【分析教程】unity游戏修改so文件

基础知识

0x1.apk安装后在手机中的目录

apk安装后会在两个包下生成相关包:data/data/、data/app/。

这里拿网易云音乐的安装目录举例。Data/App目录下通常会有三个文件:

lib文件夹(包含so库文件)、

‚oat文件夹(OAT文件是一种android私有ELF文件格式,它不仅包含有从DEX文件翻译而来的本     地机器指令,还包含有原来的DEX文件内容。这使得我们无需重新编译原有的APK就可以让它正常地在ART 里面运行)、

ƒbase.apk启动包。【其中apk启动包是不允许重命名或删除的,因为app运行时其实就是链接到这个启动包,然后才能继续启动操作。这个启动包用beyond对比后可以发现,与原安装包没有任何不同,所以就相当与apk的原版安装包】。

Data/data目录下一般是存储lib文件夹(保护so库文件)以及其他数据文件、缓存等。只需要知道这里的lib实际上与data/app目录下的lib目录中内容是一样的。  

游戏在运行的时候,一般都会载入dada/data目录中的lib与data/app中的lib,通常来说只需要修改data/data中的lib文件夹中的so文件即可达到成功修改的效果。当然也有一小部分游戏根本不读取data/data目录下的lib文件夹,待会会讲到。

0x2.Unity3D中的资源路径

Application.dataPath

此属性用于返回程序的数据文件所在文件夹的路径。例如在Editor中就是Assets了。

Application.streamingAssetsPath

此属性用于返回流数据的缓存目录,返回路径为相对路径,适合设置一些外部数据文件的路径。

Application.persistentDataPath

此属性用于返回一个持久化数据存储目录的路径,可以在此路径下存储一些持久化的数据文件。

Application.temporaryCachePath

此属性用于返回一个临时数据的缓存目录。

 

android平台

Application.dataPath

/data/app/xxx.xxx.xxx.apk

Application.streamingAssetsPath

jar:file:///data/app/xxx.xxx.xxx.apk/!/assets

Application.persistentDataPath

/data/data/xxx.xxx.xxx/files

Application.temporaryCachePath

/data/data/xxx.xxx.xxx/cache

 

IOS平台

Application.dataPath

Application/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/xxx.app/Data

Application.streamingAssetsPath

Application/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/xxx.app/Data/Raw

Application.persistentDataPath

Application/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/Documents

Application.temporaryCachePath

Application/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/Library/Caches

0x3.C#的inline内联函数优化

虽然C#不支持inline,但是JIT支持自动inline,即将IL转成真正机器码时,会自动将某些函数进行inline展开,只是条件非常苛刻,网上提到JIT自动进行inline展开的一些选择依据:

1)函数内部有循环语句、catch语句等复杂结构,都不做inline优化。
2)函数体比较长的不做inline优化,只有比较简单的才可能inline优化。(有人说IL不足32字节才做inline),
2)编译成机器码时,inline展开的代码比函数调用更短的,一定做inline。(注:如果参数多而代码少,就符合此情况)

这里为什么要讲内联函数呢,加入如果游戏中有一个读取人物攻击力的函数,其内部代码十分简单,结果被编译为机器码的时候变为了内联函数。那么这个时候要来修改就十分麻烦了,因为你找到那个读取人物攻击力的函数是没有用的,修改了也是白修改,只能到每一处调用这个函数的地方逐行修改。

好了,说了这么多,下面从开始unity3d游戏开发的的角度逐渐逆向分析。

一、通过unity3d打包生成libil2cpp.so:

1.如何识别u3d游戏?打开解压包,如果lib文件夹下有libunity.so就证明这是一个unity3d游戏。

2.要修改Unity3d游戏,首先就要对其游戏代码存放位置有一个基本的了解。Unity3d生成游戏的游戏主逻辑一般放在三个地方:libil2cpp.so、Assembly-CSharp.dll、lua脚本。

【对于libil2cpp.so来说:我们知道,unity3d最大的一个特点是一次制作,多平台部署,而这一核心功能是靠Mono实现的。但是在2014年年中的时候,Unity3D引出了IL2CPP的概念,IL2CPP,英文意思即Intermediate Language to cpp,就是把IL中间语言转换成CPP文件。】

