再谈一谈软件汉化后字体的修改（Dephi篇）

Share

作者：飞鹰
源地址：http://teach.hanzify.org/article/11-1060012800.html

改法详解

　　实例软件：PE Explorer 1.40
　　测试工具：FI 2.5
　　修改工具：W32Dasm 8.94 汉化版，UltraEdit32 8.20 汉化版(简称UE)，点睛偏移量转换器 0.94B。
　　修改方法：首先，用 FI 2.5 检测可知 PE Explorer 1.40 是用Dephi编写的，我假设你现在已经把该软件中的所有 RCData 资源与ASCII资源都汉化完了，运行软件后出现如图一所示的界面。
（图一）
从图中可以看出，用红色框起来的菜单栏中的字体非常难看，下面我们就来修改一下。用 UltraEdit32 打开该软件，查找ASCII码“MS Sans Serif”，每找到一处就把该处的修改为“System”，后运行软件看一看有问题处的字体是不是变大了，如果改变，恭喜你！找对突破口了；如果没变，把该处改回原样，继续往下找，直到找对为止。对于该软件，当我把查找到的第二处地方改为“System”时，运行软件一看，界面菜单的字体变了，如图二所示。
　　　　　　　　　　 （图二）
下面，我们先把该处改为“宋体”，不足的部分用00填充，改变字串长度计数器的值为04，并记下该处的偏移地址，此处是f8137H，如图三所示（注意：记偏移地址的值时光标一定要压在整个字串的前一个字节上）。
　　　　　 （图三）
现在我们要把该偏移地址转换为RVA值，打开点睛偏移量转换器软件，按这样操作：先点击“...”浏览按钮,选择需要载入的文件-->在“实偏移”文本框中输入字串的偏移地址（即f8137）--> 之后，RVA值可以从“虚偏移”文本框中看到（这里显示为4F9337），如图四所示。
　　 　　　　　　　 （图四）
后用 W32Dasm 反编译该软件，查找“4F9337”，可以找到三处内容相同的地方，如果你发现找到的地方向上看时有“push 00000009”这样的语句，就说明它已经是9号字了，无需再改；直到你找到的地方向上看时有“push 00000048”、“push 00000008”（说明它是8号字）和“* Reference To: kernel32.MulDiv, Ord:0000h”这样的语句，才能算是找对地方，如没有上述这些特征的话，一律表示字体大小的设置肯定不是该处。在该软件中，找到设置字体大小的反编译代码如下：

* Referenced by a CALL at Address:
|:0041D9F7
|
:0041D81C 53 push ebx
:0041D81D 56 push esi
:0041D81E 57 push edi
:0041D81F 6A48 push 00000048
:0041D821 A110D64F00 mov eax, dword ptr [004FD610]
:0041D826 50 push eax
:0041D827 6A08 push 00000008

* Reference To: kernel32.MulDiv, Ord:0000h
|
:0041D829 E86E7FFEFF Call 0040579C
:0041D82E F7D8 neg eax
:0041D830 A330934F00 mov dword ptr [004F9330], eax
:0041D835 A160C34F00 mov eax, dword ptr [004FC360]
:0041D83A 80780800 cmp byte ptr [eax+08], 00
:0041D83E 746F je 0041D8AF
:0041D840 E893FFFFFF call 0041D7D8
:0041D845 8BD8 mov ebx, eax
:0041D847 8BC3 mov eax, ebx
:0041D849 2C80 sub al, 80
:0041D84B 7406 je 0041D853
:0041D84D 2C08 sub al, 08
:0041D84F 7431 je 0041D882
:0041D851 EB5C jmp 0041D8AF

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0041D84B(C)
|

* Possible StringData Ref from Code Obj ->"俵俽 俹僑僔僢僋Times New RomanU嬱3繳h撡A"
|
:0041D853 BEB4D84100 mov esi, 0041D8B4
:0041D858 BF37934F00 mov edi, 004F9337

　　注意：上面用蓝色字标出的位置是查找到的地方，从这里向上看就可以找到软件设置字体大小的位置；上面用红色字标出的位置，这就是Dephi程序设置字体大小的特征，切记！！！接下来，我们在 UltraEdit32 中查找“6A48A110D64F00506A08”（注意：这里不是查找ASCII码，所以，软件中“查找ASCII”选项不必使用，否则，无法找到需要的内容。），找到后改为“6A48A110D64F00506A09”，再运行软件一看，界面菜单的字体正常了，是我们希望看到的“宋体，9号”字了，如图五所示。
　　　　　　　　　　 （图五）

