-
-
[原创]内存解析Il2cpp函数地址
-
发表于: 2020-12-29 22:07
-
使用函数名拿到U3D非导出函数地址
网上也有很多类似的相关文章
比如 [unity]Real-time Dump,一套强劲的 Il2cpp Hook 框架,IL2CPP的原理
都可以去参照 去细品
这里我讲讲我用到的东西
分析的入口点从加载 global-metadata.dat 入手
这是一个非常标志性的入口,不管是在源码还是在IDA中都很容易的定位
IDA中从字符串窗口搜索该关键词也可以轻松的定位到一下代码
IDA中F5也是随意的改改名字,改改结构体就差不多一个样了
记下未初始化的段的两个地址
在源码中让后看,可以看下面就开始对此处分配出来的内存填数据了,后面我们用的时候也是无需但是未初始化的问题
这里的s_ImagesTable是一个指向一个 Il2CppImage 列表的开头,
sizeof(Il2CppImage) = 52,可以去头文件查看
这一步我们关注的只有 const char *nameNoExt 以及当前位置的指针位置由此写出
运行一下就可以拿到一下内容
这些玩意其实就是我们用Il2CppDumper拿到的哪些dll
使用命名空间,类名,方法名,参数个数拿到我们需要的函数 内存地址以及IDA中静态分析的地址
下面介绍两个主角函数(这里引入的两个函数都是libil2cpp.so的默认导出函数)
位置:D:\Program Files\Unity\Editor\Data\il2cpp\libil2cpp\il2cpp-api.cpp
由此可以写出以下代码进行主动调用
看到此处的话目的算是勉强达到了,但是还有待优化把,比如一开始的
这两个位置需要我们手动IDA去找
从上述结果中确实看到了我们可以成功的调用函数拿到函数的返回值,但是仅限于我们已知Il2CppImage*的时候有效,也就是仅仅在我们list_Images中列出的地址对应的子函数可以这么操作(使用il2cpp_class_from_name()获取对应的Il2CppClass),所以我们为了通用得考虑新的思路
两个关键结构体:Il2CppImage 和 Il2CppAssembly
从list_images中取地址
前两个地址对应的是name和nameNoExt
可以看到第三个指针指向的地址的第一个区域由指回来了,就是咋们的Il2CppImage*
上面这张图不是重点,重点在上上张图第二三个圈起来的部分,也就是
TypeDefinitionIndex typeStart;
uint32_t typeCount;
这两位,分别记录了偏移位置和方法个数,偏移位置的开始在(还是去参考IDA拿到地址,同样也是bss段的一个指针)
根据上述SeeHexA(0xcf80ec00)中可知偏移0x0,方法个数0x5c2(即1474个方法),接下来就可以写出以下demo
效果如下
上述故意方法数多加一,看到最后空命名空间和<Module>基本就稳了,就是这意思没猜错
能拓展的东西就挺多的,这就涉及最初起点了
让 Il2CppDumperTool 脱离 Il2CppDumper 以及python脚本更易用
搞一些通用的API Hook,比如
以上展示只是一个简单的分析,其实就上述这样东西还是非常不好用,上述的addr并不能找到所有的方法及其地址,后续就想着让他更加智能一点,就尝试手动去解析一下结构体,然后就得到了一下效果
首先是针对我们需要的三个参数的自动解析,主要涉及到ldr寻址
这里为了实现找到我们需要的参数,主要是通过导出函数il2cpp_init的地址往下找找到bl进去然后再找到ldr,并解析到ldr加载的值,如果出现了“mscorlib.dll”,说明我们找到的bl是正确的,然后我们同理找下层的“global-metadata.dat”即可定位到函数 bool il2cpp::vm::MetadataCache::Initialize(),找到上述位置后,我们稍微看一下就可以发现特征 IL2CPP_CALLOC 函数,老规矩通过这个bl指令去解析到函数地址,记录所有调用的该函数的当前地址放进数组,接下来就是 通过数组访问到 [1] [4] [5] 位置就是我们需要的三个初始参数,从当前位置往上解析它,第一条 mov r0,#xx 的立即数就是我们要找的,好了介绍到这里,上效果:
这种找法效果还行,能解决大部分问题,也不能解决全部问题,总有些奇葩adr之类的东西,这些就自己手动IDA查看了
然后就是挨着列出
也可以解析的更加详细(其实还可以继续深入解析出方法类型返回值类型的,暂时没有继续深入)
用新的方法来解析找函数就不存在解析不到函数的问题了(随意解析这个so里面的任意函数)
随便举个例:断点 public extern void SetActive(GameObject obj,bool value);
1.有了gameObject就可以拿到transform,以及他的名字,再遍历拿到父级名字,整个调用链你都清晰了
2.有了gameObject用以上的函数API可以随意的移动,显示隐藏 。。。。
......
