首页
社区
课程
招聘
[原创]基于unity3d游戏的android版本逆向初探
发表于: 2016-9-1 20:27 31737

[原创]基于unity3d游戏的android版本逆向初探

2016-9-1 20:27
31737

【文章标题】: 基于unity3d游戏的android版本逆向初探
【文章作者】: dreaman
【作者邮箱】: [email]dreaman_163@163.com[/email]
【作者主页】: https://github.com/dreamanlan
【软件名称】: 匿了
【软件大小】: 好几百MB
【下载地址】: 自己搜索下载
【加壳方式】: 梆梆加密
【保护方式】: 梆梆
【编写语言】: unity3d
【使用工具】: 见后面总结
【操作平台】: android
【软件介绍】: 一款MMO游戏
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  0、背景
  最近某游戏老厂出了一款MMO手游,听说画面很好,是基于unity3d的,很想看一下都是怎样的效果,但可惜
  测试时间太短而且还要激活码,等我装好apk,进去时发现我既没有激活码,而且测试也结束了。。不过登录
  的界面看起来确实很好,所以,只好逆向一下看看。
  10年前我们在微软的dotnet平台下研究过一些安全相关的东东,10年后由于mono项目与unity3d的流行,dotnet
  技术竟然在移动平台流行起来,凭着当年断断续续的记忆与一些文档,我就这么搞了一次游戏逆向,呵呵。
  
  在移动平台,dotnet dll是没有签名的,这在一定程度上让逆向与修改更容易了。
  
  本文简要介绍一下本次逆向的过程,与游戏相关的内容就略去了。
  
  1、apk解包、重打包与签名
  使用“Android逆向助手”或ApkStudio都可以,我们使用ApkStudio解包,Android逆向助手重新打包并签名。
  
  2、梆梆加密解密
  解包后的一级目录如下:
    AndroidManifest.xml
    apktool.yml
    assets/
    build/
    lib/
    original/
    res/
    smali/
  首先用Reflector或IlSpy打开assets/bin/Data/Managed目录下的Assembly-CSharp.dll这个标准的unity3d游戏模块,
  打开失败,文件加密了。。
  打开lib/armeabi-v7a目录,可以看到依赖的so文件如下:
    libAkSoundEngine.so
    libBlueDoveMediaRender.so
    libCrasheyeNDK.so
    libDexHelper.so
    libKGAudio.so
    libmain.so
    libmono.so
    libmsc.so
    libslua.so
    libunity.so
    libuwa.so
    libweibosdkcore.so
  
  从文件名看了看,多数是功能性模块,只有libDexHelper.so比较可疑,上网搜了一下知道是梆梆的东东。网上没找到
  梆梆用于unity3d游戏的加密原理与方案等信息,只能自己看看了。
  
  这时候得用上ida pro了,我用的是6.6版本,首先看一下libmono.so,这个是mono的运行时库,对dotnet的加载及运行
  支持都在这里,直接看一下mono_image_open_from_data_with_name函数,看了一下,没有明显被修改的痕迹,又找了
  几个相关的加载相关函数,都没发现修改痕迹。。
  
  怀疑是不是根本没有修改libmono.so,unity3d的版本信息在其资源文件里比较容易查到,随便打开assets/bin/Data下
  的某个assets后缀的文件(记得用十六进制编辑器),可以在文件开头看到5.3.3p2,居然用的是一个补丁版本而不是f1
  这种正式版本,去unity3d网站下个对应版本的编辑器+android发布包,安装后找到
  Unity5.3.3p2\Editor\Data\PlaybackEngines\AndroidPlayer\Variations\mono\Release\Libs\armeabi-v7a\libmono.so
  用Beyond Compare等支持二进制比较的工具与游戏里的libmono.so对比一下,完全相同。看来梆梆是不会静态修改
  libmono.so的了,想想也是,像unity3d这种版本频繁更新的,梆梆要是每个版本都静态改一下,还是挺被动的。不过
  话说某厂的加密就是静态修改的libmono.so(其实是自己修改源码了重新编译的)。
  