　　当我发布了该软件汉化版后，我们汉化新世纪的监督执行官 伟 来信说，在他的系统中运行该汉化版，在“资源编辑器”选项(CTRL+R)里的各个项目查看时，都会出现乱码的现象，如图六所示，但这个问题在我的系统中没有发现，我汉化时只是觉得该处的字体很奇怪，但还看得过去，我就没有修改了，没想到竟会出现这种问题，这次又得重新返工了，真是惨呀！
　
（图六）

　　按照上面讲过的查找方法：

　　1、查找字体名（这里为“Courier New”，共可以找到六处，经过测试发现这六处都需要修改，才能大体上解决该选项中出现乱码的问题，这里我只以“版本”项目中的乱码问题为例，其它项目中的乱码问题的解决方法完全一样，这里不再讲述。）；

　　2、每找到一处修改为“System”，再运行软件看效果（这里当我改了找到的第二处后，再运行软件一看，“版本”项目中乱码问题没有了，字体也变大了，说明找对突破口了。），软件运行后没有变化就把此处改回原样，继续往下查找、修改；

　　为了让大家加强记忆，我把上面这两个步骤取个名字，就叫“查找排除”法吧！

　　3、把该处的字体名改为“宋体”，并记住此处的偏移地址的值（这里为b9e57H）；

　　4、调用点睛偏移量转换器软件，求出RVA值（这里为4BAA57H）；

　　5、用 W32Dasm 反编译软件，查找已知的RVA值（这里应该查找4BAA57），找对地方后在UE中修改。

　　在这里很奇怪，没有找到4BAA57，哪么我就减少一个数字再查找一次看一看，这里我再查找4BAA5，共找到九处，其中有一处最为可疑，反编译代码如下所示：

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:004BA9C7(C)
|
:004BA9ED 8B03 mov eax, dword ptr [ebx]
:004BA9EF 8B8048010000 mov eax, dword ptr [eax+00000148]

* Possible StringData Ref from Code Obj ->"宋体"
|
:004BA9F5 BA58AA4B00 mov edx, 004BAA58
:004BA9FA E8FDEAF8FF call 004494FC
:004BA9FF 8B03 mov eax, dword ptr [ebx]
:004BAA01 8B8048010000 mov eax, dword ptr [eax+00000148]
:004BAA07 B201 mov dl, 01
:004BAA09 E832EAF8FF call 00449440
:004BAA0E 8B03 mov eax, dword ptr [ebx]
:004BAA10 8B8048010000 mov eax, dword ptr [eax+00000148]
:004BAA16 BA08000080 mov edx, 80000008
:004BAA1B E870EAF8FF call 00449490
:004BAA20 8B03 mov eax, dword ptr [ebx]
:004BAA22 8B8048010000 mov eax, dword ptr [eax+00000148]
:004BAA28 8A1564AA4B00 mov dl, byte ptr [004BAA64]
:004BAA2E E889EBF8FF call 004495BC
:004BAA33 8B03 mov eax, dword ptr [ebx]
:004BAA35 8B8048010000 mov eax, dword ptr [eax+00000148]
:004BAA3B BA08000000 mov edx, 00000008
:004BAA40 E8EBEBF8FF call 00449630
:004BAA45 8B03 mov eax, dword ptr [ebx]
:004BAA47 B201 mov dl, 01
:004BAA49 E87ACEF7FF call 004378C8
:004BAA4E 5B pop ebx
:004BAA4F C3 ret

　　其中，用绿色字表示的位置不就是我们刚才修改的字体名吗，真是太通俗易懂了！用蓝色字表示的位置是查找到的地方，也是压入字体名的地方；红色字表示的位置就是字体的大小，看到“00000008”这种的句样，就应该引起你的高度重视。好了，在UE中查找BA08000000E8EBEBF8FF，修改为BA09000000E8EBEBF8FF，问题已经解决一大半了！如图七所示。