上面所说的这三个地方通常来说是唯一的,即只会出现一种情况。这是由unity3d引擎的生成方式决定的。下面通过开发者的角度对unity3d生成游戏进行实例讲解:

新建unity3d工程,工程命名为HelloCPP!:

利用ugui创建两个text,一个为“CoinUI”显示“金币”,一个为“Coin”显示金币值,并创建脚本GameManager,绑定在MainCamera中。

脚本GameManager代码如下:

using System.Collections;

using System.Collections.Generic;

using UnityEngine.UI;

using UnityEngine;



public class GameManager : MonoBehaviour {



    private GameObject coin;

// Use this for initialization

void Start () {

        coin = GameObject.Find("Coin");

}



    private int GetCoin()

    {

        return 50;

            

    }

    public void ChangeCoin()

    {

        float v = GetCoin();

        coin.GetComponent().text = v.ToString();

    }

}

//将ChangeCoin()方法与按钮事件绑定。那么当点击按钮的时候就会更新一次ui。

代码中的GetCoin方法放回一个50的数值,当游戏运行起来的时候,脚本会将ui界面中Coin的值改为50,如下:

好了,游戏逻辑已经写完了,保存场景,直接打包,点击主菜单file>BuildSetting进入打包界面,选择转化为android平台,并点击playersetting进入配置界面:

这里我把PackageName设置为com.hellocpp。

然后页面下拉,找到scriptingbackend:

这里的scriptingBackend就是设置生成游戏的游戏逻辑存放方式,如果选择默认的Mono2x的话,会在反编译后的apk的assets\bin\Data\Managed目录下找到Assembly-CSharp.dll文件,也就是大多数unity游戏逻辑存放的位置,这种情况下,lib文件夹下是没有libil2cpp.so文件的。如果是选择IL2CPP的话,会在lib文件夹下生成libil2cpp.so文件,并在assets\bin\Data\Managed\Metadata目录下生成global-metadata.dat配置文件。

对于生成Assembly-CSharp.dll文件的情况来说,用reflector很容易修改,这里略过,直接讲解生成libil2cpp.so文件的情况。把生成的apk直接拖入ide中反编译,进入根目录后,进入lib文件夹中观察。

二、对生成的apk进行反编译分析

生成了两个文件夹,一个是armeabi-v7a,即arm架构,一个为x86,是因特尔架构。我们这里进入arm文件夹中分析。

【有时会有人问,为什么so修改后模拟器运行闪退,无法正常运行?这种情况多半是因为你只修改了arm文件夹下的so,所以只能在大部分真机中运行,因为真机多半是arm架构的,而模拟器是因特尔架构的,所以在模拟器上运行会奔溃。】

可以看到,里面一共三个文件,其中libunity与libmain是unity的内部文件,我们不需要去管它,现在只需要知道这里确实生成了libil2cpp.so即可。

好了,现在我们要分析修改这个apk,手机中运行起来我们发现其显示金币为50,我们现在来修改其数值。

按照国际惯例,先在ide中搜索字符串“金币”,发现没有结果,于是判断游戏逻辑在so中,我们再搜索loadlibrary,然后发现了里面唯一用到的原生方法是在libmain中,然后估计就有人去分析libmain.so文件了,但libmain.so里面其实是没有游戏核心逻辑的,这只是unity内部的一些库,真正的游戏核心逻辑是在libil2cpp.so中,这个库文件实在载入libmain后才被调用的。

所以,碰到unity游戏,一定要先看看lib文件夹下是否有libil2cpp.so,如果有的话,直接分析这个so就行了,从smali分析存粹是浪费体力。

打开ida,载入so,搜索coin,会发现依然找不到相关函数,推测在jni中动态加载,然而搜索jni也是找不到任何函数。在view-A面板中寻找,发现大多数函数只有一个函数尾,而函数头似乎被可以“掐”掉了。

三、对Il2CppDumper.exe工具的介绍

出现上述情况的原因与unity引擎中的MetadataCache.cpp相关,打开u3d目录,可找到MetadataCache.cpp:

