j  H# z; T$A04E:8D 12 6E  STA $6E12 = #$28           A:78 X:00 Y:00 S:DA P:nvUBdIzc
$A051:B5 01     LDA $01,X @ $0001 = #$00   A:78 X:00 Y:00 S:DA P:nvUBdIzc
/ F) q$ C& `. c" f  [  c$A053:6D 13 6E  ADC $6E13 = #$00           A:00 X:00 Y:00 S:DA P:nvUBdIZc
$A056:8D 13 6E  STA $6E13 = #$00           A:00 X:00 Y:00 S:DA P:nvUBdIZc
$A059:90 03     BCC $A05E                  A:00 X:00 Y:00 S:DA P:nvUBdIZc
$A05E:16 00     ASL $00,X @ $0000 = #$50   A:00 X:00 Y:00 S:DA P:nvUBdIZc
& S& l* K% |( k% O$ k2 W* q$A060:36 01     ROL $01,X @ $0001 = #$00   A:00 X:00 Y:00 S:DA P:NvUBdIzc
$A062:AD 11 6E  LDA $6E11 = #$00           A:00 X:00 Y:00 S:DA P:nvUBdIZc
/ B  ]) o1 C9 w- @+ k( `" u5 ?$A065:D0 DC     BNE $A043                  A:00 X:00 Y:00 S:DA P:nvUBdIZc
其实呢,这段机器码很短($A035-$A065),即使对于菜鸟我来说，慢慢来可以一步步写出。即使没有6502的反汇编器(到必要时,才知道某些软件是干什么的,比如这个6502的反汇编器)无非就是慢慢查一下汇编指令的机器码.先慢慢读这段码吧
6 b( f8 A) a4 b" m! ~【转到了我的qq空间发一下看看如何】
0 A2 H0 Z2 d, }* F- {下面我试图解释一下，是菜鸟，出错了有相当大可能。
' J, X% ?( b& Y/ \! H7 [
A043-A046:$6e11=$6e11/2,能除开则跳转16个地址即执行A05E，不行则继续

A048，将$00的值(哪里来的?),赋给寄存器a
A04A -A056 清位
- s7 e2 ?5 ?$ z6 U

sdiencelee

我要气死了，qq也在搞这些，都是我自己截出来的图呀。
' i& b# S- i' k+ G6 }1 H不喜欢在发帖（上新楼），直接编辑,这也可以保证以后一楼专门一个主题(入经验,怪物)这回先试验一下改改卖出价格，用15000的dragonkiller卖出，慢慢的搜索到断点，将B36b，和B4B8设置两个执行断点（已经看出B36b之前耳朵值为原价，后面的以后为卖出价经过折旧率后），得到一些代码，其中最重要的后面几句
/ ~1 I) n6 f+ X* }…………
$B4A5:A5 00     LDA $0000 = #$B4           A:00 X:00 Y:00 S:DE P:nvUBdIZC
9 t0 W+ x+ U; w( d5 ^$B4A7:38        SEC                        A:B4 X:00 Y:00 S:DE P:NvUBdIzC
1 R* r" |9 J3 v' n) \# e  _$B4A8:E5 03     SBC $0003 = #$2D           A:B4 X:00 Y:00 S:DE P:NvUBdIzC
; |1 [0 T6 B8 @; X$ O, n$ ~$B4AA:85 00     STA $0000 = #$B4           A:87 X:00 Y:00 S:DE P:NvUBdIzC
$B4AC:A5 01     LDA $0001 = #$00           A:87 X:00 Y:00 S:DE P:NvUBdIzC
$B4AE:E5 04     SBC $0004 = #$00           A:00 X:00 Y:00 S:DE P:nvUBdIZC
$B4B0:85 01     STA $0001 = #$00           A:00 X:00 Y:00 S:DE P:nvUBdIZC
$B4B2:A5 02     LDA $0002 = #$00           A:00 X:00 Y:00 S:DE P:nvUBdIZC
3 }* T* e  R* l9 \3 J- R( s$B4B4:E5 05     SBC $0005 = #$00           A:00 X:00 Y:00 S:DE P:nvUBdIZC
$B4B6:85 02     STA $0002 = #$00           A:00 X:00 Y:00 S:DE P:nvUBdIZC
1 w! I3 D( G& F* ~. J买了180（b4）的铠甲，应该是卖价是135（B4-2d），改成了B4+2d，就可以了（因为直接改成sbc #$00会有些出错的可能,上次在百度的勇者斗恶龙说到一个1战一千经验的,方法是,7203每次战斗所得到的经验,具体是被打死一个敌人,加上个敌人的经验值再付给7203,结果我想,竟然这可以这样,直接在没打死一个敌人设置断点设成1000的经验,反正打死一个敌人,就直接$7203=#1000,也没事的,结果挂机),将对应位置sec(减法准备)改成clc(加法准备) 38>18,后面的3个E5>65(sbc改为adc).哈哈,还行.现在看出来标志位 P寄存器,字母大写为该字母1,小写为0.
+ ^8 g9 @/ O* L9 T以后就是买入四，卖出5，而且人家主动卖的，我可没有逼他，黑社会高利贷就是如此炼成的。{:4_104:} ，反正稍微侧测了下，没事，