  搞不清libDexHelper.so是怎么工作的,我不是专业搞逆向的,用ida pro打开看了看,没发现线索就放弃了
  (在ida pro里没找到Assembly-CSharp.dll这样的字符串,不过用十六进制编辑器在libDexHelper.so文件尾是看到有
  这个字符串的,有兴趣的同学可以研究下它的加密原理)。
  
  我换了个思路来得到解密后的dll,就是从libmono.so动手,前面已经发现梆梆没有对这个文件进行静态处理,所以我们
  想怎么处理都比较容易,看mono的源码知道在mono_image_open_from_data_with_name函数里dll文件的内容会以完整的内
  存映像出现。
  
  所以至少有几种办法得到解密后的dll:
  1)、断点后dump内存,我用的是电脑上的虚拟机,断不了。。
  2)、修改mono源码,加入dump代码再替换游戏的libmono.so,这个理论上是可行的,但为了这么点事有点费劲了
  3)、直接修改libmono.so,手动打补丁,看了下mono源码后,发现mono_image_open_from_data_with_name函数的开头有
  一段判空检查,正常情况没什么用,看了下ida pro里这段代码占用的字节数,足够打补丁的了:)
  
  我们还需要找一个能放我们补丁代码的地方,这需要一个不怎么被使用的函数,连蒙代猜的,我选择了
  mono_load_remote_field,这个函数的空间足够写很多代码了。
  
  我们要在函数开头加的代码如下:
   
    if(data_len>6000000){
      FILE* fp = fopen("/data/local/tmp/test.dll","wb");
      if(fp){
        fwrite(data,1,data_len,fp);
        fclose(fp);
      }
    }
  
  开始的字节数判断是为了只dump想解密的dll,因为这个dll个头很大,用大小就可以判断了,这样还比较省字节数:)
  我们要手动打补丁,流程大概如下:
  1)、先翻译成字节码,这里我使用ADS 1.2来编译代码片断,字节码与反汇编如下:
      $a
      .text
          0x00000000:    e92d4070    p@-.    STMFD    r13!,{r4-r6,r14}
          0x00000004:    e1a06000    .`..    MOV      r6,r0
          0x00000008:    e59f003c    <...    LDR      r0,0x4c
          0x0000000c:    e1a05001    .P..    MOV      r5,r1
          0x00000010:    e1510000    ..Q.    CMP      r1,r0
          0x00000014:    98bd8070    p...    LDMLSFD  r13!,{r4-r6,pc}
          0x00000018:    e28f0034    4...    ADD      r0,pc,#0x34 ; #0x54
          0x0000001c:    e28f102c    ,...    ADD      r1,pc,#0x2c ; #0x50
          0x00000020:    ebfffffe    ....    BL       fopen
          0x00000024:    e1b04000    .@..    MOVS     r4,r0
          0x00000028:    08bd8070    p...    LDMEQFD  r13!,{r4-r6,pc}
          0x0000002c:    e1a03004    .0..    MOV      r3,r4
          0x00000030:    e1a02005    . ..    MOV      r2,r5
          0x00000034:    e3a01001    ....    MOV      r1,#1
          0x00000038:    e1a00006    ....    MOV      r0,r6
          0x0000003c:    ebfffffe    ....    BL       fwrite
          0x00000040:    e1a00004    ....    MOV      r0,r4
          0x00000044:    e8bd4070    p@..    LDMFD    r13!,{r4-r6,r14}
          0x00000048:    eafffffe    ....    B        fclose
      $d
          0x0000004c:    005b8d80    ..[.    DCD    6000000
          0x00000050:    00006277    wb..    DCD    25207
          0x00000054:    7461642f    /dat    DCD    1952539695
          0x00000058:    6f6c2f61    a/lo    DCD    1869360993
          0x0000005c:    2f6c6163    cal/    DCD    795631971
          0x00000060:    2f706d74    tmp/    DCD    795897204
          0x00000064:    74736574    test    DCD    1953719668
          0x00000068:    6c6c642e    .dll    DCD    1819042862
          0x0000006c:    00000000    ....    DCD    0
  
