前言

我发现，似乎每当我因为手残玩不过游戏的时候，似乎都会遇到倒霉的事情。

上一个帖子是因为手残打不过音游，试图作弊走捷径，结果遇到一个超麻烦的dll保护方案

这一个帖子是因为手残打不过魂类游戏，同样试图作弊，结果又遇到了一个新的保护方案

游戏是新的某帕姓魂类手游，TapTap上就有卖，推荐大家玩一下，质量还是不错的，顺便支持一下国产，反正也不贵，25块钱。
PS:不是广告

接下来是正题，来说说我分析这个游戏的时候都遇到了些什么，过于啰嗦请慎入。

初见

首先当然是使用我们万能的GG修改器上去试一下了，结果发现这游戏并没有做内存保护，甚至没有检测GG，直接搜索数值改就成功了，顿时觉得索然无味。

但是怎么可以就这么简单地就结束呢？那多无聊，于是我把目标瞄准了游戏存档。

到数据目录下查看，发现了感兴趣的文件夹

一个Save文件夹，一个android文件夹。Save文件夹里面为我们的目标：存档文件，而android文件夹里面是热更新的资源，一个典型的tolua框架。

首先把lua资源拷贝出来，尝试用AssetStudio读取，发现读取失败。
这里是一个Unity3D读取资源打包资源的一个设置，它是可以设置偏移的。
这里在前面塞了一个tipsworks，这个好像是公司标识？

写个脚本，把前面的字节去掉就可读取了，直接把lua资源解压出来，尝试用文本编辑器打开：

熟悉的LJ标志，这里开发者将所有lua脚本全部编译成了luajit框架的二进制代码。

在这里感谢 NightNord 大佬开发的ljd反编译框架以及后续的各位参与维护的大佬，让luajit编译之后的二进制代码依旧可以被还原为可读代码。

ljd框架 github地址

把所有脚本用ljd框架转为可读的脚本之后，我们可以快速定位到Save相关部分，找到保存相关的代码：

这里可以看到，它将存档路径和存档相关内容传入到了Recorder.write函数里面。也就是说我们找到这个Recorder类就行了。

然而事与愿违，这玩意不存在在Lua脚本之中，估计是使用了Wrap类在C#代码中实现了这个类。

那么就回到了我们熟悉的节奏了，逆向Unity3D游戏，不就是抱住 Prefare 大佬的大腿当一个脚本小子吗（雾）

global-metadata的保护与还原

在正式开始之前，先简单地说一下global-metadata文件（下称gm文件）的用处。

il2cpp技术是将C#转为C++代码的一种技术，然而和C++代码不同，C#之间的函数调用很多时候不是直接跳转，而是需要先通过符号查找函数地址，再进入函数。

因此C#在转为C++代码时，需要保留C#中的符号信息，比如函数定义，函数名称，类名称等等。

而Il2CppDumper的作用就是将gm文件里的信息提取出来，和il2cpp文件对应起来。

直接上Il2CppDumper，结果理所当然的出错了：

从错误提示中可以看到，它没能识别出gm文件，用hex打开，发现连gm文件头的标识都没了：

正常的gm文件都是以AF 1B B1 FA字节开头的，这里没有，很明显游戏对gm文件进行了加密。

把ilbil2cpp.so文件拖入IDA，然后找到加载gm文件的函数，我们把它和原函数代码做一个对比：

可以看到，两者之间非常相似，但是存在一定的区别。

对比着分析，大概知道了gm文件的解密流程。

首先读入gm文件，并且让一个指针指向它的头部。

再读取0x110大小字节数组，进行解密：

再将之后的内容进行解压缩解密，完毕。

在使用gm文件信息的时候，一般是通过gm文件指针加上gm头部结构的偏移值来指向需要的部分。在原函数中，gm文件指针和gm文件头部实际上指向的是同一个地址，因此直接使用一个指针就行了。

而在这里，gm文件头部和gm文件分开进行了解密，存在两个不同的位置，因此在使用gm文件信息时，会出现两个指针：

[注意]看雪招聘，专注安全领域的专业人才平台！