zeng_k

{:4_97:}加油！！

sdiencelee

现在总结一些技巧搜索技巧，本人还没有自己写代码，毕竟是菜鸟，只是针对追踪过程自己的心得写一下。更像是技巧，而不是技术的过硬。
2 Y2 v6 K* m/ `9 ?  i, h: j" R7 E9 ?1.当然是存档位置要尽可能的与想要追踪的东西，接近，这样可以减少不必要的过程，提高追踪效率。
: P' P& ?6 ?1 |/ d) b9 e2.在限制数值为多少时，会使用vnes，而非fceu，因为看到fceu的后面注释语句都加个@，说明在at什么条件下的，而我们所做都是需要语句执行后的状态，所以往往会使用vnes 用最常用的方式[????]=a=0x??(有时候需要将a去掉,写成[????] =0x??,而选择突破口则往往使用1个字节以上的,因为方便上下查看另外一位的(前或是后一位),以便马上判断是否被误追踪.并且,往往再次追踪选择后一位即高一位进行追踪,因为我碰到的都是,很多的地址追踪过程中全是使用一个固定地址,挪后一位也可以提高效率.
8 {2 [7 |% [3 M- a, p) J3.选择突破口是,往往要数值比较大的,因为追踪基本都是直接追进零页地址这个变化频率超快的地方,往往就可以出现断点的非预想型跳出,即使在限制条件为某地址为某数时(由于数较小,所以要限制数要大)
7 p. x* ~+ I  s! {, X6 }4.可以用执行断点时最好使用执行断点.
/ w# ^/ H2 ^" V9 Z6 d以上是我在搜索过程中的心得,可能是老在hack数据量大的rpg游戏,所以,往往时常要调用常用公式,如加减法,所以才会追踪过程中常会将数据传输到零页地址用特定的子程序进行操作.
2 H, H6 u$ k' H1 ]2 y5 A就是这些所总结,毕竟本人是菜鸟的.以后有了慢慢在此楼继续写

sdiencelee

由于消耗的Mp值，很小，过程中常会出现非预定性地址出现，而且跳出频率，往往很快，无暇按a键，所以，必要时使用了手柄状态

: G3 o% ^8 _" K# \" c4 W地址$14锁定为1的方法,起到强制按a键的作用(具体如何快速的找到这个地址可以参见????的第几楼),为此选择消耗mp最多healusall
( {4 z) T8 n4 U/ |" t( Y9 Y
作为突破口.
% F- c  X$ q; V8 }, Z安排公主alena和勇者(以便速度快的公主先出手后,勇者再出手,抓住时机此时存档),,打仗后存档,[6004]为断点,来自$76,接着写入
' Q0 R6 J1 ^. p+ \  h
7 T& P# P' n2 j; F- S6 P[0076]=a=0x24继续,出现了(821e:$6f>),在此则有(8152:$78>),(810d(由c3A6转0023再转):$20>),(a2f5:pla),无奈只能再试一个其

2 U! Y0 n: E) N2 Q* C* P他消耗MP的魔法,来去掉一些.断点写[006f]=a=0xc,发现果然如预料的由于数小,断点非要求跳出,只能将0014锁定为1.排除了8152.由
) ~; L1 L) Q0 z% e( g4 E& O1 _6 Q) s
+ T7 C7 e" I& H$ k$ h* A/ K5 k于A2f5的pla暂时找不到在哪,先以此为准,若是对(810d:$20>)改对了,就无需了.再次,则,用healusall,写入[0020]=a=0x24,这回没有
0 E8 a& R4 H0 \2 d& n; G. c* d
/ R$ x% C2 J+ J: N6 D9 N到战斗状态就停了,对了可能是在判断主角的mp值够不够用,为什么我没有想到呢?记住[0020]=a=0x24这个断点,将其消耗到比较小,直
: r1 I. \7 ?" q4 T% z
) E& u8 U0 h- D' s& t5 [: m接金手指写入6004赋值1,将公主退下,只是主角一人在马车外,在光标停在healusall的地方,存档,(c3aa(由B92b转来):$BA4E,X>),

. Z! I5 F+ _2 x9 z! q. [+ e(C40D:$02>),(c38d:$20>)[因为又回到了$20,排除],再次使用vivify,看看能否排除(A3aa:6E10 abd #$1f>),(c40d:$02>),先追
1 r5 F1 Y+ N3 t0 Z& x- T! l2 H7 ]
$BA4E,记录执行读那点C92B(以便用fceu),注意x=19,找到BA67,改为1,之后消耗为Mp0后,不能使用,证明改内存成功,试试改rom,用

fceu,消耗MP到小于36,发现很难停住，直接ue将2个东西替换，成功只消耗一个mp，healusall。如此，没完，因为是菜鸟，先要整理一下思路。未完，待完善！