  还挺好的,恰好把字符串放在代码后面了,特别适合在代码里打补丁。
  
  2)、然后再拷到目标函数里
  这里我用的Hex workshop,先在ida pro里找到函数对应的起始位置,然后把之前说的那段没什么用的代码nop掉,加一个
到mono_load_remote_field的调用,再把前面的字节码粘贴到函数mono_load_remote_field开头就可以了。
  
  3)、再对系统函数手动重定位一下。。
  因为我们用到了3个c语言库函数fopen/fwrite/fclose,为啥用这3个函数呢,因为一般的程序都应该引入了这个库,这样
  就只需要修改一下偏移就好了(实际上ADS编译出来的指令里这几个调用也是预留给后面重定位的),在ida pro里找一下
  这三个函数的导入代码(就是三个过程)的地址,然后计算一下三个调用处到目标的偏移(这里有一点没搞明白,必须用
  “目标地址 - 调用指令地址 - 8”才对,查ARM手册也没见有这需求,谁要是清楚麻烦告诉我),修改指令的后3个字节
  为偏移即可。
  
  修改后的mono_image_open_from_data_with_name
  .text:00190A94
  .text:00190A94 ; =============== S U B R O U T I N E =======================================
  .text:00190A94
  .text:00190A94 ; Attributes: bp-based frame
  .text:00190A94
  .text:00190A94                 EXPORT mono_image_open_from_data_with_name
  .text:00190A94 mono_image_open_from_data_with_name     ; CODE XREF: sub_133E34+170p
  .text:00190A94                                         ; mono_image_open_from_data_full+3Cp
  .text:00190A94
  .text:00190A94 var_24          = -0x24
  .text:00190A94 var_20          = -0x20
  .text:00190A94 n               = -0x1C
  .text:00190A94 src             = -0x18
  .text:00190A94 var_10          = -0x10
  .text:00190A94 var_C           = -0xC
  .text:00190A94 dest            = -8
  .text:00190A94 arg_0           =  4
  .text:00190A94 arg_4           =  8
  .text:00190A94
  .text:00190A94                 STMFD           SP!, {R11,LR}
  .text:00190A98                 ADD             R11, SP, #4
  .text:00190A9C                 SUB             SP, SP, #0x20
  .text:00190AA0                 STR             R0, [R11,#src]
  .text:00190AA4                 STR             R1, [R11,#n]
  .text:00190AA8                 STR             R2, [R11,#var_20]
  .text:00190AAC                 STR             R3, [R11,#var_24]
  .text:00190AB0                 LDR             R2, [SP,#0x24+src]
  .text:00190AB4                 BL              mono_load_remote_field
  .text:00190AB8                 CMP             R3, #0
  .text:00190ABC                 CMP             R3, #0
  .text:00190AC0                 CMP             R3, #0
  .text:00190AC4                 CMP             R3, #0
  .text:00190AC8                 CMP             R3, #0
  .text:00190ACC                 CMP             R3, #0
  .text:00190AD0                 CMP             R3, #0
  .text:00190AD4                 CMP             R3, #0
  .text:00190AD8                 CMP             R3, #0
  .text:00190ADC                 CMP             R3, #0
  .text:00190AE0                 CMP             R3, #0
  .text:00190AE4                 CMP             R3, #0
  ;后面是原来的代码了
  .text:00190AE8                 LDR             R3, [R11,#src]
  ...
  
