OpenRakis/Spice86

GitHub: OpenRakis/Spice86

一个用于执行、逆向工程和逐步重写无源码实模式 DOS 程序的 .NET 跨平台 PC 模拟器，支持 Ghidra 联动与 GDB 动态调试。

Stars: 617 | Forks: 37

# Spice86 - 用于实模式逆向工程的 PC 模拟器 ![Linux](https://img.shields.io/badge/-Linux-grey?logo=linux) ![macOS](https://img.shields.io/badge/-OSX-black?logo=apple) ![Windows](https://img.shields.io/badge/-Windows-red?logo=windows) [![.NET Build](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/d148795e6f031307.svg)](https://github.com/OpenRakis/Spice86/actions/workflows/prerelease.yml) [![NuGet](https://img.shields.io/nuget/v/Spice86.svg)](https://www.nuget.org/packages/Spice86) ![Licence](https://img.shields.io/badge/License-Apache_2.0-44cc11.svg) [![downloads](https://img.shields.io/nuget/dt/Spice86)](https://www.nuget.org/packages/Spice86) Spice86 是一个用于执行、逆向工程和重写无源代码实模式 DOS 程序的工具。发布版本可在 [Nuget](https://www.nuget.org/packages/Spice86/) 上获取。预发布版本也可在 [发布页面](https://github.com/OpenRakis/Spice86/releases/tag/latest) 获取注意：这是[原始 Java Spice86](https://github.com/kevinferrare/spice86) 的移植和延续版本。它需要 [.NET 10](https://dotnet.microsoft.com/en-us/download/dotnet/10.0) 并可在 Windows、macOS 和 Linux 上运行。 ## 方法仅从二进制文件重写程序是一项艰巨的任务。 Spice86 是一个通过系统化的分而治之方法来帮助您完成此任务的工具。一般流程： - 您首先在 Spice86 模拟器中模拟程序。 - 每次运行结束时，模拟器会转储一些运行时数据（内存转储和执行流） - 您可以通过 [spice86-ghidra-plugin](https://github.com/OpenRakis/spice86-ghidra-plugin) 将这些数据加载到 [ghidra](https://github.com/NationalSecurityAgency/ghidra) 中 - 该插件将内存转储中的汇编指令转换为 C#，这些 C# 代码可以加载到 spice86 中，并部分或完全替代汇编代码。 - 这允许您逐步用 C# 方法重新实现汇编代码 - 这很有帮助，因为： - 小段的汇编代码可以进行静态分析，通常很容易翻译成高级语言。 - 您始终使用程序的完整工作版本，因此相对容易及早发现错误。 - 逐个函数地重写代码使您能够发现作者的意图。 ## 运行您的 exe | 命令 | 描述 | |---------|-------------| | `Spice86 -e file.exe` | 运行指定的可执行文件 | | `Spice86 -e file.com` | 运行 COM 文件 | | `Spice86 -e file.bin` | 运行 BIOS 文件 | ## 转储数据 | 设置 | 描述 | |---------|-------------| | 环境变量 | `SPICE86_DUMPS_FOLDER` - 设置此项以控制数据转储的基本目录 | | 命令行 | 使用 `--RecordedDataDirectory` 指定基本转储位置 | | 默认位置 | 如果未指定上述任何一项，则为当前目录 | **注意：** 无论基本目录设置如何，转储始终放置在以程序 SHA-256 哈希命名的子目录中。这确保同一游戏的多个可执行文件（例如 SETUP.EXE、GAME.EXE）拥有独立的转储文件夹。模拟器转储以下文件： - **spice86dumpMemoryDump.bin**：实模式地址空间的快照 - **spice86dumpExecutionFlow.json**：包含函数地址、标签和已执行的指令当指定位置已有数据时，模拟器将首先加载并补充它。 ### CPU 高负载日志为了进行详细调试，您可以启用 CPU 高负载日志，该功能会将每条执行的指令记录到文件中。 **⚠️ 警告：** 此功能会显著影响性能，仅应用于调试目的。 | 设置 | 描述 | |---------|-------------| | `--CpuHeavyLog` | 启用 CPU 高负载日志（默认值：false） | | `--CpuHeavyLogDumpFile` | 日志文件的自定义路径（可选）。如果设置，也会启用 CpuHeavyLog。