[原创]用 Lua 简单还原 OpCode 顺序-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]用 Lua 简单还原 OpCode 顺序

发表于: 2019-4-4 14:44 32001

[原创]用 Lua 简单还原 OpCode 顺序

Amun

2019-4-4 14:44

32001

前段时间外出游荡，遇上个大兄弟说能不能跑个 Lua 脚本把 Lua 里被修改的 OpCode 顺序弄出来，最近有空自己尝试一下

首先准备材料

思路

一般情况下 *.luac 文件由 luac 程序生成，其中的数据是由 luaU_dump 函数产生，在 luac.c 文件中被调用，而 luaU_dump 的另一个入口在 lapi.c 的 lua_dump，被绑定到 Lua 的 string.dump 函数。
通过在 Lua 脚本中对需要 dump 的函数用 string.dump，可以得到对应的字节码。

分别在目标 Lua 和正常 Lua 虚拟机中运行以下这段代码，获得 OpCode 乱序后的 luac 文件和正常的 luac 文件：

拿得到的两份 luac 文件比较下，提取出差异内容，差异的部分应该是 Instruction 中的 OpCode。

从 Lua 源码中的 lvm.c 文件的 luaV_execute 函数中得知，是通过 GET_OPCODE 宏获取到 OpCode，再执行对应的操作

GET_OPCODE 宏的定义在 lopcodes.h 文件中，相关代码如下：

简单来说，指令 & 0x3F 就可以得到 OpCode 的数值

依旧在目标 Lua 中执行，让它自己输出 OpCode 顺序，完整代码资源在附件

输出结果

对于手游中使用的 xlua/ulua/tolua，操作方法类似

下面是技术总结

附件为用到的相关资源

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

最后于 2019-4-4 17:29 被Amun编辑，原因：话题修正

上传的附件：

Check_OpCode.zip （408.11kb，1252次下载）

收藏・113

免费・18

支持

打赏 + 50.00雪花

wx小白

打赏次数 1

雪花 + 50.00

wx小白

+50.00

2020/07/20

最新回复 (39) 1 2 ▶
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 2 楼这帖子不错..很强. 2019-4-4 15:49 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 3 楼 mark 2019-4-4 16:39 0
Tatsuy 雪币： 1787 活跃值： (913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 138 粉丝 3 关注私信	Tatsuy 4 楼哇这个思路…… 坚固的堡垒从内部被攻破这样子获取对照很棒哦 2019-4-4 17:38 0
Editor 雪币： 26245 活跃值： (63287) 能力值： (RANK：135 ) 在线值：发帖 1607 回帖 4397 粉丝 1772 关注私信	Editor 5 楼感谢分享～ 2019-4-4 18:12 0
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 6 楼 mark 感谢分享 2019-4-4 18:56 0
xxRea 雪币： 120 活跃值： (1597) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 1 关注私信	xxRea 7 楼哇，厉害啊，大佬 2019-4-11 11:38 0
Zkeleven 雪币： 53 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 8 楼学习了 2019-4-11 20:04 0
luoyesiqiu 雪币： 2685 活跃值： (3705) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 88 粉丝 64 关注私信	luoyesiqiu 3 9 楼前来支持师兄 2019-4-15 09:55 0
天道xxxx 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	天道xxxx 10 楼厉害但是不管用 2019-4-16 03:54 0
天道xxxx 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	天道xxxx 11 楼读取不了。。 2019-4-16 05:01 0
着迷留香雪币： 138 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	着迷留香 12 楼落叶似秋前来支持师兄朋友，读了你的文章，有些小疑问，加个QQ，可以吗？3133916 2019-4-17 10:43 0
keeslient 雪币： 29 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	keeslient 13 楼感谢分享啊 2019-4-21 15:02 0
Jmdebugger 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 0 关注私信	Jmdebugger 14 楼很棒 2019-4-23 10:17 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 15 楼感觉没意义啊.. 前提哪里来的明文lua ? 看起来这是拿明文lua和解密lua 对比计算的前提哪里来的明文lua? 最后于 2019-5-14 15:21 被guotouck编辑，原因： 2019-5-14 14:59 1