  修改后的mono_load_remote_field
  .text:001F9A4C
  .text:001F9A4C ; =============== S U B R O U T I N E =======================================
  .text:001F9A4C
  .text:001F9A4C
  .text:001F9A4C                 EXPORT mono_load_remote_field
  .text:001F9A4C mono_load_remote_field                  ; CODE XREF: mono_image_open_from_data_with_name+20p
  .text:001F9A4C                 STMFD           SP!, {R4-R6,LR}
  .text:001F9A50                 MOV             R6, R0
  .text:001F9A54                 LDR             R0, =0x5B8D80
  .text:001F9A58                 MOV             R5, R1
  .text:001F9A5C                 CMP             R1, R0
  .text:001F9A60                 LDMLSFD         SP!, {R4-R6,PC}
  .text:001F9A64                 ADR             R0, aDataLocalTmpTe ; "/data/local/tmp/test.dll"
  .text:001F9A68                 ADR             R1, dword_1F9A9C ; modes
  .text:001F9A6C                 BL              fopen
  .text:001F9A70                 MOVS            R4, R0
  .text:001F9A74                 LDMEQFD         SP!, {R4-R6,PC}
  .text:001F9A78                 MOV             R3, R4  ; s
  .text:001F9A7C                 MOV             R2, R5  ; n
  .text:001F9A80                 MOV             R1, #1  ; size
  .text:001F9A84                 MOV             R0, R6  ; ptr
  .text:001F9A88                 BL              fwrite
  .text:001F9A8C                 MOV             R0, R4  ; stream
  .text:001F9A90                 LDMFD           SP!, {R4-R6,LR}
  .text:001F9A94                 B               fclose
  .text:001F9A94 ; End of function mono_load_remote_field
  .text:001F9A94 ; ---------------------------------------------------------------------------
  .text:001F9A98 dword_1F9A98    DCD 0x5B8D80            ; DATA XREF: mono_load_remote_field+8r
  .text:001F9A9C dword_1F9A9C    DCD 0x6277              ; DATA XREF: mono_load_remote_field+1Co
  .text:001F9AA0 aDataLocalTmpTe DCB "/data/local/tmp/test.dll",0
  .text:001F9AA0                                         ; DATA XREF: mono_load_remote_field+18o
  .text:001F9AB9                 DCB 0, 0, 0
  .text:001F9ABC ; ---------------------------------------------------------------------------
  ;后面是原来的代码了
  .text:001F9ABC                 MOV             R2, R3
  .text:001F9AC0                 LDR             R3, =(aObject_c - 0x1F9ACC)
  .text:001F9AC4                 ADD             R3, PC, R3 ; "object.c"
  .text:001F9AC8                 BL              sub_29D7F8
  ...
  
  现在重新打包、签名后应该已经可以得到解密的dll了。只是还不能进入游戏。。
  
  3、去除对梆梆so的依赖
  这个就是按网上说的做就可以了(对manifest的处理有点忘了具体的修改点了。。)
  1)、修改解出的包里AndroidManifest.xml,把里面对梆梆的Activity去掉。
  2)、修改解压出的smali文件,主要在smali\com\secneo\apkwrapper目录下,把加载DexHelper的代码注掉。
  
  现在再重新打包、签名后在虚拟机里安装apk后运行,可以进游戏了(因为之前已经把dll解密了,这次要把libmono.so换
  成原版unity3d的)。
  
  4、编写自己的调试模块
  呵呵,终于可以从ARM的汇编回到人类世界了。
  现在游戏的dll已经解密,并且重新打包后也可以运行了。所以我们可以试着在逻辑上打补丁了,好吧,其实我是为了研究
  一下它有没有什么新技巧。
  编程序的事情就不说了,大概就是基于DebugConsole.cs (http://wiki.unity3d.com/index.php?title=DebugConsole),
  然后添加一些我们需要的命令,比如动态加载一个Assembly,再比如利用reflection API调用函数,嗯,这在android上确
  实是可行的,对dotnet来说,这基本不是事(所以我就不写细节,要注意的就是读dll一定要先用文件API读出byte[],然
  后再Assembly.Load。另外一个是dll所在的目录必须是有权限读的,比如sdcard上的目录就比较好)
  
