首页
社区
课程
招聘
[原创]unity3d手游破解(三)--基于inline hook
发表于: 2018-4-25 01:46 21431

[原创]unity3d手游破解(三)--基于inline hook

2018-4-25 01:46
21431

再分享一个,目标APK--风之旅X,挺好玩的。

一、前言
有的时候unity3d的解密函数被保护起来,因此这里提供一套基于inline hook的方案来实现破解,当前这个APK的Assembly-CSharp.dll是加密的,如下图所示,而且在libmono.so的mono_image_open_from_data_with_name的函数上下文找了几圈都没找到解密函数。


二、思路
首先,APK的所有dll都是通过 libmono.so的mono_image_open_from_data_with_name的函数加载的,输入的是原始的dll,返回的时候解密后的dll,因此我们通过hook这个函数来实现dll的dump和替换,把修改过的dll替换掉原来的实现破解。

三、Hook
首先获取 libmono.so的基址,这里我们通过读maps来获取,再从IDA里面找到 mono_image_open_from_data_with_name的偏移0x196C4C,相加得到函数的地址,然后把该函数hook到我们自己的new_game_proxy函数,在new_game_proxy函数里面实现dll的dump和替换。
 


这个APK上只有ARM的so,因此我们做arm的inline hook,把目标函数的前两条指令,替换成跳转指令( ldr pc,[pc,#-4] )+跳转地址( new_game_proxy 函数),实现跳转到 new_game_proxy 函数,替换之前先把指令保存到缓存g_OrigCode_game_proxy数组。

接着再在 g_OrigCode_game_proxy中添加跳转回原函数的指令: 跳转指令(ldr pc,[pc,#-4])+跳转地址(原函数+8),最后把 g_OrigCode_game_proxy的内存设置可执行,在 new_game_proxy函数中调用 g_OrigCode_game_proxy就回到原函数继续执行了。



mono_image_open_from_data_with_name 函数的返回结构如下图所示

其中raw_data就是解密dll的内存,raw_data_len就是dll的大小,在 new_game_proxy函数中把dll dump到/data/local/tmp/目录中,如果这个目录已经存在Assembly-CSharp.dll就把该dll加载替换原来的dll。剩下的就是对dll的修改了。


四、加载so
把APK中的dex拉出来反编译,找到com.silverera.sao.YHGameActivity的smali,把加载so的代码插进去,回编译替换回去。再把上面的hookso放进APK的lib目录,重打包APK。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2019-2-2 10:47 被admin编辑 ,原因: 图片本地化
上传的附件:
收藏
免费 2
支持
分享
最新回复 (26)
雪    币: 4522
活跃值: (2146)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
学习了LZ厉害
2018-4-25 08:51
0
雪    币: 82
活跃值: (104)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
3
看着加密好像是爱加密的,就是一个查表
2018-4-25 09:39
0
雪    币: 268
活跃值: (3238)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
4
ijm这样保护多low,,用了几年的技术
2018-4-25 09:53
0
雪    币: 4519
活跃值: (5144)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
5
应该改写CLR虚拟机,另外创造一种字节码
2018-4-25 13:28
0
雪    币: 6267
活跃值: (1082)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
6
顶礼膜拜,楼主可以否介绍一下某讯的游戏呢。
2018-4-25 14:21
0
雪    币: 1696
活跃值: (2297)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
已经密切关注楼主。必须顶顶
2018-4-25 18:57
0
雪    币: 1260
活跃值: (2168)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
8
大佬搞UE4吗,出篇教程呗
2018-4-28 09:45
0
雪    币: 6818
活跃值: (153)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
2018-4-28 23:20
0
雪    币: 94
活跃值: (333)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
10
很牛
2018-4-29 16:14
0
雪    币: 1014
活跃值: (582)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
牛!
2018-4-29 19:16
0
雪    币: 102
活跃值: (2050)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
不错不错,学习了。。
2018-5-1 10:28
0
雪    币: 302
活跃值: (825)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
大佬,我找了好久,没找到解密代码,请问,能具体说一下么,再次拜谢
2018-5-2 00:26
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
厉害哥
2018-5-15 21:09
0
雪    币: 10017
活跃值: (3457)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
大佬用什么编译器编译的myhook.so,  我用r17版的ndk,编译提示"arithmetic  on  a  pointer  to  void",就是  mono_func  +=  0x190A7C;计算libmono.so基址+  mono_image_open_from_data_with_name偏移量这行报错了.
2018-5-19 15:51
0
雪    币: 10017
活跃值: (3457)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16

编译提示
2018-5-19 15:52
0
雪    币: 2694
活跃值: (80)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
17
2018-5-19 19:14
0
雪    币: 0
活跃值: (169)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
where dll decrypt?
2018-5-20 22:25
0
雪    币: 10017
活跃值: (3457)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
搞好了,这里有个错误,,得加上
result = (_MonoImage*)retValue;这行才行,搞了好久.如果编译器提示我上面说的那个错误的话,mono_func += 0x196C4C;改为mono_func = (char*)mono_func + 0x190A7C;就可以了.还有注意,我红米note4x运行这个代码失败,闪退(打印出来的hook地址和hook之前的地址相差非常远,估计是小米系统so库加载方式不一样吧),用模拟器运行没问题.
2018-5-21 19:38
0
雪    币: 4522
活跃值: (2146)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
20
楼上是用NDK  build的嘛
2018-5-21 20:44
0
雪    币: 0
活跃值: (169)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
战马 搞好了,这里有个错误,,得加上result = (_MonoImage*)retValue;这行才行,搞了好久.如果编译器提示我上面说的那个错误的话,mono_func += 0x196C4C;改 ...
thanks
2018-5-21 20:52
0
雪    币: 3549
活跃值: (941)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
22
学习
2018-5-22 10:40
0
雪    币: 0
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
学习了+1
2018-10-10 19:35
0
雪    币: 574
活跃值: (405)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
厉害厉害,学习下思路
2018-12-12 16:09
0
雪    币: 216
活跃值: (12)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
dll攻击改成返回1浮点数 游戏会闪退
2019-12-25 17:04
0
游客
登录 | 注册 方可回帖
返回
//