2018.05.02更新

        这段时间在翻备份的硬盘，突然发现了以前的分析项目和代码，从里面提取了之前附件的内容，现在上传给大家，真是柳暗花明又一村啊。附件包括201703版本的梦幻手游里面提取的so文件和一些加密后的资源文件（包括lua脚本），并包括了2个扑鱼APK文件，最后还打包了解密代码，供大家参考。

        附件太大，快100MB，上传不来论坛，我又放到百度网盘了......

        链接：https://pan.baidu.com/s/1DVgH0qHYPkiHBIiV2UsU7g 密码：ipt3

2018.04.09更新

附件是真的找不到了， 大家主要理解思路吧。百度网盘的附件好多朋友都下载和保存过，能不能发一份到论坛上传？感谢感谢~

2017.04.15更新

1. 在编辑过程中，5.1后半段内容（解密和反编译部分）被删除了，现在补上。

2. 在3.3里说到，“修改lua项目中的opcode后，编译生成lua.exe再替换到反编译目录下，就可以反编译”，这一句是错误的，正确是“修改lua项目中的opcode后，重新编译反编译工具luadec51项目，就可以反编译了”，已经修改。

0.前言

    主要用到的工具和环境：

     在学习lua手游过程中，本人遇到的lua文件大部分是这3种。其中lua是明文代码，直接用记事本就能打开，luac是lua编译后的字节码，文件头为0x1B 0x4C 0x75 0x61 0x51，lua虚拟机能够直接解析lua和luac脚本文件，而luaJIT是另一个lua的实现版本（不是原作者写的），JIT是指Just-In-Time（即时解析运行），luaJIT相比lua和luac更加高效，文件头是0x1B 0x4C 0x4A。

     luajit：

     一般有安全意识的游戏厂商都不会直接把lua源码脚本打包到APK中发布，所以一般对lua脚本的保护有下面3种：

     这种情况是指打包在APK中的lua代码是加密过的，程序在加载lua脚本时解密（关键函数luaL_loadbuffer ），解密后就能够获取lua源码。如果解密后获取的是luac字节码的话，也可以通过反编译得到lua源码，反编译主要用的工具有unluac和luadec51，后面会具体分析。

     因为反编译的结果并不容易查看，所以这种情况能够较好的保护lua源码。这个情况主要是先解密后反编译，反编译主要是通过luajit-decomp项目，它能够将luajit字节码反编译成伪lua代码。

     这种情况主要是修改lua虚拟机源码，再通过修改过的虚拟机将lua脚本编译成luac字节码，达到保护的目的。这种情况如果直接用上面的反编译工具是不能将luac反编译的，需要在程序中分析出相对应的opcode，然后修改lua项目的opcode的顺序并重新编译生成反编译工具，就能反编译了，后面会具体分析。     

     一般上面的情况都会交叉遇到。

     这里主要介绍4种方法，都会在第5节中用实例说明。

     这种方法需要把解密的过程全部分析出来，比较费时费力，主要是通过ida定位到luaL_loadbuffer函数，然后往上回溯，分析出解密的过程。

     这里主要通过ida动态调试so文件，然后是定位到luaL_loadbuffer地址，游戏会在启动的时候通过调用luaL_loadbuffer函数加载必要的lua脚本，通过在luaL_loadbuffer下断点 ，断下后就可以运行idc脚本将lua代码导出（程序调用一次luaL_loadbuffer加载一个lua脚本，不写idc脚本的话需要手动导N多遍.....）。

     跟4.2原理一样，就是通过hook函数luaL_loadbuffer地址，将代码保存，相比4.2的好处是有些lua脚本需要在玩游戏的过程中才加载，如果用了4.2的方法，游戏过程中 中断一次就需要手动运行一次idc脚本，而且往往每次只加载一个lua文件，如果是hook的话，就不需要那么麻烦，直接玩一遍游戏，全部lua脚本就已经保存好了。

     这里主要是opcode的顺序被修改了，需要用ida定位到虚拟机执行luac字节码的地方，然后对比原来lua虚拟机的执行过程，获取修改后的opcode顺序，最后还原lua脚本。