typedef struct Il2CppImage{ const char* name;
const char *nameNoExt;
Il2CppAssembly* assembly;
TypeDefinitionIndex typeStart;
uint32_t typeCount;
TypeDefinitionIndex exportedTypeStart;
uint32_t exportedTypeCount;
CustomAttributeIndex customAttributeStart;
uint32_t customAttributeCount;
MethodIndex entryPointIndex;
#ifdef __cplusplus mutable
#endif Il2CppNameToTypeDefinitionIndexHashTable * nameToClassHashTable;
const Il2CppCodeGenModule* codeGenModule;
uint32_t token;
uint8_t dynamic;
} Il2CppImage;typedef struct Il2CppImage{ const char* name;
const char *nameNoExt;
Il2CppAssembly* assembly;
TypeDefinitionIndex typeStart;
uint32_t typeCount;
TypeDefinitionIndex exportedTypeStart;
uint32_t exportedTypeCount;
CustomAttributeIndex customAttributeStart;
uint32_t customAttributeCount;
MethodIndex entryPointIndex;
#ifdef __cplusplus mutable
#endif Il2CppNameToTypeDefinitionIndexHashTable * nameToClassHashTable;
const Il2CppCodeGenModule* codeGenModule;
uint32_t token;
uint8_t dynamic;
} Il2CppImage;var s_ImagesTable = soAddr.add(0x2DF9134).readPointer()
var s_ImagesCount = soAddr.add(0x2DF9130).readPointer().toInt32()
function list_Images(keywords){ LOG("-------------------------------------------------------------------------------------",LogColor.COLOR_33)
for(var t=0;t<s_ImagesCount;t++){
var tt = s_ImagesTable.add(sizeof_Il2CppImage*t)
var typeCount = tt.add(p_size*4).readPointer().toInt32()
var name = tt.add(p_size).readPointer().readCString()
if (keywords != undefined){
if (name.indexOf(keywords)!=-1){
LOG("[*]"+tt+"\t"+name,LogColor.COLOR_36)
}else{--tmp}
}else{
LOG("[*]"+tt+"\t"+name,LogColor.COLOR_36)
}
current_off = current_off.add(typeCount*p_size)
}
LOG("----------------------------",LogColor.COLOR_33)
LOG(" List "+(keywords==undefined?tmp:--tmp)+" Images",LogColor.RED)
LOG("-------------------------------------------------------------------------------------",LogColor.COLOR_33)
}var s_ImagesTable = soAddr.add(0x2DF9134).readPointer()
var s_ImagesCount = soAddr.add(0x2DF9130).readPointer().toInt32()
function list_Images(keywords){ LOG("-------------------------------------------------------------------------------------",LogColor.COLOR_33)
for(var t=0;t<s_ImagesCount;t++){
var tt = s_ImagesTable.add(sizeof_Il2CppImage*t)
var typeCount = tt.add(p_size*4).readPointer().toInt32()
var name = tt.add(p_size).readPointer().readCString()
if (keywords != undefined){
if (name.indexOf(keywords)!=-1){
LOG("[*]"+tt+"\t"+name,LogColor.COLOR_36)
}else{--tmp}
}else{
LOG("[*]"+tt+"\t"+name,LogColor.COLOR_36)
}
current_off = current_off.add(typeCount*p_size)
}
LOG("----------------------------",LogColor.COLOR_33)
LOG(" List "+(keywords==undefined?tmp:--tmp)+" Images",LogColor.RED)
LOG("-------------------------------------------------------------------------------------",LogColor.COLOR_33)
}function findAddrByName(namespaze){ for(var t=0;t<s_ImagesCount;t++){
var t_addr = s_ImagesTable.add(52*t)
var t_name = s_ImagesTable.add(52*t).add(p_size).readPointer().readCString()
if (t_name == namespaze) return ptr(t_addr)
}
return ptr(0x0)
}function showAddr(namespaze,className,functionName,argsCount){ Interceptor.detachAll()
Il2CppImage = findAddrByName(namespaze)
if (Il2CppImage == 0) {
console.warn("Il2CppImage addr not found!")