mb_nxzuumgu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_nxzuumgu 16 楼看了您的文章，有一个点，没有想通，如何获得目标lua虚拟机执行程序？比如我现在只有打包完成的so文件。期待您的回复 2019-11-8 00:03 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 17 楼 guotouck 感觉没意义啊.. 前提哪里来的明文lua ?看起来这是 拿 明文lua和解密lua 对比计算的   ... 一看就没认真读文章，人家说是对比opcode顺序，你自己写一个文件包含所有操作就行了。 2019-11-8 00:43 0
Amun 雪币： 1110 活跃值： (3269) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 93 粉丝 43 关注私信	Amun 18 楼动态库需要导出函数，才能被外部调用。在 Lua 的动态库中一般存在 `luaL_dofile` `luaL_loadbuffer` 等等，可以直接拿来用。如果是以静态库形式集成的 Lua，要自己找函数偏移。 2019-11-8 11:11 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 19 楼 Amun 动态库需要导出函数，才能被外部调用。在 Lua 的动态库中一般存在 `luaL_dofile` `luaL_loadbuffer` 等等，可以直接拿来用。如果是以静态库形式集成的 Lua，要自己找函 ... 需要满足以下条件吧. 1.找到对方的 `luaL_loadbuffer` pcall接口 2.对方支持明文lua运行,国产很多厂商都把明文lua接口删除了的只支持二进制编码格式运行然后你这demo我运行了下根本不行啊是不是上传有错误. dofile("C:\\Users\\hello\\Desktop\\Check_OpCode\\check_opcode.lua") C:\Users\hello\Desktop\Check_OpCode\check_opcode.lua:64: table index is nil stack traceback: C:\Users\hello\Desktop\Check_OpCode\check_opcode.lua:64: in main chunk [C]: in function 'dofile' stdin:1: in main chunk [C]: ? 最后于 2019-11-8 12:16 被guotouck编辑，原因： 2019-11-8 12:15 0
Amun 雪币： 1110 活跃值： (3269) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 93 粉丝 43 关注私信	Amun 20 楼删除加载明文脚本相关的代码可能会导致大量使用 `require`,`dofile`,`loadfile`,`dostring`,`loadstring`,`loadlib`,`load`相关功能的 Lua 库发生故障，一般只会隐藏导出接口。无故障 2019-11-8 15:01 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 21 楼 Amun 1. 删除加载明文脚本相关的代码可能会导致大量使用 `require`,`dofile`,`loadfile`,`dostring`,`loadstring`,`loadlib`,`load`相关功能 ... 终于代码可以跑了 win10出错..... win7可以 . ,不支持是不是系统不同编码不同反正WIN10不可以难怪我下了N份这种一键找op的..都是这坑网易的游戏都不支持明文lua加载只可以二进制编译加载最后于 2019-11-9 23:49 被guotouck编辑，原因： 2019-11-9 23:48 0
wx小白雪币： 243 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 2 关注私信	wx小白 22 楼我想问一下，如何拿到目标lua虚拟机如果指的是so文件我如何用so文件加载我的lua文件为字节码文件请大佬指点 2020-7-20 09:43 0
Amun 雪币： 1110 活跃值： (3269) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 93 粉丝 43 关注私信	Amun 23 楼 wx小白我想问一下，如何拿到目标lua虚拟机如果指的是so文件我如何用so文件加载我的lua文件为字节码文件请大佬指点最简单的方法是自己写一个 APP，调用 liblua.so 的 API 函数进行加载执行。 2020-7-20 12:15 0
wx小白雪币： 243 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 2 关注私信	wx小白 24 楼能具体点吗我对lua虚拟机不熟悉调用那些函数可以把lua源码编译成字节码文件 2020-7-20 15:10 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 25 楼通过目标虚拟机加载lua文件跟正常虚拟机编译的luac进行对比“吐出”映射表 2020-9-9 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Amun

