home *** CD-ROM | disk | FTP | other *** search

---

/ Game Cracker (Expanded Edition) / Game Cracker (Expanded Edition).iso / cracks / SV_SMSTR.ZIP / ShadowMaster.txt

< prev

Wrap

Text File  |  1998-11-02  |  33KB  |  697 lines

---

1.  
2. Free Information Xchange presents:
3.  
4. ShadowMaster - CD crack by Static Vengeance Sep 13, 1998
5.  
6. REQUIREMENTS:
7. Hex Editor and full game install
8. W32Dasm if you wish to follow along
9.  
10.     Shadow Master from Psygnosis is a first person shoot in same vain as Doom, but with a couple
11. of twists!  First off, instead of running a round you criuse around in a buggy/land rover.  Then you
12. have great graphics with creatures that seemed to be right out of Aliens!  Two things that bothered
13. me about this game are first, the CD check!  That above all needs to be FiX'ed.  Then there's the
14. amount of disk space reqiured for this game.  With a complete game install you'll end up filling over
15. 425 megs of your hard disk.  We'll see what we can do about that as well.  So let's get going: Fire up
16. W32Dasm and disassemble the rmg.exe file.  Now go to the menu bar and select refs, then data string refs
17. from the drop down menu.  Looking for usefull strings to click on, we really don't find any.  So our next
18. method is to search for GetDriveTypeA.  This a KERNEL32.DLL call that is used in most of the CD checks I
19. have seen.  Either way, you'll find an occurrance that deals with the CD check.  Here is what you'll find:
20.  
21. * Referenced by a CALL at Addresses:
22. |:00423428   , :00423459   , :004234CD   , :004240C1   , :00425269     <-- Call by 10 other routines
23. |:004671D3   , :00467206   , :00468D42   , :004693EC   , :004693FE   
24. |
25. :004318B0 A03CD25900              mov al, byte ptr [0059D23C]
26. :004318B5 83EC64                  sub esp, 00000064
27. :004318B8 A880                    test al, 80
28. :004318BA 53                      push ebx
29. :004318BB 56                      push esi
30. :004318BC 57                      push edi
31. :004318BD 740C                    je 004318CB                   <-- Conditional jump to CD check
32. :004318BF B801000000              mov eax, 00000001
33. :004318C4 5F                      pop edi
34. :004318C5 5E                      pop esi
35. :004318C6 5B                      pop ebx
36. :004318C7 83C464                  add esp, 00000064
37. :004318CA C3                      ret
38.  
39. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
40. |:004318BD(C)
41. |
42. * Possible StringData Ref from Data Obj ->"pcextras\circ.cir"    <-- Check for this file
43.                                   |
44. :004318CB 68144A4D00              push 004D4A14
45. :004318D0 E8ABD60500              call 0048EF80
46. :004318D5 83C404                  add esp, 00000004
47. :004318D8 50                      push eax
48. :004318D9 8D442410                lea eax, dword ptr [esp+10]
49. :004318DD 50                      push eax
50. :004318DE E8BDD60600              call 0049EFA0
51. :004318E3 83C408                  add esp, 00000008
52. :004318E6 8D4C240C                lea ecx, dword ptr [esp+0C]
53. :004318EA 6A3A                    push 0000003A
54. :004318EC 51                      push ecx
55. :004318ED E83EED0600              call 004A0630
56. :004318F2 83C408                  add esp, 00000008
57. :004318F5 8D54240C                lea edx, dword ptr [esp+0C]
58. :004318F9 C6400100                mov [eax+01], 00
59. :004318FD 52                      push edx
60.  
61. * Reference To: KERNEL32.GetDriveTypeA, Ord:00DFh                <-- Commonly used in CD checks
62.                                   |
63. :004318FE FF15F073EC00            Call dword ptr [00EC73F0]
64. :00431904 83F805                  cmp eax, 00000005              <-- 05 is the value for a CD Rom drive
65. :00431907 0F8585000000            jne 00431992                   <-- Not a CD Rom, then jump here
66.  
67. * Possible StringData Ref from Data Obj ->"\"
68.                                   |
69. :0043190D BF104A4D00              mov edi, 004D4A10
70. :00431912 83C9FF                  or ecx, FFFFFFFF
71. :00431915 33C0                    xor eax, eax
72. :00431917 8D54240C                lea edx, dword ptr [esp+0C]
73. :0043191B F2                      repnz
74. :0043191C AE                      scasb
75. :0043191D F7D1                    not ecx
76. :0043191F 2BF9                    sub edi, ecx
77.  