return
}
console.warn("---------------------------------------------------------")
console.error(namespaze+"."+className+"."+functionName)
console.warn("----------------------------")
console.log("Il2CppImage\t---->\t "+Il2CppImage)
//Il2CppClass* il2cpp_class_from_name(const Il2CppImage* image, const char* namespaze, const char *name)
var il2cpp_class_from_name = new NativeFunction(
Module.findExportByName(soName,"il2cpp_class_from_name"),
'pointer',['pointer','pointer','pointer'])
//const MethodInfo* il2cpp_class_get_method_from_name(Il2CppClass *klass, const char* name, int argsCount)
var il2cpp_class_get_method_from_name = new NativeFunction(
Module.findExportByName(soName,"il2cpp_class_get_method_from_name"),
'pointer',['pointer','pointer','int'])
var namespaze_t = Memory.allocUtf8String(namespaze)
var className_t = Memory.allocUtf8String(className)
var functionName_t = Memory.allocUtf8String(functionName)
var Il2CppClass = il2cpp_class_from_name(Il2CppImage,namespaze_t,className_t)
console.log("Il2CppClass\t---->\t",Il2CppClass)
var MethodInfo = il2cpp_class_get_method_from_name(Il2CppClass,functionName_t,argsCount)
console.log("MethodInfo\t---->\t",MethodInfo)
console.log("\x1b[36mmethodPointer\t---->\t "+MethodInfo.readPointer() +"\t ===> \t"+MethodInfo.readPointer().sub(soAddr)+"\x1b[0m")
console.warn("---------------------------------------------------------")
}function findAddrByName(namespaze){ for(var t=0;t<s_ImagesCount;t++){
var t_addr = s_ImagesTable.add(52*t)
var t_name = s_ImagesTable.add(52*t).add(p_size).readPointer().readCString()
if (t_name == namespaze) return ptr(t_addr)
}
return ptr(0x0)
}function showAddr(namespaze,className,functionName,argsCount){ Interceptor.detachAll()
Il2CppImage = findAddrByName(namespaze)
if (Il2CppImage == 0) {
console.warn("Il2CppImage addr not found!")
return
}
console.warn("---------------------------------------------------------")
console.error(namespaze+"."+className+"."+functionName)
console.warn("----------------------------")
console.log("Il2CppImage\t---->\t "+Il2CppImage)
//Il2CppClass* il2cpp_class_from_name(const Il2CppImage* image, const char* namespaze, const char *name)
var il2cpp_class_from_name = new NativeFunction(
Module.findExportByName(soName,"il2cpp_class_from_name"),
'pointer',['pointer','pointer','pointer'])
//const MethodInfo* il2cpp_class_get_method_from_name(Il2CppClass *klass, const char* name, int argsCount)
var il2cpp_class_get_method_from_name = new NativeFunction(
Module.findExportByName(soName,"il2cpp_class_get_method_from_name"),
'pointer',['pointer','pointer','int'])
var namespaze_t = Memory.allocUtf8String(namespaze)
var className_t = Memory.allocUtf8String(className)
var functionName_t = Memory.allocUtf8String(functionName)
var Il2CppClass = il2cpp_class_from_name(Il2CppImage,namespaze_t,className_t)
console.log("Il2CppClass\t---->\t",Il2CppClass)
var MethodInfo = il2cpp_class_get_method_from_name(Il2CppClass,functionName_t,argsCount)
console.log("MethodInfo\t---->\t",MethodInfo)
console.log("\x1b[36mmethodPointer\t---->\t "+MethodInfo.readPointer() +"\t ===> \t"+MethodInfo.readPointer().sub(soAddr)+"\x1b[0m")
console.warn("---------------------------------------------------------")
}[培训]科锐软件逆向54期预科班、正式班开始火爆招生报名啦!!!
|
|
|---|---|
|
|
|
|
|
|
|
|
np,np
|
|
|
|
|
|
|
|
|
|
|
|
da6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6t1K9h3#2W2K9$3!0q4P5q4)9J5c8X3y4^5K9#2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0c8Q4b7V1q4Q4z5o6k6Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4z5p5u0Q4x3@1j5`. |
|
|
|
|
|
|
|
|
|
|
|
这是啥问题 |
|
|
line: 1566 @ c52c986608694cf460161da111979476be135afe var MethodInfoOffset = 0x0 改成: var MethodInfoOffset = 0x1 再试试 2021.2.7f1c1 版本 MethodInfo 的结构体有变化 |
|
|
|
|
|
构造使用:il2cpp的导出函数 il2cpp_string_new d7cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6S2P5r3S2D9P5Y4W2Q4x3V1k6u0L8o6u0o6M7s2m8t1L8$3!0C8f1$3y4J5K9i4m8@1M7H3`.`. 中的 readU16() 以及 allocUStr()
最后于 2022-8-30 21:01
被唱过阡陌编辑
,原因:
|
|
|
好嘞,谢谢,在代码里找到看明白了 |
|
|
|
|
|
|
|
|
callfunction 静态方法 第一个参数就是你的第一个参数 实例方法 第一个参数是对象实例,第二个参数是你的真实第一个参数 |
|
|
|
|
|
demo 瞅瞅 ? |
|
|
|
|
|
|
|
|
大佬,有戏么 |
|
|
|