默认位置：`{DumpDirectory}/cpu_heavy.log` | **日志格式：** 每行包含：`SegmentedAddress InstructionString` **示例：** ``` 017D:0000 mov AX,0xDD1D 017D:0003 call near 0xE4AD 017D:E4AD mov SI,0x0080 ``` **用法：** ``` # 使用默认位置启用 Spice86 -e program.exe --CpuHeavyLog # 使用自定义 log file 路径 Spice86 -e program.exe --CpuHeavyLog --CpuHeavyLogDumpFile "C:\logs\cpu.log" ``` ## 命令行选项 ``` --Debug (Default: false) Starts the program paused and pauses once again when stopping. --Cycles (Default: null) Target CPU cycles per ms, for the rare speed sensitive game. 3000 by default. Overrides Instructions per second option below if used. --Xms (Default: true) Enables 15 MB of XMS memory. --Ems (Default: true) Enables EMS memory. EMS adds 8 MB of memory accessible to DOS programs through the EMM Page Frame. --A20Gate (Default: false) Disables the 20th address line to support programs relying on the rollover of memory addresses above the HMA (slightly above 1 MB). -m, --Mt32RomsPath Zip file or directory containing the MT-32 ROM files -c, --CDrive Path to C drive, default is exe parent -r, --RecordedDataDirectory Directory to dump data to when not specified otherwise. If blank dumps to SPICE86_DUMPS_FOLDER, and if not defined dumps to a sub directory named with the program SHA 256 signature -e, --Exe Required. Path to executable -a, --ExeArgs List of parameters to give to the emulated program -x, --ExpectedChecksum Hexadecimal string representing the expected SHA256 checksum of the emulated program -f, --FailOnUnhandledPort (Default: false) If true, will fail when encountering an unhandled IO port. Useful to check for unimplemented hardware. false by default. -g, --GdbPort GDB port. If 0, GDB server will be disabled. Default is 10000. -o, --OverrideSupplierClassName Name of a class that will generate the initial function information. See documentation for more information. -p, --ProgramEntryPointSegment (Default: 4096) Segment where to load the program. DOS PSP and MCB will be created before it. -u, --UseCodeOverride (Default: true) if false it will use the names provided by overrideSupplierClassName but not the code -i, --InstructionsPerSecond if blank will use time based timer. -t, --TimeMultiplier (Default: 1) if >1 will go faster, if <1 will go slower. -h, --HeadlessMode [Mode] (Default: false) Headless mode. The mode 'Minimal' does not use any UI components, 'Avalonia' uses the full UI and consumes a bit more memory. -l, --VerboseLogs (Default: false) Enable verbose level logs -w, --WarningLogs (Default: false) Enable warning level logs -s, --SilencedLogs (Default: false) Disable all logs -i, --InitializeDOS (Default: true) Install DOS interrupt vectors or not. --CpuHeavyLog (Default: false) Enable CPU heavy logging. Logs every executed instruction to a file. Warning: significant performance impact. --CpuHeavyLogDumpFile