  5、合并调试模块到目标游戏
  我们基于DebugConsole.cs修改编译了一个自己的dll,下一步就是把这个dll合并到目标Assembly-CSharp.dll里并且修改
  Assembly-CSharp.dll里的运行时会走到的代码来调用我们的代码了。
  合并dll有微软开发好的非常牛的工具(微软研究院经常会做一些很奇怪的事情,比如Detours项目,再比如这个IlMerge工具)
  这个工具除了会合并dotnet dll文件外,其实它还是一个dotnet PE文件处理的源码库(其实找不到源码,不过用IlSpy或
  Reflector看基本上也没障碍),另外,它还可以用来重新整理我们修改过的dotnet可执行文件。
  
  6、修改目标游戏代码调用调试模块
  这一步我采取了自制工具的方式,要手动处理的话,用CFF Explore也是可以的,这里就不详说了。
  简单说一下我们实际做的事:
  1)、游戏的启动类Game,在Update里调用了TestInput
  private void Update()
  {
      try
      {
          ...
          this.TestInput();
      }
      catch (Exception exception)
      {
          Log.Exception(exception);
      }
  }
  
  private void TestInput()
  {
  }
  
  TestInput是一个空函数,这个函数不会访问任何Game实例的变量,和静态函数效果一样,我们将它的方法体替换成我们提
  供的一个函数(就是前面用IlMerge合并到Assembly-CSharp.dll里的代码),这样我们静态注入的代码就有了执行的机会:
  private void TestInput()
  {
      DebugConsoleHelper.Init(base.gameObject);
      DebugConsoleHelper.Tick();
  }
  
  修改的原理是将Game类的TestInput方法元数据里的RVA改为GamePatch即我们合并进的类的TestInput方法的RVA。
  修改后,Game.TestInput与GamePatch.TestInput方法其实是共享了同一块指令,这在dotnet PE文件里是没问题的。
  这一步用CFF Explore手动修改也比较容易,因为只是替换一下元数据。
  我因为学习的需要要多次修改dll,所以用了自己的工具执行一段脚本来自动处理(见后)。
  
  2)、游戏的PlayerController类的Update函数里,我们需要修改一下来实现移动(主要用于没有连接服务器的情况下浏览场景)
  private void Update()
  {
      if (activeController == this)
      {
          this.ProcessJoystick();
          this.m_moveElapseTime += Time.deltaTime;
          if (this.m_moveElapseTime > m_moveInterval)
          {
              DebugConsoleHelper.Move(this.m_player, this.m_moveElapseTime);
              this.m_moveElapseTime = 0f;
          }
      }
      this.ProcessSkillCD();
  }
  
  这里需要修改字节码来实现我们的代码,本质上与传统可执行文件的修改是一样,先NOP掉一段代码,然后写入我们的代码
  .method private hidebysig instance void Update() cil managed
  {
      .maxstack 8
      L_0000: call class PlayerController PlayerController::get_activeController()
      L_0005: ldarg.0
      L_0006: call bool [UnityEngine]UnityEngine.Object::op_Equality(class [UnityEngine]UnityEngine.Object, class [UnityEngine]UnityEngine.Object)
      L_000b: brfalse L_0076
      L_0010: ldarg.0
      L_0011: call instance void PlayerController::ProcessJoystick()
      L_0016: ldarg.0
      L_0017: dup
      L_0018: ldfld float32 PlayerController::m_moveElapseTime
      L_001d: call float32 [UnityEngine]UnityEngine.Time::get_deltaTime()
      L_0022: add
      L_0023: stfld float32 PlayerController::m_moveElapseTime
      L_0028: ldarg.0
      L_0029: ldfld float32 PlayerController::m_moveElapseTime
      L_002e: ldsfld float32 PlayerController::m_moveInterval
      L_0033: ble.un L_0076
  ;下面是我们修改的代码
      L_0038: ldarg.0
      L_0039: ldfld class Player PlayerController::m_player
      L_003e: ldarg.0
      L_003f: ldfld float32 PlayerController::m_moveElapseTime
      L_0044: call void DebugConsoleHelper::Move(class Player, float32)
      L_0049: nop
      L_004a: nop
      L_004b: nop
      L_004c: nop
      L_004d: nop
      L_004e: nop
      L_004f: nop
      L_0050: nop
      L_0051: nop
      L_0052: nop
      L_0053: nop
      L_0054: nop
      L_0055: nop
      L_0056: nop
      L_0057: nop
      L_0058: nop
      L_0059: nop
      L_005a: nop
      L_005b: nop
      L_005c: nop
      L_005d: nop
      L_005e: nop
      L_005f: nop
      L_0060: nop
      L_0061: nop
      L_0062: nop
      L_0063: nop
      L_0064: nop
      L_0065: nop
      L_0066: nop
      L_0067: nop
      L_0068: nop
      L_0069: nop
      L_006a: nop
  ;修改结束
      L_006b: ldarg.0
      L_006c: ldc.r4 0
      L_0071: stfld float32 PlayerController::m_moveElapseTime
      L_0076: ldarg.0
      L_0077: call instance void PlayerController::ProcessSkillCD()
      L_007c: ret
  }
  