     好了，下面用3个例子来说明上面的情况。

     一直向上回溯（交叉引用 ），来到下图，发现解密的密钥和签名，其中xiaoxian为密钥，XXFISH为签名

    接下来直接写解密函数（在cocos2d-x项目里面写的解密函数，很多工具直接可以调用）

    解密后的文件如下：

    lua版本为5.1

    luajit版本为2.1.0

    反编译本人用到的是luajit-decomp，这里需要注意，luajit-decomp默认的lua版本为5.1，luajit版本为2.0.2，我们需要下载对应lua和luajit的版本，编译后替换luajit-decomp下的lua51.dll、luajit.exe、jit文件夹。反编译时需要注意的文件和文件夹：

    这里需要下载版本为2.1.0-beta2的luajit，并且编译生成文件后，复制LuaJIT-2.1.0-beta2\src路径下的lua51.dll、luajit.exe文件和jit文件夹覆盖到luajit-decomp目录中。luajit-decomp用的是autolt3语言，原脚本默认是只反编译当前目录下的test.lua文件，所以需要改一下decoder.au3文件的代码。修改后的代码另存为jitdecomp.au3文件，编译后为jitdecomp.exe。并且增加了data目录，目录下有3个文件夹，分别为：

     将解密后的文件放到luajit文件夹，运行 jitdecomp.exe，反编译的结果在out目录下，结果如下：

5.2 捕鱼达人4

     接着，ida加载libcocos2dlua.so文件，定位到函数luaL_loadbuffer，可以在函数中直接搜索，也可以字符串搜索"[LUA ERROR]"来定位到函数中，函数分析如下：

     所以在ARM汇编中，参数R0为lua_State指针，参数R1为脚本内容，R2为脚本大小，R3为脚本的名称，写一段IDC脚本dump数据即可：

     ida动态调试so文件网上有很多文章，这里就不详细说明了。通过idc脚本获取的部分数据如下：

5.3.梦幻西游手游

    这里需要实现Lrc4解密的相关函数，还有Lzma解压函数需要自己实现，其他几个都是cocos2d平台自带的函数，直接调用就可以了。上面的流程图实现的函数如下：

     解密函数过程如下：

     decrypt()实现代码如下：

    Lrc4结构如下:

     其他函数的具体实现请看DecryptData_Mhxy.cpp文件，这里就不贴代码了。解密后的文件如下：

     可以看出，解密后的文件为luac字节码，但是这里直接用反编译工具是不能反编译luac字节码的，因为游戏的opcode被修改过了，我们需要找到游戏opcode的顺序，然后生成一个对应opcode的luadec.exe文件才能反编译。下表为修改前后的opcode：

     lua虚拟机的相关内容就不说明了，百度很多，这里说明下如何还原opcode的顺序。首先需要定位到opmode的地方，IDA搜索字符串"LOADK"，定位到opname的地方，交叉引用到代码，找到opmode：

     off_B02CEC为opname的地址，byte_A67C00为opmode的地址，进入opmode地址查看：

     源码用了宏，计算出来的结果就是上表中opmode的结果。这里对比opmode就可以快速对比出opcode，因为opmode不相等，那么opcode也肯定不相等，到这一步，已经能还原部分opcode了，因为有一些opmode是唯一的。比如下面几个：

     接下来就需要定位到luaV_execute函数，然后对比源码来还原其他的opcode，直接IDA搜索字符串"initial value must be a number"可以定位到luaV_execute 函数，再F5一下。接着打开lua源码中的lvm.c文件，找到luaV_execute函数，就可对比还原了。lua源码和IDA F5后的代码其实差别还是有的，而且源码用了大量的宏，所以源码只是用来参考、理解lua虚拟机的解析过程，本人在还原的过程中，会再打开一个没有修改opcode的libcocos2dlua.so文件，这样对比查找就方便多了。

     最后修改lua源码 lopcodes.h中的opcode、lopcodes.c的opname和opmode，重新编译并生成luadec51 .exe（需要将lua源码中的src目录放到luadec51的lua目录下才能编译），就OK了，写个批处理文件就可以批量反编译。一个文件反编译的结果：

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课