78. * Possible StringData Ref from Data Obj ->"rb"                   <-- Read binary call
79.                                   |
80. :00431921 68CCE14A00              push 004AE1CC
81. :00431926 8BF7                    mov esi, edi
82. :00431928 8BD9                    mov ebx, ecx
83. :0043192A 8BFA                    mov edi, edx
84. :0043192C 83C9FF                  or ecx, FFFFFFFF
85. :0043192F F2                      repnz
86. :00431930 AE                      scasb
87. :00431931 8BCB                    mov ecx, ebx
88. :00431933 4F                      dec edi
89. :00431934 C1E902                  shr ecx, 02
90. :00431937 F3                      repz
91. :00431938 A5                      movsd
92. :00431939 8BCB                    mov ecx, ebx
93. :0043193B 8D542410                lea edx, dword ptr [esp+10]
94. :0043193F 83E103                  and ecx, 00000003
95. :00431942 F3                      repz
96. :00431943 A4                      movsb
97.  
98. * Possible StringData Ref from Data Obj ->"pcextras\circ.cir"   <-- File to check for again
99.                                   |
100. :00431944 BF144A4D00              mov edi, 004D4A14
101. :00431949 83C9FF                  or ecx, FFFFFFFF
102. :0043194C F2                      repnz
103. :0043194D AE                      scasb
104. :0043194E F7D1                    not ecx
105. :00431950 2BF9                    sub edi, ecx
106. :00431952 8BF7                    mov esi, edi
107. :00431954 8BD9                    mov ebx, ecx
108. :00431956 8BFA                    mov edi, edx
109. :00431958 83C9FF                  or ecx, FFFFFFFF
110. :0043195B F2                      repnz
111. :0043195C AE                      scasb
112. :0043195D 8BCB                    mov ecx, ebx
113. :0043195F 4F                      dec edi
114. :00431960 C1E902                  shr ecx, 02
115. :00431963 F3                      repz
116. :00431964 A5                      movsd
117. :00431965 8BCB                    mov ecx, ebx
118. :00431967 8D442410                lea eax, dword ptr [esp+10]
119. :0043196B 83E103                  and ecx, 00000003
120. :0043196E 50                      push eax
121. :0043196F F3                      repz
122. :00431970 A4                      movsb
123. :00431971 E86AD90600              call 0049F2E0
124. :00431976 83C408                  add esp, 00000008
125. :00431979 85C0                    test eax, eax
126. :0043197B 7415                    je 00431992            <-- Take this jump for a fail attempt
127. :0043197D 50                      push eax
128. :0043197E E87DD90600              call 0049F300
129. :00431983 83C404                  add esp, 00000004
130. :00431986 B801000000              mov eax, 00000001      <-- Set up for a passed CD check
131. :0043198B 5F                      pop edi
132. :0043198C 5E                      pop esi
133. :0043198D 5B                      pop ebx
134. :0043198E 83C464                  add esp, 00000064
135. :00431991 C3                      ret
136.  
137. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
138. |:00431907(C), :0043197B(C)
139. |
140. :00431992 5F                      pop edi
141. :00431993 5E                      pop esi
142. :00431994 33C0                    xor eax, eax           <-- Set up for a failed CD check
143. :00431996 5B                      pop ebx
144. :00431997 83C464                  add esp, 00000064
145. :0043199A C3                      ret
146. :0043199B 90                      nop
147.  
148.     This is a very short and simplistic CD Rom check.  The only thing you need to do to bypass this
149. CD check is NOP the conditional jump at 4318BD.  The game will then call the CD check as many times as
150. it wants to but fall right through and load eax with 00000001 and return.  The value of 00000001 means
151. (to Shadowmaster) the CD check passed.  A simple two byte patch is all that's required to crack this one.
152.     However, there are a other things that need to be addressed with ShadowMaster.  The first issue
153. is the amount of hard drive space required for a complete game install.  ShadowMaster takes up ~425
154. megs(!!) on your hard with full music and all the videos.  So to free up 202 megs of hard drive space
155. we will need to stop any/all videos from being played.  Within W32Dasm, I looked for references to any
156. of the video and didn't find any.  However, I found a reference to ".mpg" of which all the game videos
157. are.  Double clicking on that ref put me in the middle of this routine:
158.  