  这一步我也是用我的自制工具自动处理的,用CFF Explore与Hex workshop手动修改也可以,但如果需要多次修改的话就
  有点烦了。
  
  7、自制工具
  前面说到的方法体替换与方法代码修改我自己做了一个小工具
  (是在10年前的DeObfuscator上修改而成:http://bbs.pediy.com/showthread.php?threadid=34127)
  
  对于方法体替换,由于多个类会共享方法体,所以这样的方法不能访问类的实例变量,也就是一般要用在静态方法上。
  方法体替换在工具里是直接支持的,添加好目标文件后,输入被替换类与替换类,点“方法实现替换”即可。
  
  这个小工具主要是通过脚本来自动处理上面的修改,脚本是基于我的另一个开源项目DSL实现的。
  本文涉及的修改使用的脚本如下:
  proc(main)
  {
          $files = getfilelist();
          begin("开始脚本处理");
          looplist($files){
                  $file=$$;
                  beginfile($file,"开始对"+$file+"进行修改。。。");
                  beginreplace($file);
                  replace($file,"Game","GamePatch");
                  endreplace($file);
                  beginmodify($file);
                  writeloadarg($file,"PlayerController","Update",0x38,0);
                  writeloadfield($file,"PlayerController","Update",0x39,"PlayerController","m_player");
                  writeloadarg($file,"PlayerController","Update",0x3e,0);
                  writeloadfield($file,"PlayerController","Update",0x3f,"PlayerController","m_moveElapseTime");
                  writecall($file,"PlayerController","Update",0x44,"DebugConsoleHelper","Move");
                  writenops($file,"PlayerController","Update",0x49,0x22);
                  endmodify($file);
                  endfile($file);
          };
          end("结束脚本处理");
  };
  
  这个小工具我已经开源了,欢迎使用:https://github.com/dreamanlan/DotnetPatch
  考虑到伟大的墙,我在看雪也放一个目前的版本。  
  
--------------------------------------------------------------------------------
【经验总结】
  所用工具列表:
  1、ApkStudio
  2、Android逆向助手
  3、Reflector 8
  4、ida pro 6.6
  5、hex workshop
  6、cff explore
  7、IlMerge
  8、ADS 2.1
  9、自制工具DotnetPatch
  
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                  2016年09月01日 20:23:13


[注意]APP应用上架合规检测服务,协助应用顺利上架!