Custom file path for CPU heavy log output. If not specified, defaults to {DumpDirectory}/cpu_heavy.log --AsmRenderingStyle Style of the ASM rendering. Spice86 or DosBox. --StructureFile Path to a C header file that describes the structures in the application. Works best with exports from IDA or Ghidra --help Display this help screen. --version Display version information. ``` ### Sound Blaster 和 OPL/Adlib Gold 选项 - SbType：Sound Blaster 卡类型。值：None, SB1, SB2, SBPro1, SBPro2, Sb16, GameBlaster, AdlibGold。 - SbIrq：Sound Blaster IRQ 线。默认值为 7。常见值：5, 7, 9, 10。 - SbDma：Sound Blaster 8 位 DMA 通道。默认值为 1。常见值：0, 1, 3。 - SbHdma：Sound Blaster 16 位高 DMA 通道。默认值为 5。常见值：5, 6, 7。 - SbBase：Sound Blaster 基础 I/O 地址（十六进制）。默认值为 0x220。常见值：0x220, 0x240, 0x260, 0x280。 - OplMode：OPL 合成模式。值：None, Opl2, DualOpl2, Opl3, Opl3Gold。默认值为 Opl3。 - SbMixer：启用 Sound Blaster 混音器对 OPL 声音的控制。默认值为 true。 ## 动态分析 Spice86 支持 [GDB](https://www.gnu.org/software/gdb/) 远程协议： - 它支持调试所需的大多数命令。 - 它还提供自定义 GDB 命令来进行动态分析。 ### 连接到 GDB 除非选项设置为 0，否则 GDB server 始终与要执行的程序一起启动。默认端口为 10000。如果您想在开始执行之前暂停以设置断点等，请使用 --Debug 选项。以下是如何从 GDB 命令行客户端连接以及如何设置架构： ``` (gdb) target remote localhost:10000 (gdb) set architecture i8086 ``` ### 原生 GDB 您可以添加断点、单步执行、查看内存等。在 VGA VRAM 写入上设置断点的示例： ``` (gdb) watch *0xA0000 ``` 查看汇编： ``` (gdb) layout asm ``` 删除断点： ``` (gdb) remove 1 ``` 在内存中搜索字节序列（起始地址 0，长度 F0000，'Spice86' 字符串的 ascii 字节）： ``` (gdb) find /b 0x0, 0xF0000, 0x53, 0x70, 0x69, 0x63, 0x65, 0x38, 0x36 ``` GDB 不支持 x86 实模式分段寻址，因此指针需要引用内存中的实际物理地址。地址 A000:0000 处的 VRAM 在 GDB 中将是 0xA0000。同样，Spice86 公开的 GDB 中的 $pc 变量将是 CS:IP 指向的物理地址。 ### 自定义 GDB 命令（奇迹发生的地方）自定义命令列表可以这样显示： ``` (gdb) monitor help ``` #### 转储有关当前运行的信息 ``` (gdb) monitor dumpall ``` 一次性转储下面描述的所有内容。文件在转储文件夹中创建，解释见[此处](https://github.com/OpenRakis/Spice86#dumping-data) 会生成以下文件： - spice86dumpMemoryDump.bin：实模式地址空间的快照。包含实际加载和执行的指令。它们可能与您运行的 exe 不同，因为 DOS 程序可以重写其某些指令 / 在内存中加载额外的模块。 - spice86dumpExecutionFlow.json：包含 [spice86-ghidra-plugin](https://github.com/OpenRakis/spice86-ghidra-plugin) 用于理解内存转储的信息，如函数地址、标签、已执行的指令等。 #### 特殊断点在 x 个模拟 CPU 周期后中断： ``` (gdb) monitor breakCycles 1000 ``` 在模拟程序结束时中断： ``` (gdb) monitor breakStop ``` ## Seer 为了获得愉快且高效的 GDB 体验，强烈推荐使用 [seerGDB](https://github.com/epasveer/seer) 客户端。最好使用 `doc` 目录中提供的配置文件 `spice86.seer`（[此处](doc/spice86.seer)）：使用 `seergdb --project spice86.seer` 运行 Seer。如果您为 gdb 使用不同的端口，请相应地调整 `spice86.seer`。此外，在 Seer 中，将 Settings/Configuration/Assembly/Disassembly Mode 设置为 “Length”，否则汇编视图将无法工作。 ## 模拟器功能 | 组件 | 支持级别 | |-----------|--------------| | **CPU** | 8086/8088 已完全实现并测试 | | | 80186 (缺少 BOUND 指令) | | | 80286 (保护模式未实现) | | | 80386 (部分支持，保护模式未实现) | | | 仅完全支持 16 位指令 | | | 大多数 32 位指令已实现但未完全测试 | | | 无 FPU（检测指令除外） | | **内存** | 具有分段寻址的 1MB 地址空间 | | | A20 Gate 支持 | | | EMS 3.2 已实现 | | | XMS 4.0 已实现 | | | HMA 已实现 | | | 无分页支持 | | **图形** | 文本模式、VGA、EGA 和 CGA 已实现 | | | EGA 和 CGA 模式为尽力而为（您可能会发现错误） | | | 无 VESA 支持 | | **DOS** | 部分 int 21h 实现 (DOS 5.0) | | **输入** | 支持键盘和鼠标 | | | 无操纵杆支持 | | **CD-ROM** | 无 MSCDEX 支持 | | **软驱** | 无软盘支持 | ## 声音支持 | 声音类型 | 支持级别 | 备注 | |------------|---------------|-------| | PC Speaker | ✅ 完全 | 已实现 | | Adlib/SB OPL | ✅ 完全 | 移植自 DOSBox Staging | | SoundBlaster | ✅ 完全 | 移植自 DOSBox Staging | | Adlib Gold | ✅ 完全 | 移植自 DOSBox Staging | | MT-32 | ⚠️ 部分 | macOS 上不可用 | | Gravis Ultrasound | ❌ 无 | 尚未实现 | | General MIDI | ✅ 完全 | 支持 | ## 杂项 | 功能 | 详情 | |---------|---------| | **C 盘** | 可通过 `--CDrive` 配置，默认为当前文件夹 | | **程序参数** | 使用 `--ExeArgs` 传递最多 127 个字符 | | **时间处理** | 真实经过的时间（可通过 `--TimeMultiplier` 调整）或基于指令的时序（使用 `--InstructionsPerSecond`） | | **屏幕刷新** | 30 FPS 并在 VGA 回扫等待检测时 | | **结构查看器** | 需要 C 头文件 (`--StructureFile`) 来显示内存结构 | ## 逆向工程流程 Cryo Dune 的具体示例见[此处](https://github.com/OpenRakis/Cryogenic)。首先运行您的程序并确保在 Spice86 中一切正常。如果遇到问题，可能是由于未实现的硬件 / DOS / BIOS 功能。当 Spice86 退出时，它应该将数据转储到当前文件夹或环境变量指定的文件夹中使用 [spice86-ghidra-plugin](https://github.com/OpenRakis/spice86-ghidra-plugin) 在 [ghidra](https://github.com/NationalSecurityAgency/ghidra) 中打开数据并生成代码。您可以将生成的文件导入到通过 [spice86-dotnet-templates](https://github.com/OpenRakis/spice86-dotnet-templates) 生成的模板项目中： ``` dotnet new spice86.project ``` ## 用 C# 代码覆盖模拟代码您可以提供自己的 C# 代码来覆盖程序的原始汇编代码。 ### 定义覆盖 Spice86 可以接受一个 Spice86.Core.Emulator.Function.IOverrideSupplier 实例作为输入，该实例构建函数内存地址与其 C# 覆盖之间的映射。有关完整示例，您可以查看 [Cryogenic](https://github.com/OpenRakis/Cryogenic) 的源代码。这是一个简单的示例： ``` namespace My.Program; // This class is responsible for providing the overrides to spice86. // There is only one per program you reimplement. public class MyProgramOverrideSupplier : IOverrideSupplier { public IDictionary GenerateFunctionInformations(int programStartSegment, Machine machine) { Dictionary res = new(); // In more complex examples, overrides may call each other new MyOverrides(res, programStartSegment, machine); return res; } public override string ToString() { return "Overrides My program exe. class is " + GetType().FullName; } } // This class contains the actual overrides. As the project grows, you will probably need to split the reverse engineered code in several classes. public class MyOverrides : CSharpOverrideHelper { private MyOverridesGlobalsOnDs globalsOnDs; public MyOverrides(IDictionary functionInformations, ushort entrySegment, Machine machine, ILoggerService