159. * Referenced by a CALL at Addresses:
160. |:00468AF0   , :00468B20   , :00468B35   , :00468B43   , :00468B69   
161. |:00468B77   , :00468B85   , :00468B93   , :00468BA1   , :00468BD9   
162. |:00468BE7   , :00468BF5   , :00468C03   , :00468C11   
163. |
164. :004689E0 83EC64                  sub esp, 00000064
165. :004689E3 53                      push ebx
166. :004689E4 55                      push ebp
167. :004689E5 56                      push esi
168. :004689E6 57                      push edi
169. :004689E7 33DB                    xor ebx, ebx
170. :004689E9 E892BBFCFF              call 00434580            <-- We will make use of this call
171. :004689EE E8ADBDFCFF              call 004347A0
172. :004689F3 E888BBFCFF              call 00434580
173. :004689F8 E8A3BDFCFF              call 004347A0
174. :004689FD A180115200              mov eax, dword ptr [00521180]
175. :00468A02 8B0D84115200            mov ecx, dword ptr [00521184]
176. :00468A08 8B7C2478                mov edi, dword ptr [esp+78]
177. :00468A0C 89442410                mov dword ptr [esp+10], eax
178. :00468A10 894C2414                mov dword ptr [esp+14], ecx
179. :00468A14 83C9FF                  or ecx, FFFFFFFF
180. :00468A17 33C0                    xor eax, eax
181. :00468A19 8D542410                lea edx, dword ptr [esp+10]
182. :00468A1D F2                      repnz
183. :00468A1E AE                      scasb
184. :00468A1F F7D1                    not ecx
185. :00468A21 2BF9                    sub edi, ecx
186. :00468A23 8BF7                    mov esi, edi
187. :00468A25 8BE9                    mov ebp, ecx
188. :00468A27 8BFA                    mov edi, edx
189. :00468A29 83C9FF                  or ecx, FFFFFFFF
190. :00468A2C F2                      repnz
191. :00468A2D AE                      scasb
192. :00468A2E 8BCD                    mov ecx, ebp
193. :00468A30 4F                      dec edi
194. :00468A31 C1E902                  shr ecx, 02
195. :00468A34 F3                      repz
196. :00468A35 A5                      movsd
197. :00468A36 8BCD                    mov ecx, ebp
198. :00468A38 8D542410                lea edx, dword ptr [esp+10]
199. :00468A3C 83E103                  and ecx, 00000003
200. :00468A3F F3                      repz
201. :00468A40 A4                      movsb
202.  
203. * Possible StringData Ref from Data Obj ->".mpg"             <-- The ref that got us here
204.                                   |
205. :00468A41 BF78115200              mov edi, 00521178
206. :00468A46 83C9FF                  or ecx, FFFFFFFF
207. :00468A49 F2                      repnz
208. :00468A4A AE                      scasb
209. :00468A4B F7D1                    not ecx
210. :00468A4D 2BF9                    sub edi, ecx
211. :00468A4F 8BF7                    mov esi, edi
212. :00468A51 8BE9                    mov ebp, ecx
213. :00468A53 8BFA                    mov edi, edx
214. :00468A55 83C9FF                  or ecx, FFFFFFFF
215. :00468A58 F2                      repnz
216. :00468A59 AE                      scasb
217. :00468A5A 8BCD                    mov ecx, ebp
218. :00468A5C 4F                      dec edi
219. :00468A5D C1E902                  shr ecx, 02
220. :00468A60 F3                      repz
221. :00468A61 A5                      movsd
222. :00468A62 8BCD                    mov ecx, ebp
223. :00468A64 8D442410                lea eax, dword ptr [esp+10]
224. :00468A68 83E103                  and ecx, 00000003
225. :00468A6B 50                      push eax
226. :00468A6C F3                      repz
227. :00468A6D A4                      movsb
228. :00468A6E E81D43FDFF              call 0043CD90
229. :00468A73 83C404                  add esp, 00000004
230. :00468A76 85C0                    test eax, eax
231. :00468A78 7418                    je 00468A92
232. :00468A7A 8D4C2410                lea ecx, dword ptr [esp+10]
233. :00468A7E 51                      push ecx
234. :00468A7F E85C650200              call 0048EFE0
235. :00468A84 83C404                  add esp, 00000004
236. :00468A87 50                      push eax
237. :00468A88 E8A3E9FAFF              call 00417430
238. :00468A8D 83C404                  add esp, 00000004
239. :00468A90 8BD8                    mov ebx, eax
240.  
241. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
242. |:00468A78(C)
243. |
244. :00468A92 E8E9BAFCFF              call 00434580
245. :00468A97 E804BDFCFF              call 004347A0
246. :00468A9C E8DFBAFCFF              call 00434580
247. :00468AA1 E8FABCFCFF              call 004347A0
248. :00468AA6 5F                      pop edi                     <-- Idealy I just want to get here
249. :00468AA7 5E                      pop esi
250. :00468AA8 8BC3                    mov eax, ebx
251. :00468AAA 5D                      pop ebp
252. :00468AAB 5B                      pop ebx
253. :00468AAC 83C464                  add esp, 00000064
254. :00468AAF C3                      ret
255.  
256.     There are way too many calls to track down and patch, why make 14 patches if you can do the same
257. with less.  The idea is just to exit the routine as fast as possible executing as few instructions as
258. possible.  I decided to change the very first call to a jump 468AA6.  This can be accomplished by 
259. calculating the jump's offset, or the displacement.  As you will see the correct offset is B8 in hex.
260. Changing the E8 92 BB FC FF to E9 B8 00 00 00 elimenates the playing of the videos.  Now you can safely
261. delete the directory "Movies" from the ShadowMaster game directory.
262.     Not bad, we just dropped the amount of disk space from 425 megs down to 172 megs.  However, if
263. you're willing to give up the music on each of the levels you can get the space required down to a "mere"
264. 60 megs.  This means we'll have to track down the routine(s) responsible for playing the level wav files.
265.     Looking for a ref to music I found "music\", double clicking this put in this LONG routine:
266.  
267. * Referenced by a CALL at Addresses:
268. |:004086E8   , :004089C2                                          <-- Call by two different routines
269. |
270. :00408700 8B442404                mov eax, dword ptr [esp+04]
271. :00408704 81ECC8000000            sub esp, 000000C8
272. :0040870A 85C0                    test eax, eax
273. :0040870C 740D                    je 0040871B
274. :0040870E A11CD25900              mov eax, dword ptr [0059D21C]
275. :00408713 85C0                    test eax, eax
276. :00408715 0F85E5010000            jne 00408900
277.  
278. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
279. |:0040870C(C)
280. |
281. :0040871B A1D055EC00              mov eax, dword ptr [00EC55D0]
282. :00408720 8B15CC55EC00            mov edx, dword ptr [00EC55CC]
283. :00408726 40                      inc eax
284. :00408727 A3D055EC00              mov dword ptr [00EC55D0], eax
285. :0040872C 8A0C42                  mov cl, byte ptr [edx+2*eax]
286. :0040872F 80F9FF                  cmp cl, FF
287. :00408732 7504                    jne 00408738
288. :00408734 33C0                    xor eax, eax
289. :00408736 EB0A                    jmp 00408742
290.  
291. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
292. |:00408732(C)
293. |
294. :00408738 80F9FE                  cmp cl, FE
295. :0040873B 750A                    jne 00408747
296. :0040873D B801000000              mov eax, 00000001
297.  
298. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
299. |:00408736(U)
300. |
301. :00408742 A3D055EC00              mov dword ptr [00EC55D0], eax
302.  
303. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
304. |:0040873B(C)
305. |
306. :00408747 0FBE0442                movsx eax, byte ptr [edx+2*eax]
307. :0040874B 83C0FE                  add eax, FFFFFFFE
308. :0040874E 83F819                  cmp eax, 00000019
309. :00408751 0F8777010000            ja 004088CE                         <-- Is offset too high? Then jump here
310. :00408757 33C9                    xor ecx, ecx
311. :00408759 8A8838894000            mov cl, byte ptr [eax+00408938]
312. :0040875F FF248D08894000          jmp dword ptr [4*ecx+00408908]      <-- Jump through wav file jump table
313. :00408766 A1C0816F00              mov eax, dword ptr [006F81C0]
314. :0040876B 83F804                  cmp eax, 00000004
315. :0040876E 0F875A010000            ja 004088CE                         <-- Jump to exit section
316. :00408774 FF248554894000          jmp dword ptr [4*eax+00408954]
317. :0040877B A1803FC100              mov eax, dword ptr [00C13F80]
318. :00408780 8D4C2400                lea ecx, dword ptr [esp]
319. :00408784 8BD0                    mov edx, eax
320. :00408786 C1E206                  shl edx, 06
321. :00408789 03D0                    add edx, eax
322. :0040878B 8D0495C092A700          lea eax, dword ptr [4*edx+00A792C0]
323. :00408792 50                      push eax
324.  