意思就是在生成libil2cpp.so时,u3d同时会在目录assets\bin\Data\Managed\Metadata下生产资源文件global-metadata.dat。游戏中使用的字符串都被保存在了一个叫global-metadata.dat的资源文件里,只有在动态运行时才会将这些字符串读入内存。这使得用IDA对游戏进行静态分析变得更加困难。那么为了解决这个困难,有人造了轮子,即Il2CppDumper.exe。此可读取global-metadata.dat文件中的信息,并与libil2cpp.so结合起来。

 

相关源码可看国外大神的分析:还原使用IL2CPP编译的unity游戏的symbol(一)

好了,如果你觉得这个看起来过于麻烦的话,可以直接略过,只要学会使用其工具化下来的exe就行了。

这里为了方便下载直接使用,我已经把exe文件生成出来了,会直接打包到百度云。

这个exe文件主要是通过对global-metadata.dat与so文件的结合自动生成相关函数与其对应在ida中的偏移地址。(相关原理其实就是分析global-metadata.dat,这里是自动帮我们省去了这个步骤)。

使用方法:

打开Il2CppDumper.exe,会弹出一个窗口,第一个选择lib2cpp.so,第二个选择global-metadata.dat,然后按下键盘键2,就会自动完成后续的操作了。

生成的文件就是这个dump.cs,我们点进去后直接搜索coin,定位到这里:

下面的数字就是偏移量,复制511f50后进入ida,按g键进入到相关地址

发现代码没有展开的话,按一下c键就可以了。

可以看到,他这里是返回了50。那么,这个时候我们就兴奋了,这里就是我们要修改的地方!讲道理把这里的0x32修改为0xFF00后,我们在游戏中点击按钮,显现的值就应该变为65280了:

用hex二进制修改器修改后,命名为libil2cpp改.so。

接下来可以直接把so替换掉原so然后打包回编译,但这种办法遇到apk有签名验证或其他乱七八糟的检验时不好操作。这里我们使用另一种部分,即先安装apk到手机,然后进去根目录下去手动把so给替换掉(手机需root)。

 

把apk与修改后的so一起扔进手机:

安装apk后,先打开来看看,点击按钮后,金币为50

好了,接下来就是替换so了。在前面的基础知识中我们讲到,apk安装后,会在data/data与data/app下分别生成自己的包文件。并且两个文件夹下都有lib,里面封装了一样的so库文件。那么我们是去替换哪一个呢?答案:两个都试试。

因为有些app只读取data/app/com.hellocpp目录下的lib文件夹信息,不读取data下的文件夹信息,比如这个apk。你会发现你直接把data/data下的com.hellocpp包给删掉也是完全可以运行的,但是如果你删了app目录下的com.hellocpp/lib,立刻无法运行。

我们把原so重命名为libil2cpp.so原,然后把改后的so命名为libil2cpp.so

大功告成,我们重新打开游戏,然后会发现。

没有任何变化(心凉)

正常情况这样修改后就应该会成功了的,但是这里为什么依然没有任何变化呢。

这里又涉及到前面说的基础知识,当这种情况发生的时候,很可能就是函数内联了。

你修改函数本体是没有任何效果的,因为这个函数被调用它的函数内置了。你必须找到所有调用这个函数的地方,去找到相关点修改。这个就需要去看汇编代码了。

我们也可以动态调试的时候在getcoin()方法处下一个断点,然后ida动态调试,会发现按钮按下时确实没有断下来(限于篇幅请读者自行尝试)。或者我们直接把那个函数本体给nop掉,会发现程序依旧正常运行,这都说明了函数确实内联了。

 

内联了的函数很难分析,我遇到了就只能跑路,这里只是点出其位置,再深入的分析就要去好好读代码了,不多分析(如果有大神会的话麻烦评论区指点指点)

 

这里我直接找到这个地方,改为mov r0,0

再次替换后运行结果确实变为0了:

实例二

好了,分析完上面这个核心处存在内联函数的apk,我们下面来一个最常见的apk修改实例。

仍然是上面这个apk的功能,但不同的是为了防止其编译的时候又被当成内联函数编译了,我在方法GetCoin()内增加了一个循环和几个debug,确保其不被当作内联。其他功能不变。依旧是在GetCoin()中返回50,然后在ChangeCoin()修改ui界面的数值。

生成apk后直接扔进ide中反编译,然后把global-metadata.dat与libil2cpp.so拿出来,用Il2CppDumper.exe把函数名生成出来:

打开dump.cs,搜索GetCoin()

函数位置在偏移511d48上。

因为方法是返回一个int值的数值,我们直接让其返回0xff00,也就是65280.