loggerService, Configuration configuration) { // "myOverides" is a prefix that will be appended to all the function names defined in this class base(functionInformations, machine, loggerService, configuration); globalsOnDs = new MyOverridesGlobalsOnDs(machine); // incUnknown47A8_0x1ED_0xA1E8_0xC0B8 will get executed instead of the assembly code when a call to 1ED:A1E8 is performed. // Also when dumping functions, the name myOverides.incUnknown47A8 or instead of unknown // Note: the segment is provided in parameter as spice86 can load executables in different places depending on the configuration DefineFunction(segment, 0xA1E8, "incDialogueCount47A8", IncDialogueCount47A8_0x1ED_0xA1E8_0xC0B8); DefineFunction(segment, 0x0100, "addOneToAX", AddOneToAX_0x1ED_0x100_0x1FD0); } public Action IncDialogueCount47A8_0x1ED_0xA1E8_0xC0B8() { // Accessing the memory via accessors globalsOnDs.SetDialogueCount47A8(globalsOnDs.GetDialogueCount47A8() + 1); // Depends on the actual return instruction performed by the function, needed to be called from the emulated code as // some programs like to mess with the stack ... return NearRet(); } private Action AddOneToAX_0x1ED_0x100_0x1FD0() { // Assembly for this would be // INC AX // RETF // Note that you can access the whole emulator to change the state in the overrides. state.AX++; return NearRet(); } } // Memory accesses can be encapsulated into classes like this to give names to addresses and make the code shorter. public class GlobalsOnDs : MemoryBasedDataStructureWithDsBaseAddress { public GlobalsOnDs(IByteReaderWriter memory, SegmentRegisters segmentRegisters) : base(memory, segmentRegisters) { } // Getters and Setters for address 0x1DD:0x2/0x1DD2. // Was accessed via the following registers: DS public int Get01DD_0002_Word16() { return UInt16[0x2]; } // Operation not registered by running code public void Set01DD_0002_Word16(byte value) { UInt16[0x2] = value; } // Getters and Setters for address 0x1138:0x0/0x11380. // Operation not registered by running code public int Get1138_0000_Word16() { return UInt16[0x0]; } } ``` *请记住*：在调试项目时，必须使用命令行参数 "--UseCodeOverride true" 告诉 Spice86 使用您的汇编代码覆盖。以及使用 --ExePath 参数传递的 DOS 程序的必需路径。 ## 调试器 Spice86 附带一个[内置调试器](https://github.com/OpenRakis/Spice86/wiki/Spice86-internal-debugger)，可用于调试模拟程序。它是一个简单的调试器，允许您检查内存、反汇编、寄存器和堆栈。 ### 结构查看器结构查看器允许您以结构化的方式检查内存。它对于将内存作为结构检查很有用，例如 DOS PSP、DOS MCB、VGA 寄存器等。首先，您需要一个描述应用程序中结构的 C 头文件。您可以使用 Ghidra 或 IDA 生成一个。然后您可以使用 `--StructureFile` 命令行参数加载它。这将启用调试器内存选项卡中的“Structure view”按钮。在那里输入 segment:offset 地址并选择您想要查看的结构。结构将以树状视图显示，内存以十六进制视图显示。每当应用程序暂停时显示都会更新，因此您可以单步执行程序并查看结构如何变化。