325. * Possible StringData Ref from Data Obj ->"%sbriefing.wav"            <-- Briefing wav files starting here
326.                                   |
327. :00408793 682CB44C00              push 004CB42C
328. :00408798 51                      push ecx
329. :00408799 E928010000              jmp 004088C6
330. :0040879E A1803FC100              mov eax, dword ptr [00C13F80]
331. :004087A3 8D4C2400                lea ecx, dword ptr [esp]
332. :004087A7 8BD0                    mov edx, eax
333. :004087A9 C1E206                  shl edx, 06
334. :004087AC 03D0                    add edx, eax
335. :004087AE 8D0495C092A700          lea eax, dword ptr [4*edx+00A792C0]
336. :004087B5 50                      push eax
337.  
338. * Possible StringData Ref from Data Obj ->"%sbrief_f.wav"
339.                                   |
340. :004087B6 681CB44C00              push 004CB41C
341. :004087BB 51                      push ecx
342. :004087BC E905010000              jmp 004088C6
343. :004087C1 A1803FC100              mov eax, dword ptr [00C13F80]
344. :004087C6 8D4C2400                lea ecx, dword ptr [esp]
345. :004087CA 8BD0                    mov edx, eax
346. :004087CC C1E206                  shl edx, 06
347. :004087CF 03D0                    add edx, eax
348. :004087D1 8D0495C092A700          lea eax, dword ptr [4*edx+00A792C0]
349. :004087D8 50                      push eax
350.  
351. * Possible StringData Ref from Data Obj ->"%sbrief_g.wav"
352.                                   |
353. :004087D9 680CB44C00              push 004CB40C
354. :004087DE 51                      push ecx
355. :004087DF E9E2000000              jmp 004088C6
356. :004087E4 A1803FC100              mov eax, dword ptr [00C13F80]
357. :004087E9 8D4C2400                lea ecx, dword ptr [esp]
358. :004087ED 8BD0                    mov edx, eax
359. :004087EF C1E206                  shl edx, 06
360. :004087F2 03D0                    add edx, eax
361. :004087F4 8D0495C092A700          lea eax, dword ptr [4*edx+00A792C0]
362. :004087FB 50                      push eax
363.  
364. * Possible StringData Ref from Data Obj ->"%sbrief_i.wav"
365.                                   |
366. :004087FC 68FCB34C00              push 004CB3FC
367. :00408801 51                      push ecx
368. :00408802 E9BF000000              jmp 004088C6
369. :00408807 A1803FC100              mov eax, dword ptr [00C13F80]
370. :0040880C 8D4C2400                lea ecx, dword ptr [esp]
371. :00408810 8BD0                    mov edx, eax
372. :00408812 C1E206                  shl edx, 06
373. :00408815 03D0                    add edx, eax
374. :00408817 8D0495C092A700          lea eax, dword ptr [4*edx+00A792C0]
375. :0040881E 50                      push eax
376.  
377. * Possible StringData Ref from Data Obj ->"%sbrief_s.wav"
378.                                   |
379. :0040881F 68ECB34C00              push 004CB3EC
380. :00408824 51                      push ecx
381. :00408825 E99C000000              jmp 004088C6
382.  
383. * Possible StringData Ref from Data Obj ->"music\"                <-- The level music files start here
384.                                   |
385. :0040882A 68E4B34C00              push 004CB3E4
386.  
387. * Possible StringData Ref from Data Obj ->"%sindust.wav"
388.                                   |
389. :0040882F 68D4B34C00              push 004CB3D4
390. :00408834 E988000000              jmp 004088C1
391.  
392. * Possible StringData Ref from Data Obj ->"music\"
393.                                   |
394. :00408839 68E4B34C00              push 004CB3E4
395. :0040883E 8D442404                lea eax, dword ptr [esp+04]
396.  
397. * Possible StringData Ref from Data Obj ->"%siceplant.wav"
398.                                   |
399. :00408842 68C4B34C00              push 004CB3C4
400. :00408847 50                      push eax
401. :00408848 EB7C                    jmp 004088C6
402.  
403. * Possible StringData Ref from Data Obj ->"music\"
404.                                   |
405. :0040884A 68E4B34C00              push 004CB3E4
406. :0040884F 8D4C2404                lea ecx, dword ptr [esp+04]
407.  
408. * Possible StringData Ref from Data Obj ->"%sdesert.wav"
409.                                   |
410. :00408853 68B4B34C00              push 004CB3B4
411. :00408858 51                      push ecx
412. :00408859 EB6B                    jmp 004088C6
413.  
414. * Possible StringData Ref from Data Obj ->"music\"
415.                                   |
416. :0040885B 68E4B34C00              push 004CB3E4
417.  