用hex二进制文件修改后把文件命名【libil2cpp改.so】。与apk一起扔到手机中。

Apk安装完成后,进入data/app中的包com.HellobanInline-1的lib/arm中,把【libil2cpp改.so】复制进来,重命名如下:

好了,大功告成,这个时候充满期待的打开apk吧。点击按钮后数值已经由50变为了65280!

效果图:

市面上绝大部分游戏都是直接生成c#方法名后到ida中直接修改就生效了,像实例一的比较少见,但有助与深入理解。

一般生成方法名后,就看修改经验或游戏开发经验了,比较火的u3d游戏有很多,比如崩坏3的修改,你可以搜索方法名“GetBaseAttack”,修改为一个超大值,那么你人物就一击十几亿,防御十几亿,生命十几亿了。对于崩二的话,其加了爱加密的壳,并且似乎有检验so是否被篡改,若有高人能跳过检测希望能告诉我一下,十分感谢!然后再其他的游戏修改也都是这套路,多多熟悉就会了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/506573.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

算法系列--递归,回溯,剪枝的综合应用(2)

💕"对相爱的人来说,对方的心意,才是最好的房子。"💕 作者:Lvzi 文章主要内容:算法系列–递归,回溯,剪枝的综合应用(2) 大家好,今天为大家带来的是算法系列--递归,回溯,剪枝的综合应用(2) 一.括号…

揭秘阿里面试必问:Tomcat类加载机制解析

各位小米的小伙伴们,大家好呀!今天小米要和大家聊聊一个很有趣的话题——阿里巴巴面试题:Tomcat的类加载机制。作为一个技术爱好者,小米深知技术分享的重要性,希望通过这篇文章与大家一起深入了解Tomcat的类加载机制,加深对Java Web开发的理解,也希望能够帮助到正在准备…

五款常用在线JavaScript加密混淆工具详解:jscrambler、JShaman、jsfack、ipaguard和jjencode

摘要 本篇技术博客将介绍五款常用且好用的在线JavaScript加密混淆工具,包括 jscrambler、JShaman、jsfack、freejsobfuscator 和 jjencode。通过对这些工具的功能及使用方法进行详细解析,帮助开发人员更好地保护和加密其 JavaScript 代码,提…

希亦、洁盟、大宇超声波清洗机好用吗?比拼谁是性价比之王

在追求高效生活品质的今天,超声波清洗机以其独特的清洁技术和便捷的操作方式,成为了家用和商用清洁领域的新宠。尤其对于眼镜用户而言,一台高效的超声波清洗机不仅能够轻松去除镜片上的污渍和细菌,更能保护镜片不受损伤&#xff0…

一款完全免费无广告的浏览器插件

界面上的图标都支持拖拽移动位置 一、官网 官方网站 www.brtab.top 二、功能 精美的小组件 天气组件:可以查看不同城市的当前以及未来7天的天气变化,并了解当前的所有天气指数 日历组件:可以显示当前的日期,包含农历日期&…

不可不知的,数字孪生在智慧城市中的八大应用。

数字孪生是一种将物理世界和数字世界相结合的技术,其在新型智慧城市建设中有着广泛的应用,主要包括以下几个方面: 城市规划和设计: 数字孪生技术可以将城市的三维数据模型与实际场景相结合,帮助城市规划师和设计师更…

ROS2从入门到精通1-2:详解ROS2服务通信机制与自定义服务

目录 0 专栏介绍1 服务通信模型2 服务模型实现(C)3 服务模型实现(Python)4 自定义服务5 话题、服务通信的异同 0 专栏介绍 本专栏旨在通过对ROS2的系统学习,掌握ROS2底层基本分布式原理,并具有机器人建模和应用ROS2进行实际项目的开发和调试的工程能力。…

Linux(CentOS7)配置系统服务以及开机自启动

目录 前言 两种方式 /etc/systemd/system/ 进入 /etc/systemd/system/ 文件夹 创建 nginx.service 文件 重新加载 systemd 配置文件 ​编辑 配置开机自启 /etc/init.d/ 进入 /etc/init.d/ 文件夹 创建 mysql 文件 编写脚本内容 添加/删除系统服务 配置开机自启 …