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (39) 1 2 ▶
bambooqj 雪币： 783 活跃值： (1121) 能力值： ( LV5，RANK：78 ) 在线值：发帖 34 回帖 365 粉丝 39 关注私信	bambooqj 2 楼这帖子不错..很强. 2019-4-4 15:49 0
lhb天羽雪币： 25 活跃值： (506) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 145 粉丝 0 关注私信	lhb天羽 3 楼 mark 2019-4-4 16:39 0
Tatsuy 雪币： 1787 活跃值： (913) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 138 粉丝 3 关注私信	Tatsuy 4 楼哇这个思路…… 坚固的堡垒从内部被攻破这样子获取对照很棒哦 2019-4-4 17:38 0
Editor 雪币： 26245 活跃值： (63287) 能力值： (RANK：135 ) 在线值：发帖 1607 回帖 4397 粉丝 1772 关注私信	Editor 5 楼感谢分享～ 2019-4-4 18:12 0
芃杉雪币： 36 活跃值： (1061) 能力值： ( LV3，RANK：30 ) 在线值：发帖 1 回帖 107 粉丝 1 关注私信	芃杉 6 楼 mark 感谢分享 2019-4-4 18:56 0
xxRea 雪币： 120 活跃值： (1597) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 148 粉丝 1 关注私信	xxRea 7 楼哇，厉害啊，大佬 2019-4-11 11:38 0
Zkeleven 雪币： 53 活跃值： (106) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 124 粉丝 0 关注私信	Zkeleven 8 楼学习了 2019-4-11 20:04 0
luoyesiqiu 雪币： 2685 活跃值： (3705) 能力值： ( LV9，RANK：140 ) 在线值：发帖 7 回帖 88 粉丝 64 关注私信	luoyesiqiu 3 9 楼前来支持师兄 2019-4-15 09:55 0
天道xxxx 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	天道xxxx 10 楼厉害但是不管用 2019-4-16 03:54 0
天道xxxx 雪币： 198 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	天道xxxx 11 楼读取不了。。 2019-4-16 05:01 0
着迷留香雪币： 138 活跃值： (26) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	着迷留香 12 楼落叶似秋前来支持师兄朋友，读了你的文章，有些小疑问，加个QQ，可以吗？3133916 2019-4-17 10:43 0
keeslient 雪币： 29 活跃值： (97) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 26 粉丝 0 关注私信	keeslient 13 楼感谢分享啊 2019-4-21 15:02 0
Jmdebugger 雪币： 55 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 59 粉丝 0 关注私信	Jmdebugger 14 楼很棒 2019-4-23 10:17 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 15 楼感觉没意义啊.. 前提哪里来的明文lua ? 看起来这是拿明文lua和解密lua 对比计算的前提哪里来的明文lua? 最后于 2019-5-14 15:21 被guotouck编辑，原因： 2019-5-14 14:59 1
mb_nxzuumgu 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_nxzuumgu 16 楼看了您的文章，有一个点，没有想通，如何获得目标lua虚拟机执行程序？比如我现在只有打包完成的so文件。期待您的回复 2019-11-8 00:03 0
黑洛雪币： 6124 活跃值： (4656) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 568 粉丝 72 关注私信	黑洛 1 17 楼 guotouck 感觉没意义啊.. 前提哪里来的明文lua ?看起来这是 拿 明文lua和解密lua 对比计算的   ... 一看就没认真读文章，人家说是对比opcode顺序，你自己写一个文件包含所有操作就行了。 2019-11-8 00:43 0
Amun 雪币： 1110 活跃值： (3269) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 93 粉丝 43 关注私信	Amun 18 楼动态库需要导出函数，才能被外部调用。在 Lua 的动态库中一般存在 `luaL_dofile` `luaL_loadbuffer` 等等，可以直接拿来用。如果是以静态库形式集成的 Lua，要自己找函数偏移。 2019-11-8 11:11 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 19 楼 Amun 动态库需要导出函数，才能被外部调用。在 Lua 的动态库中一般存在 `luaL_dofile` `luaL_loadbuffer` 等等，可以直接拿来用。如果是以静态库形式集成的 Lua，要自己找函 ... 需要满足以下条件吧. 1.找到对方的 `luaL_loadbuffer` pcall接口 2.对方支持明文lua运行,国产很多厂商都把明文lua接口删除了的只支持二进制编码格式运行然后你这demo我运行了下根本不行啊是不是上传有错误. dofile("C:\\Users\\hello\\Desktop\\Check_OpCode\\check_opcode.lua") C:\Users\hello\Desktop\Check_OpCode\check_opcode.lua:64: table index is nil stack traceback: C:\Users\hello\Desktop\Check_OpCode\check_opcode.lua:64: in main chunk [C]: in function 'dofile' stdin:1: in main chunk [C]: ? 最后于 2019-11-8 12:16 被guotouck编辑，原因： 2019-11-8 12:15 0
Amun 雪币： 1110 活跃值： (3269) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 93 粉丝 43 关注私信	Amun 20 楼删除加载明文脚本相关的代码可能会导致大量使用 `require`,`dofile`,`loadfile`,`dostring`,`loadstring`,`loadlib`,`load`相关功能的 Lua 库发生故障，一般只会隐藏导出接口。无故障 2019-11-8 15:01 0
guotouck 雪币： 35 活跃值： (612) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 153 粉丝 1 关注私信	guotouck 21 楼 Amun 1. 删除加载明文脚本相关的代码可能会导致大量使用 `require`,`dofile`,`loadfile`,`dostring`,`loadstring`,`loadlib`,`load`相关功能 ... 终于代码可以跑了 win10出错..... win7可以 . ,不支持是不是系统不同编码不同反正WIN10不可以难怪我下了N份这种一键找op的..都是这坑网易的游戏都不支持明文lua加载只可以二进制编译加载最后于 2019-11-9 23:49 被guotouck编辑，原因： 2019-11-9 23:48 0
wx小白雪币： 243 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 2 关注私信	wx小白 22 楼我想问一下，如何拿到目标lua虚拟机如果指的是so文件我如何用so文件加载我的lua文件为字节码文件请大佬指点 2020-7-20 09:43 0
Amun 雪币： 1110 活跃值： (3269) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 93 粉丝 43 关注私信	Amun 23 楼 wx小白我想问一下，如何拿到目标lua虚拟机如果指的是so文件我如何用so文件加载我的lua文件为字节码文件请大佬指点最简单的方法是自己写一个 APP，调用 liblua.so 的 API 函数进行加载执行。 2020-7-20 12:15 0
wx小白雪币： 243 活跃值： (451) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 17 粉丝 2 关注私信	wx小白 24 楼能具体点吗我对lua虚拟机不熟悉调用那些函数可以把lua源码编译成字节码文件 2020-7-20 15:10 0
不知世事雪币： 3712 活跃值： (1401) 能力值： ( LV5，RANK：70 ) 在线值：发帖 3 回帖 153 粉丝 12 关注私信	不知世事 1 25 楼通过目标虚拟机加载lua文件跟正常虚拟机编译的luac进行对比“吐出”映射表 2020-9-9 15:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复