418. * Possible StringData Ref from Data Obj ->"%sruins.wav"
419.                                   |
420. :00408860 68A8B34C00              push 004CB3A8
421. :00408865 EB5A                    jmp 004088C1
422.  
423. * Possible StringData Ref from Data Obj ->"music\"
424.                                   |
425. :00408867 68E4B34C00              push 004CB3E4
426. :0040886C 8D442404                lea eax, dword ptr [esp+04]
427.  
428. * Possible StringData Ref from Data Obj ->"%sforest.wav"
429.                                   |
430. :00408870 6898B34C00              push 004CB398
431. :00408875 50                      push eax
432. :00408876 EB4E                    jmp 004088C6
433.  
434. * Possible StringData Ref from Data Obj ->"music\"
435.                                   |
436. :00408878 68E4B34C00              push 004CB3E4
437. :0040887D 8D4C2404                lea ecx, dword ptr [esp+04]
438.  
439. * Possible StringData Ref from Data Obj ->"%sendboss.wav"
440.                                   |
441. :00408881 6888B34C00              push 004CB388
442. :00408886 51                      push ecx
443. :00408887 EB3D                    jmp 004088C6
444.  
445. * Possible StringData Ref from Data Obj ->"music\"
446.                                   |
447. :00408889 68E4B34C00              push 004CB3E4
448.  
449. * Possible StringData Ref from Data Obj ->"%sgeneric1.wav"
450.                                   |
451. :0040888E 6878B34C00              push 004CB378
452. :00408893 EB2C                    jmp 004088C1
453.  
454. * Possible StringData Ref from Data Obj ->"music\"
455.                                   |
456. :00408895 68E4B34C00              push 004CB3E4
457. :0040889A 8D442404                lea eax, dword ptr [esp+04]
458.  
459. * Possible StringData Ref from Data Obj ->"%sgeneric2.wav"
460.                                   |
461. :0040889E 6868B34C00              push 004CB368
462. :004088A3 50                      push eax
463. :004088A4 EB20                    jmp 004088C6
464.  
465. * Possible StringData Ref from Data Obj ->"music\"
466.                                   |
467. :004088A6 68E4B34C00              push 004CB3E4
468. :004088AB 8D4C2404                lea ecx, dword ptr [esp+04]
469.  
470. * Possible StringData Ref from Data Obj ->"%sgeneric3.wav"
471.                                   |
472. :004088AF 6858B34C00              push 004CB358
473. :004088B4 51                      push ecx
474. :004088B5 EB0F                    jmp 004088C6
475.  
476. * Possible StringData Ref from Data Obj ->"music\"
477.                                   |
478. :004088B7 68E4B34C00              push 004CB3E4
479.  
480. * Possible StringData Ref from Data Obj ->"%sgeneric4.wav"
481.                                   |
482. :004088BC 6848B34C00              push 004CB348
483.  
484. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
485. |:00408834(U), :00408865(U), :00408893(U)
486. |
487. :004088C1 8D542408                lea edx, dword ptr [esp+08]
488. :004088C5 52                      push edx
489.  
490. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
491. |:00408799(U), :004087BC(U), :004087DF(U), :00408802(U), :00408825(U)
492. |:00408848(U), :00408859(U), :00408876(U), :00408887(U), :004088A4(U)
493. |:004088B5(U)
494. |
495. :004088C6 E8D5660900              call 0049EFA0
496. :004088CB 83C40C                  add esp, 0000000C
497.  
498. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
499. |:00408751(C), :0040876E(C)
500. |
501. :004088CE 8D442400                lea eax, dword ptr [esp]
502. :004088D2 50                      push eax
503. :004088D3 E8B8440300              call 0043CD90
504. :004088D8 83C404                  add esp, 00000004
505. :004088DB 85C0                    test eax, eax
506. :004088DD 740D                    je 004088EC
507. :004088DF 8D4C2400                lea ecx, dword ptr [esp]
508. :004088E3 51                      push ecx
509. :004088E4 E887AD0700              call 00483670
510. :004088E9 83C404                  add esp, 00000004
511.  
512. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
513. |:004088DD(C)
514. |
515. :004088EC C70514D2590000000000    mov dword ptr [0059D214], 00000000
516. :004088F6 C70518D2590001000000    mov dword ptr [0059D218], 00000001
517.  
518. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
519. |:00408715(C)
520. |
521. :00408900 81C4C8000000            add esp, 000000C8
522. :00408906 C3                      ret
523. :00408907 90                      nop
524.  
525.   -- Jump table for playing level music and level briefings start here --
526.  