从 Ghidra 或 IDA 导出新的 C 头文件也会实时更新结构查看器的新信息。您也可以通过在内存选项卡中选择字节范围并右单击它来进入结构视图。 ## 杂项详情 ### C 盘可以使用选项 **--CDrive** 为模拟的 DOS 功能提供 C: 盘。默认为当前文件夹。对于某些游戏，您可能需要将 C 盘设置为游戏文件夹。 ### 模拟程序参数您可以使用选项 **--ExeArgs** 将参数（最多 127 个字符！）传递给模拟程序。默认为空。 ### 时间 PC 的模拟定时器硬件 (Intel 8259) 支持从以下方面测量时间： - 真实经过的时间。可以使用参数 **--TimeMultiplier** 改变速度。 - 模拟 CPU 执行的指令数。这是使用参数 **--InstructionsPerSecond** 激活的行为，并且在 GDB 模式下强制使用，以便您可以安心调试而不会触发定时器。兼容性列表可在[此处](COMPATIBILITY.md)获取。 ### 如何在您的机器上构建 - 安装 [.NET 10 SDK](https://dotnet.microsoft.com/en-us/download/dotnet/10.0)（一次） - 克隆仓库 - 在 Spice86.sln 所在位置运行： ``` dotnet build ``` ### 如何运行 ``` Spice86 -e ``` 或在 Spice86.csproj 所在位置使用： ``` dotnet run -e ``` ### Ghidra 插件这需要使用 Ghidra 和 Java 17。在使用之前，定义一个名为 SPICE86_DUMPS_FOLDER 的环境变量，指向 Spice86 转储所在的文件夹。它们在退出时生成。一般过程，按顺序： 1.Ghidra 自带的脚本 'ImportSymbolScript.py'（使用的输入是 "spice86dumpGhidraSymbols.txt"） 2.Ghidra 的 Auto-Analyze（仅启用 'Dissasemble Entry Points'） 3.现在，您可以使用该插件了。请记住：如果 Ghidra 显示 SUBROUTINES，请使用 'f' 键将它们转换为函数。代码生成器仅适用于函数。此外，如果您有任何奇怪的行为，请确保您安装了 Java 17 且只有 Java 17。这是 Ghidra 的运行要求。 ### Cfg Cpu 文档[在此](doc/cfgcpuReadme.md) ### 一些截图 Cryo dune: ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/e6f8c4e266031316.png) ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/b4e351bf7e031327.png) ![](https://raw.githubusercontent.com/OpenRakis/Spice86/master/doc/cryodune_orni.png) Prince of persia: ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/8591b4f19b031406.png) Stunts: ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/e11bc9c918031417.png) ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/306a709732031427.png) ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/6b0e6c4fda031437.png) ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/1a084b013d031447.png) Betrayal at Krondor: ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/52bfe8e882031457.png) ## 致谢 SoundBlaster 实现完全移植自 [dosbox-staging](https://github.com/dosbox-staging/dosbox-staging)，取代了之前从 Aeon 模拟器修改的版本。这包括 PCM 和 OPL 音质改进、模拟精度、SB/OPL 兼容性、混音器线程逻辑、音频事件、音频硬件延迟以及完整的音频重构。此外，该项目不再依赖 PortAudio。相反，它使用 SDL2 音频 API 的完全跨平台 C# 移植。我们仅依赖 WASAPI (Windows)、ALSA (Linux) 或 CoreAudio (macOS)。该项目使用了 JetBrains Rider 许可证，感谢 JetBrains 的[开源社区支持](https://www.jetbrains.com/community/opensource/#support)。 ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/75e95793ed031506.svg) UI 由 [Avalonia UI](https://avaloniaui.net/) 提供支持。 ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/c2cf734e4d031511.png)

标签：Apache 2.0, DOS模拟器, Ghidra插件, .NET 10, NuGet包, PC模拟器, Ruby on Rails, Wayback Machine, x86模拟, 二进制分析, 云安全运维, 云资产清单, 代码重写, 内存转储, 反汇编, 实模式, 开源, 无源码重构, 旧软件维护, 汇编转C#, 游戏逆向, 运行时分析, 逆向工程