【官方推荐】华清远见Hi3861鸿蒙开发板助力全国大学生嵌入式芯片与系统设计竞赛(海思赛道)

为提高全国高校学生在嵌入式芯片及系统设计领域和可编程逻辑器件应用领域的自主创新设计与工程实践能力,培养具有创新思维、具备解决复杂工程问题能力且拥有团队合作精神的优秀人才,全国大学生嵌入式芯片与系统设计竞赛组织委员会举办第七届(…

唐山一日游归来

这是学习笔记的第 2481篇文章 春天了,开始了躁动。去哪里玩呢?发现大模型是个很不错的选择,我哥在豆包上发了需求,然后自动生成了如下的旅行安排,说实话,这安排还是很细致的,可以把原本手工搜索…

如何在电脑上录屏?简单几步轻松搞定

随着信息技术的快速发展,电脑录屏已经成为一项必备技能。无论是录制游戏精彩时刻、制作教程、还是保存线上会议记录,录屏都可以帮助你更高效地完成任务。可是如何在电脑上录屏呢?本文将介绍两种在电脑上录屏的方法,这两种方法各有…

Redis超好用可视化工具--RedisInsight工具安装

RedisInsight 保姆级安装 RedisInsight 是Redis官方出品的可视化redis管理工具,具有很强大的功能。接下来,让我们一起去完成这款炫酷工具的安装 1. RedisInsight 下载 RedisInsight 官方下载地址,https://redis.io/docs/connect/insight/ …

Notepad++:格式化json字符串(带转义)

目录 一、效果呈现 二、去除json字符串转义 三、格式化json字符串 一、效果呈现 格式化前 带字符串转义,带unicode编码字符 格式化后 二、去除json字符串转义 方法:采用Notepad的普通替换 第一:\"替换为" 第二:\\…

大数据-TXT文本重复行计数工具

支持系统类型:Windows 64位系统 Linux 64位系统 苹果64位系统 硬盘要求:固态硬盘(有效剩余磁盘空间大小最低3倍于大数据文件的大小) 内存要求:最低8G(例如只有几百G数据) 如果处理TB级大数据文…

调用第三方服务组件改造+Jmeter5.x性能压测实践

调用第三方服务组件改造Jmeter5.x性能压测实践

【opencv】教程代码 —ShapeDescriptors

检测和显示图像的轮廓 在图像中搜索并显示轮廓边缘多边形、轮廓矩形和包围圆 获取包含检测到的轮廓的椭圆和旋转的矩形 图像轮廓检测和轮廓凸包 计算图像中的轮廓的矩(包括面积、重心等)并进行显示 创建和绘制一个多边形图像然后计算并显示图像上每个点到…

浮点数(小数)在计算机中如何用二进制存储?

【版权声明】未经博主同意,谢绝转载!(请尊重原创,博主保留追究权) https://blog.csdn.net/m0_69908381/article/details/137182814 出自【进步*于辰的博客】 注:为了阐述更加严谨,本篇文章中将使…

c语言例题,计算字符串长度,递归思想

c语言中,计算字符串长度算是一个比较经典的题了,而今天我们运用两种不同的求解方法来写出不同的程序来实现计算字符串的功能。 主函数 先看到主函数,主函数中设置了一串7个字符的字符串,而后面接下来定义了两个变量len1和len2&am…

【键值皆有序map 线段树 数学 】100240. 最小化曼哈顿距离

本文涉及知识点 键值皆有序map 线段树 数学 LeetCode100240. 最小化曼哈顿距离 给你一个下标从 0 开始的数组 points ,它表示二维平面上一些点的整数坐标,其中 points[i] [xi, yi] 。 两点之间的距离定义为它们的曼哈顿距离。 请你恰好移除一个点&am…

【蓝桥杯第十三届省赛B】(部分详解)

九进制转十进制 #include <iostream> #include<math.h> using namespace std; int main() {cout << 2*pow(9,3)0*pow(9,2)2*pow(9,1)2*pow(9,0) << endl;return 0; }顺子日期 #include <iostream> using namespace std; int main() {// 请在此…