527. :00408908 66874000                DWORD 00408766  <-- Play a briefing wav file
528. :0040890C 2A884000                DWORD 0040882A  <-- Play indust.wav file
529. :00408910 39884000                DWORD 00408839  <-- Play iceplant.wav file
530. :00408914 4A884000                DWORD 0040884A  <-- Play desert.wav file
531. :00408918 5B884000                DWORD 0040885B  <-- Play ruins.wav file
532. :0040891C 67884000                DWORD 00408867  <-- Play forest.wav file
533. :00408920 78884000                DWORD 00408878  <-- Play endboss.wav file
534. :00408924 89884000                DWORD 00408889  <-- Play generic1.wav file
535. :00408928 95884000                DWORD 00408895  <-- Play generic2.wav file
536. :0040892C A6884000                DWORD 004088A6  <-- Play generic3.wav file
537. :00408930 B7884000                DWORD 004088B7  <-- Play generic4.wav file
538. :00408934 CE884000                DWORD 004088CE  <-- Jump to the exit section
539.  
540. :00408938 00000000000000000000    BYTE 10 DUP(0)
541. :00408942 0000000000              BYTE  5 DUP(0)
542.  
543. :00408947 00010203                DWORD 03020100
544. :0040894A 04050607                DWORD 07060504
545. :0040894F 0809                    WORD  0908
546. :00408951 0A                      BYTE 0ah
547. :00408952 8B                      BYTE 8bh
548. :00408953 FF                      BYTE ffh
549.  
550. :00408954 7B874000                DWORD 0040877B  <-- Play briefing.wav file
551. :00408958 9E874000                DWORD 0040879E  <-- Play brief_f.wav file
552. :0040895C C1874000                DWORD 004087C1  <-- Play brief_g.wav file
553. :00408960 E4874000                DWORD 004087E4  <-- Play brief_i.wav file
554. :00408964 07884000                DWORD 00408807  <-- Play brief_s.wav file
555.  
556.     That was the routine responsible for playing the mission briefings and the level music wav
557. files.  It's the section of music wav you want to kill, not the mission briefings as they are a vital
558. part of the game.  The briefings let you know what to do and what's going on in the game for the next
559. level to be played.  So now we need to trace each call and find a good place to make a patch to kill
560. the music.
561.  
562. * Referenced by a CALL at Addresses:
563. |:00404ED4   , :00468D51   , :004692F9                             <-- Called by 3 different places
564. |
565. :004086A0 8B442404                mov eax, dword ptr [esp+04]
566. :004086A4 8B0DD0D25900            mov ecx, dword ptr [0059D2D0]
567. :004086AA A3C855EC00              mov dword ptr [00EC55C8], eax
568. :004086AF A3CC55EC00              mov dword ptr [00EC55CC], eax
569. :004086B4 83C8FF                  or eax, FFFFFFFF
570. :004086B7 83F903                  cmp ecx, 00000003
571. :004086BA A3D055EC00              mov dword ptr [00EC55D0], eax
572. :004086BF 740A                    je 004086CB
573. :004086C1 8B0D1CD25900            mov ecx, dword ptr [0059D21C]
574. :004086C7 85C9                    test ecx, ecx
575. :004086C9 7507                    jne 004086D2
576.  
577. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
578. |:004086BF(C)
579. |
580. :004086CB 33C0                    xor eax, eax
581. :004086CD A3D055EC00              mov dword ptr [00EC55D0], eax
582.  
583. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
584. |:004086C9(C)
585. |
586. :004086D2 8B0D803FC100            mov ecx, dword ptr [00C13F80]
587. :004086D8 83F916                  cmp ecx, 00000016
588. :004086DB 7C09                    jl 004086E6
589. :004086DD 8D4408EA                lea eax, dword ptr [eax+ecx-16]
590. :004086E1 A3D055EC00              mov dword ptr [00EC55D0], eax
591.  
592. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
593. |:004086DB(C)
594. |
595. :004086E6 6A00                    push 00000000
596. :004086E8 E813000000              call 00408700             <-- Call the music "dispatch" routine
597. :004086ED 83C404                  add esp, 00000004
598. :004086F0 C3                      ret
599.  
600.     Time to check out the 3 calls to the above code and see what effect each has.  The call that
601. came from 00404ED4 plays the mission briefings so we'll let this one come through.  Now lets track down
602. the other two to see what they do:
603.  