　　
（图七）

　　从图七中可以看出，还有部分字体没有修改，继续改吧！还是以改乱码处为例好了，我继续开始讲解。老办法！在UE中查找字体名（这里为“Arial”，共可以找到三处，经过测试发现这三处都需要修改，才能完全解决“关于”项目中所有的乱码及字体大小问题。），每找到一处修改为“System”后测试（这里当我改了找到的第三处后乱码消失），求出RVA值（这里应为4BC4CFH），在 W32Dasm 中查找4BC4CF，还是没有找到，再查找4BC4C，共可以找到十三处，其中有四处最为可疑，反编译代码如下所示：

查找到的第一处：

:004BBBE3 A0C4C44B00 mov al, byte ptr [004BC4C4]
:004BBBE8 50 push eax
:004BBBE9 6800008000 push 00800000
:004BBBEE 6A08 push 00000008

* Possible StringData Ref from Code Obj ->"宋体"
|
:004BBBF0 68D0C44B00 push 004BC4D0

******************************************************************************************

查找到的第二处：

:004BBC20 A0C4C44B00 mov al, byte ptr [004BC4C4]
:004BBC25 50 push eax
:004BBC26 6880000000 push 00000080
:004BBC2B 6A08 push 00000008

* Possible StringData Ref from Code Obj ->"宋体"
|
:004BBC2D 68D0C44B00 push 004BC4D0

******************************************************************************************

查找到的第三处：

:004BBC44 A0C4C44B00 mov al, byte ptr [004BC4C4]
:004BBC49 50 push eax
:004BBC4A 6800008000 push 00800000
:004BBC4F 6A08 push 00000008

* Possible StringData Ref from Code Obj ->"宋体"
|
:004BBC51 68D0C44B00 push 004BC4D0

******************************************************************************************

查找到的第四处：

:004BC31C A0C4C44B00 mov al, byte ptr [004BC4C4]
:004BC321 50 push eax
:004BC322 6808000080 push 80000008
:004BC327 6A08 push 00000008

* Possible StringData Ref from Code Obj ->"宋体"
|
:004BC329 68D0C44B00 push 004BC4D0

　　不知道大家注意到了没有，上面找到的四处地方用紫色字表示出来的位置其实就是要压入的字体名的地址，这里要压入的字体名的地址相同，说明它们都使用同一字体，唯一不同之点就是它们各自设置各自的字体大小；用蓝色字表示的位置是查找到的符合条件的地方；红色字表示的位置就是字体的大小；绿色字自然表示的就是字体名了。修改方法很简单，只要把全部找到的地方的6A08改为6A09即可。

　　该软件中其它项目字体的修改方法与此大同小异，这里我就没有必要继续讲下去了。全部字体修改完成后，效果如图八所示。
　　
（图八）

　　关于文章中我为什么事先就知道字体名称呢？我在这里说明一下方法，只要你用可以抓取DEPHI中ASCII码的工具（例如：点睛字串替换器），把抓取出来的ASCII码进行分析，找出其中所有的字体名称（比如：MS Sans Serif、Arial、Courier New等），英文软件中最常见的字体名称就是“MS Sans Serif”，你可以先找它修改，如果没有效果，再找其它字体名称修改，只要你有耐心，一定能修改成功的！

心得总结

　　其实修改DEPHI程序的字体，最简单的方法可以先反编译需要修改的软件，后这样操作：

　　1、对于决大多数情况，我们可以先用 push 00000048 做为辅助判断条件来查找，如果找到，再向下看是否有“00000008”这种句样存在，如果有，你可以先把该值改大些，例如：“0000000F”，运行软件后看有问题地方的字体是否会变的非常大，如果变大，说明你改对位置了，后再在UE中来改字体名即可（可用上面提到的“查找排除”法来完成操作）；如果没有，继续查找，直到找完全篇代码为止。

　　2、对于比较特殊的情况，用 push 00000048 做为辅助判断条件来查找一无所获时，你就可以试着用字体名做为辅助判断条件来查找，找到字体名所在的位置后，你再向上或者向下找是否有“00000008”这种句样存在，如果有，你可以先把该值改大些，例如：“0000000F”，运行软件后看有问题地方的字体是否会变的非常大，如果变大，说明你改对位置了，后再在UE中来改字体名即可（可用上面提到的“查找排除”法来完成操作）；如果没有，继续查找，直到找完全篇代码为止。