上传的附件:
收藏
免费 3
支持
分享
最新回复 (35)
雪    币: 2959
活跃值: (4019)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
很不错的说
2016-9-2 08:28
0
雪    币: 39
活跃值: (163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mak下,顶一下
2016-9-2 09:32
0
雪    币: 71
活跃值: (930)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
make
2016-9-2 09:45
0
雪    币: 144
活跃值: (188)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
感觉学习到了很多东西
2016-9-2 11:35
0
雪    币: 30
活跃值: (915)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
nice, 梆梆 加密 这么脆弱? 不是说有 Viruallizer嘛
2016-9-2 11:59
0
雪    币: 222
活跃值: (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
好文章,学习到很多东西。
2016-9-2 14:55
0
雪    币: 191
活跃值: (195)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
8
我曹楼主犀利啊,有史以来u3d的破解最经典的一个了,比那些改il的犀利多了,佩服你打补丁的方式,我之前还一直傻傻的hook,你这种办法好多了,还有第6点,居然还可以这么玩,可惜啊搞dll方面弄得人少,没人来回复楼主啊,此贴以后必火啊,谢谢楼主的分享,写的这么认真,不啰嗦了,赶紧趁热去看学一下,谢谢啦O(∩_∩)O哈!
2016-9-2 18:44
0
雪    币: 92
活跃值: (209)
能力值: ( LV6,RANK:95 )
在线值:
发帖
回帖
粉丝
9
libmono.so可以跟改PE一样静态修改,不需要每次都编译不同版本
2016-9-2 21:03
0
雪    币: 16
活跃值: (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
很像是猴王的游戏。。。
2016-9-2 23:07
0
雪    币: 137
活跃值: (410)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
这么6的文章
2016-9-3 01:40
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
学习了~谢谢
2016-9-3 03:41
0
雪    币: 49
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
感谢楼主分享~
跳转的偏移是相对于PC的偏移,你在调用处时,当前PC值实际指向的是当前地址+8处,所以最后的实际偏移要用“目标地址 - 调用指令地址 - 8”,我是这样理解的,有错误希望指正
2016-9-3 14:56
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
楼主这是十年再磨一剑啊
2016-9-5 08:23
0
雪    币: 6
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
我也觉得好经典啊,梆梆还能这样的逆。
2016-9-5 09:20
0
雪    币: 508
活跃值: (89)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
16
感谢分享
2016-9-6 17:47
0
雪    币: 761
活跃值: (662)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
学习了~谢谢
2016-9-8 21:34
0
雪    币: 45
活跃值: (30)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
top thanks
2016-9-9 05:34
0
雪    币: 5
活跃值: (229)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
工作刚好用到了。“3、去除对梆梆so的依赖
  这个就是按网上说的做就可以了(对manifest的处理有点忘了具体的修改点了。。)
  1)、修改解出的包里AndroidManifest.xml,把里面对梆梆的Activity去掉。
  2)、修改解压出的smali文件,主要在smali\com\secneo\apkwrapper目录下,把加载DexHelper的代码注掉。”不明白。哪位大神指点小弟一下
2016-9-12 20:02
0
雪    币: 210
活跃值: (736)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
20
思路简直逆天了,omg~
2016-9-13 09:40
0
雪    币: 1316
活跃值: (512)
能力值: ( LV12,RANK:450 )
在线值:
发帖
回帖
粉丝
21
第1点我记错了,这个我后来对比了一下,我只是加了一个允许调试的标记(实际上也没有用这个)

第2点就是在目录下找到对应的文件,用文本编辑器打开:在加载的行开头加个#:
ApplicationTemplate.smali
ApplicationWrapper.smali

    .line 17
    const-string v0, "DexHelper"

-》这里加#注释掉了
    #invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V

    .line 18
    sget-object v0, Lcom/secneo/apkwrapper/Helper;->PPATH:Ljava/lang/String;
2016-9-21 11:24
0
雪    币: 44
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
楼主啊按照你的这种修改注释掉没用,改了之后apk不能运行黑屏,,在没用修改libmono.so的情况下,只是注释掉这个依赖都黑屏不能运行apk。求解
2016-9-25 13:10
0
雪    币: 2731
活跃值: (1651)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
ApkStudio  是个什么东西?
2016-9-25 18:27
0
雪    币: 31
活跃值: (44)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
24
为什么我觉得楼主这里打patch的方法不如直接hook来得方便呢,还是hook有其他的什么坑?
2016-9-28 16:25
0
雪    币: 11
活跃值: (80)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
感谢分享,,,,,
2016-9-28 18:05
0
游客
登录 | 注册 方可回帖
返回
//