604. * Referenced by a CALL at Address:
605. |:0046901B   
606. |
607. :00468D20 A194D76E00              mov eax, dword ptr [006ED794]
608. :00468D25 56                      push esi
609. :00468D26 33F6                    xor esi, esi
610. :00468D28 3BC6                    cmp eax, esi
611. :00468D2A 8935249D7400            mov dword ptr [00749D24], esi
612. :00468D30 7527                    jne 00468D59                        <-- Force this jump to kill music
613. :00468D32 C705803FC10015000000    mov dword ptr [00C13F80], 00000015
614. :00468D3C 8935D0D25900            mov dword ptr [0059D2D0], esi
615. :00468D42 E8698BFCFF              call 004318B0
616. :00468D47 85C0                    test eax, eax
617. :00468D49 740E                    je 00468D59
618. :00468D4B A114A9A700              mov eax, dword ptr [00A7A914]
619. :00468D50 50                      push eax
620. :00468D51 E84AF9F9FF              call 004086A0             <-- Play music at flaming skull (start) screen
621. :00468D56 83C404                  add esp, 00000004
622.  
623. * Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
624. |:00468D30(C), :00468D49(C)
625. |
626. :00468D59 C705189D740001000000    mov dword ptr [00749D18], 00000001
627. :00468D63 E818E4FFFF              call 00467180
628. :00468D68 A194D76E00              mov eax, dword ptr [006ED794]
629. :00468D6D 8935189D7400            mov dword ptr [00749D18], esi
630.  
631.   -- snip non iformational code --
632.  
633. :00468E1C 83F808                  cmp eax, 00000008
634. :00468E1F 750A                    jne 00468E2B
635. :00468E21 C705803FC10015000000    mov dword ptr [00C13F80], 00000015
636.  
637. * Referenced by a (U)nconditional or (C)onditional Jump at Address:
638. |:00468E1F(C)
639. |
640. :00468E2B 5E                      pop esi
641. :00468E2C C3                      ret
642.  
643.     If you change the conditional jump at 468D30 to a non conditional jump the music at the main
644. start screen will not be played.  This is the flaming skull screen where you can choose to start the
645. game or change options.  One down, one to go, so let's lets check out the other call:
646.  
647.   -- Program code --
648. :004692E0 E85BB1FCFF              call 00434440
649. :004692E5 A1803FC100              mov eax, dword ptr [00C13F80]
650. :004692EA 8BC8                    mov ecx, eax
651. :004692EC C1E106                  shl ecx, 06
652. :004692EF 03C8                    add ecx, eax
653. :004692F1 8B148DC093A700          mov edx, dword ptr [4*ecx+00A793C0]
654. :004692F8 52                      push edx
655. :004692F9 E8A2F3F9FF              call 004086A0                       <-- Play level music
656. :004692FE A194D76E00              mov eax, dword ptr [006ED794]
657. :00469303 83C404                  add esp, 00000004
658. :00469306 3BC3                    cmp eax, ebx
659. :00469308 740A                    je 00469314
660. :0046930A C705589E740001000000    mov dword ptr [00749E58], 00000001
661.   -- Continuing program code --
662.  
663.     Simple choice here, just overwrite the call so it will not be made.  That takes care of all
664. routines that play music for the different levels.  Now you can delete the music subdirectory and save
665. an additional 172 megs of hard drive space.  So we started with 425 megs and cut it down to about 60 megs
666. for just the actual game.  Everything essential to the game still works and if we had made a bad patch
667. the game self terminates and tells you why.  I traced one routine (for the flaming skull) back one level
668. and killed the call at that level.  The game came up and asked for the CD and when I hit cancel it self
669. terminated and said it was looking for desert.wav file.  Anyways, this one is done and has been completly
670. FiX'ed and can now be played without the CD.
671.  
672. 1.  Do a complete install (inlcuding videos, music, multiplayer)
673. 2.  Make the following edits to the program file:
674.  
675. Edit the rmg.exe
676. =============================================
677. Search for: 74 0C B8 01 00  at offset 199,869
678. Change to : 90 90 -- -- --
679.  
680.   -- Optional:  Kill all mpg videos --
681.  
682. Search for: E8 92 BB FC FF  at offset 425,449
683. Change to : E9 B8 00 00 00
684.  
685.   -- Optional:  Kill Main screen and level music --
686.  
687. Search for: 75 27 C7 05 80  at offset 426,288
688. Change to : EB -- -- -- --
689.  
690. Search for: E8 A2 F3 F9 FF  at offset 427,769
691. Change to : B8 01 00 00 00
692.  
693. 3.  Delete the movies directory if you made the kill mpg patch
694. 4.  Delete the music directory if you made the kill music patches
695.  
696. Static Vengeance
697.