前段时间想找一个能简单打发时间的小游戏，于是就想到了元气骑士，但是元气骑士的旧账号在另一个手机上，那个手机不在身边，但是我又不想重头开始玩，作为网安学生，于是有了自己逆向的想法。

首先逆向一下元气骑士的apk包，一眼看到这是一个unity开发的游戏，然后同时看到的还有libijiami的so文件，说明这是一个使用爱加密的壳，这个il2cpp也必要逆向了，必然是加了密的:

如果想要拿到未加密的libil2cpp，一个可行的方法就是去内存找，因为代码加载的时候，必然是从内存中加载出去的：

通过万能的github，我找到可以扒内存的apk，并且还能自动fix ELF：

然后通过这个方法可以扒出来libil2cpp.so，but，等俺使用il2cpp dump的时候，发现解析不出来

完蛋，发现global-metadata.dat是加密的，所以需要用点其他手段，想办法解出来，使用frida对应用先attach一下看看：

MD，炸了，说明有frida检测，还能怎么办，接着搞呗，先看看加载了哪些so库：

因为我用的frida17，所以我的脚本如下，但是如果你用的frida其他版本，需要自己更改调用api：

然后使用spawn方式运行：

打开一看，*了狗了：

腾讯的壳，爱加密的壳，还有个libmsaoaidsec.so，只能说NB

用代码开一下线程，看看到底是哪个狗东西把俺滴frida给杀了

查看线程，发现是调用了libtprt之后frida线程炸了，看来就是企鹅的锅。

腾讯的壳感觉大概率是不好搞

BUT！在我准备放弃的时候，我突然想到我手机上LSposed一直开着，说不定这个libtprt不会检查俺滴LSposed？

写个插件试试：（关于插件的编写见这个教程：fc1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7J5x3o6t1&6x3o6x3^5i4K6u0V1x3g2)9J5k6o6q4Q4x3X3g2Z5N6r3#2D9i4@1g2r3i4@1u0o6i4K6R3&6

（突然发现上了研只学会了写论文与专利，代码能力一落千丈，这就是修为散尽的感觉的吗？）

然后测试一下看看，嘿！您还真别说，注入了

很好，下一步明确了，用LSposed大概率能够绕过某讯的检测，先写个脚本试一下：

下面这个是LSposed hook native的c++函数，之后我会写一个如何使用LSposed hook native的教程，这个相对来说还有点麻烦：

然后使用adb看下日志，结果:

咋回事？怎么又被检测到了，又闪退了，不应该啊

讲道理，既然lsposed后台一直运行着，开启的时候不会被检测，但是问题为什么一写插件就会被检测到？

我有了一个大胆的想法，会不会是因为使用adb的原因？会不会是因为被检测到与电脑通信？

然后我又拔掉数据线试了一下，您猜怎么着，没闪退，说明找到问题了，如果不连接数据线到电脑的话，就不会被检测到，那么另一个问题来了，如何看到输出的日志？LSposed可以在app内看到日志，但是那是需要调用的一个java api，所以一个解决办法是在 Kotlin 里写个 LogUtil，然后使用 JNI 交互：

可以看到load成功了，说明il2cpp，能够从app前端获取到日志信息，下一步，薅内存。

这里其实我写了一个xpsoed的插件，但是一直打不开mem，就是如果打开就会出现无法读取mem的结果，但是如果使用frida进行ps，又会进行闪退，使用adb调试的时候元气骑士也会闪退。

于是我直接上杀招：Termux！Termux相当与linux中的shell，而且有了su权限之后简直就是把手机当linux来用（我直接给手机装了个docker哈哈！）

