上周接到这个任务的时候,脑袋有点毛毛的了,u3d自从换了il2cpp之后特别难搞,这个任务催得又紧,跟老板先打好预防针,说了下任务艰巨,不保证能完成,老板表示理解。抱着试试看的心态,下载了游戏,扔到ida分析。分析完的结果出乎意料,这款刚发布的游戏并没有采用il2cpp的编码方式,而是采用了传统的mono虚拟机,心中一块石头落了地。
[player autoplay="1"]
ida静态分析
首先当然是把二进制文件拖进ida分析一下,分析出来的结果不出意料,游戏厂商是会玩的,并不想让人轻易破解,编译的时候开了函数名混肴,完全无法从函数名入手。
想了想,搜索字符看看有什么突破口。辅助的需求是人物移动加速,当然是搜movespeed。结果并不乐观,虽然有move或speed匹配,但都不是需要的单词。打开游戏,进入猪脚界面,观察发现是有移动速度这一属性的,如图所示。
在扩展属性这个大类下面有移动速度这一属性,依经验来看,扩展属性应该是个大类,里面的每个属性都是这个类中的一个成员。通常这些成员又会有get或者set属性。
从安卓dll入手
但是函数没有符号名,应该怎么去寻找入口点呢?还是结合经验,u3d的游戏在安卓下是加载dll的,而dll可以很轻松的反编译成c#,而且通常有符号。 拿安卓的dll通过ilspy分析,搜索movespeed,很轻松的搜索到了相关的属性和方法。
挨个点开看看感觉就两个getmovespeed的方法挺可疑。
返回一个浮点数,符合速度参数的特征,sdActorInterface更像一点,英语翻译过来就是sd(盛大)角色属性,多形象。不过这个乘的0.001又是什么呢。继续翻翻,找到一个角色初始化的函数。
当然这里有移动速度的初始化,把这个函数对照到ios的程序中,可以对照出对应this.movespeed=prop.m_movespeed的是
*(_DWORD *)(a1 + 160) = *(_DWORD *)(a2 + 88);
简单打个log看一下发现打出来的数值是
"————movespeed1=5000,movespeed2=5000————————————"
联系到之前的两个Getmovespeed方法,*0.001f和return 5f这个真相大白了。
这样有两个思路,一个是初始化的时候把5000改成一个比较大的数,比如10000或者20000,getmovespeed方法乘0.001后得出10或者20仍然是比5快几倍的数字,另一个方法就是直接改getmovespeed得返回值,返回指定的数值,实现移动加速。
这里简单说下,初始化那个改完之后刚进游戏移动速度确实有变快,但是没多久就报异常游戏崩溃。原因是这个初始化不只是初始化人物的属性,这是一个父类,很多游戏里怪物或者随从之类的类是从这里继承的,初始化调的异常高之后,会导致游戏里多处继承的子类出现问题,从而导致游戏崩溃。所以选择直接改写getmovespeed的返回值的方法来修改人物的移动速度。
关键函数比对测试
单独看这两个方法存在的类名,明显sdActorInterface_getMoveSpeed更像目标函数,经过实际测试之后,也确实证实了这一点。因为修改sdNetChar_GetMovespeed的返回值并没有发生角色移动加速的现象。要修改函数返回值,首先要在ios的二进制代码中找到这个函数,通常,这一步是最累的。
和安卓的c#对照一下,是不是差不多(ios版本无函数名,函数名是为了方便我后期自己加进去的)
另一个函数的对比
0.001和5.0都在,是不是很像,如果是u3d引擎又都是使用mono虚拟机的话,安卓和ios的函数基本上是一样的,只是安卓是动态库,ios被编译成了静态库而已。当然现在ios的mono版本已经几乎绝种了,多数游戏厂商选择了il2cpp来获得更高的效率和更好的加密性。
mono和il2cpp的差距可以参考我的另一篇日志:
http://myhloli.com/about-il2cpp.html
既然找到了函数,那么我们例行的log打起来
这时候观察日志,发现不只输出了我自己角色的速度5,还有很多其他的结果混杂在里面,估计是这个函数也被多次调用了,这个获得速度的方法不仅主角在用,怪物和随从等的速度也是从此方法获得的。
构造hook函数
既然更改速度的方法已经找到,继续一鼓作气搞定这个功能吧。
这个功能实现的关键是如何只hook主角移动时调用的movespeed,我的方法是参数匹配。
根据经验,此函数的参数a1是一个地址,虽然每次打开游戏,主角的这个地址会变,但是在一次游戏进程中,每个角色的这个地址是不变的,那么就可以匹配a1,当且仅当a1等于主角地址的时候进行hook。说起来简单,但是要怎么操作呢,主角的地址又应该怎么获取呢?还是多做测试,在测试中发现每次游戏登陆成功,进入主城,操作角色移动的一瞬间,获取到得地址一定是主角的地址,而且在城里不管走多久,输出的地址一直是主角的,只有进入副本战斗时,才会七七八八输出一堆不同的速度和不同的地址,那么可以简单的写个逻辑。
定义两个全局变量,globala1和flag,当第一次调用这个函数的时候,把a1的值赋值给全局变量globala1,flag做一次自减处理。那么再调用这个函数的时候,globala1不会被重新赋值,那么就可以匹配a1和globala1是否相等,从而更改返回值是否乘以变量Speedhook更改主角的移动速度了。
编译完把dylib扔到手机里跑一下,果然像预料中一样 ,不仅可以对角色的移动速度进行buff,同时也不会崩溃了,说明hook的函数没有问题。
写在最后
本次拿一个u3d的小游戏详细讲述了一款简单的角色加速辅助的制作过程,希望能给在走ios逆向这条道路的同学一些启发。ios的游戏制作辅助,最常见的问题就是看不到函数名,找不到下手的入口,我就是明明知道肯定有一个getmovespeed函数,我知道只要更改了他的返回值就可以实现功能,但是,我就是找不到这个函数,怎么办?这时候别忘了安卓,通常安卓的dll是完全没有加密的,可以简单的通过ilspy这个小工具逆向出c#源码,这时候可以通过一些关键的特征再把函数对照ida的分析结果定位到ios上,从而实现了无符号的ios程序hook。
博主自从工作后,也是由于任务繁重,很少有时间更新博客,今天抽出来四个小时的时间,谢了这篇文章,希望能给阅读本文的你一些启发,也欢迎同行在ios逆向和游戏辅助开发上多多探讨和交流技术,感谢看到最后的您,那么,最后祝您身体健康,再见。