在Termux中使用

可以拿到pid

有了pid可以在maps中查询到内存中加载的文件（建议了解一下linux中maps的原理，其实就是内存映射）

通过

可以得到关于il2cpp的信息，可以看到有很多so文件，所以可以写个sh脚本把这些从内存中dump出来：

这里参考这位大佬的帖子：9e6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7I4z5o6b7@1y4e0R3%4i4K6u0V1x3g2)9J5k6o6q4Q4x3X3g2Z5N6r3#2D9i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1^5i4@1u0r3i4K6V1&6i4@1f1@1i4@1u0p5i4K6S2p5i4@1f1#2i4@1p5@1i4@1p5%4i4@1f1@1i4@1u0p5i4@1q4o6i4@1f1#2i4K6R3$3i4K6V1&6i4@1f1@1i4@1u0m8i4K6R3$3i4@1f1@1i4@1t1^5i4K6R3H3i4@1f1@1i4@1t1^5i4@1q4m8i4@1f1^5i4K6R3@1i4K6W2m8i4@1f1$3i4K6W2o6i4@1q4o6i4@1f1#2i4K6S2q4i4@1u0n7k6s2g2E0M7q4!0q4y4g2)9^5y4g2)9^5x3#2!0q4y4W2!0n7x3q4)9&6y4q4!0q4z5g2!0m8b7g2)9&6x3g2!0q4y4g2!0m8x3#2!0m8b7W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4q4!0n7z5q4)9^5c8q4!0q4z5q4!0n7c8W2)9^5y4#2!0q4y4W2)9&6b7#2)9^5x3q4!0q4y4W2)9&6y4W2!0n7x3q4!0q4y4#2)9^5z5g2)9^5z5q4!0q4y4g2)9&6x3W2)9^5b7#2!0q4y4g2!0n7z5q4)9&6y4W2!0q4y4g2!0m8c8q4)9&6x3q4!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2)9^5z5g2)9^5z5q4!0q4y4W2)9&6b7#2!0m8b7#2!0q4y4W2)9&6b7#2)9^5z5g2!0q4y4g2)9^5b7#2!0n7b7g2!0q4y4g2)9^5z5q4!0m8b7W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9^5z5g2)9^5x3q4!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4g2)9&6b7#2!0m8z5q4!0q4z5q4!0n7c8W2)9&6z5g2!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4g2!0m8y4q4!0m8y4#2!0q4y4q4!0n7c8q4!0m8b7#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4g2)9&6c8W2!0n7b7g2!0q4y4#2!0m8x3g2)9^5x3q4!0q4y4q4!0n7z5q4)9^5b7g2!0q4y4g2)9^5y4W2)9&6z5g2!0q4y4q4!0n7b7g2)9^5y4W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4z5q4)9^5y4q4)9&6b7g2!0q4y4W2)9&6b7#2!0m8b7#2!0q4y4g2)9^5c8g2!0n7b7X3c8#2L8i4m8Q4c8e0k6Q4z5f1y4Q4z5o6m8Q4c8e0k6Q4z5e0k6Q4b7U0m8Q4c8e0N6Q4z5o6W2Q4z5o6S2Q4c8e0k6Q4z5f1y4Q4b7f1y4Q4c8e0N6Q4z5f1q4Q4z5o6c8A6L8o6u0U0M7s2m8Q4c8e0N6Q4z5f1q4Q4z5o6c8K6L8#2!0q4y4W2)9&6y4W2)9^5y4#2!0q4y4q4!0n7b7W2!0n7y4W2!0q4x3#2)9^5x3q4)9^5x3R3`.`.

运行代码，可以得到一个libil2cpp的文件，但是这个文件还不能直接用，需要用soFixer去修复一下

abdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6r3z5p5I4q4c8W2c8Q4x3V1k6e0L8@1k6A6P5r3g2J5

这样就可以修复so文件，下一步是拿到global-metadata.dat文件，然后神奇的地方是，使用我的lsposed文件，可以看到global-metadata.dat已经被加载了，但是内存中却没有。

所以有可能是被加载到内存后关闭了文件，metadata在/dev/zero段中，查看内存确实存在/dev/zero中的文件

而且一共有三个，所以可以直接把这三个给dump出来：

因为这个量比较少吗，所以可以直接命令行给dump出来

其中701b536000-701dc19000就是对应你上面的地址（需要更改为实际值，我图片是后来截的，所以对不上）

我发现一共有三个/dev/zero文件，所以一共dump出来三个：

然后使用010Editor分析这三个文件：

第一个文件：

全是0，pass掉

第二个文件：

明显是java有关的，pass

第三个文件：

非常明显是unity有关的，确定是这个了，但是这个文件的头不太对，因为正常应该是 AF 1B B1 FA开头的，不过没关系，直接手动修改

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！