前言

早在9.15的时候其实就开始尝试分析YS了，不过那个时候没啥动力，后来一次面试说可能用到，就尝试做了一下。

以前都是试着搞一下小一点的游戏，第一次对这种有一点名气的厂商下手，心里还是挺打鼓的（典型欺软怕硬）。

全程边肝游戏边逆差不多陆陆续续搞了一周吧，对于我这种菜鸡大学生来说花了不少时间。

之前搞完丢一边没管了，最近放假加拔智齿导致茶饭不思，有人提到了就又想起来了，还是记录一下分析过程，方便拾遗。

以下源自于9.15时的开服版YS，地址等相关信息和现版本不同。

正文

翻一下游戏目录，可以看出是一个登录器加U3D游戏的结构。

看到global-metadata.dat文件加UserAssembly.dll，il2cpp模式的没跑了。

试着上il2cppdumper，看看能不能行，结果理所应当地直接跑崩了。

上IDA，看看做了啥手脚。

要说il2cpp模式下的保护，最常见的应该就是在MetadataCache::InitializeMethodMetadata和MetadataCache::Initialize这两个个函数中对gm文件进行解密工作，我们可以通过比对Unity提供的源代码，就可以很快发现一些线索。

首先是载入gm文件的部分，根据字符串“global-metadata.dat”搜索定位到疑似MetadataCache::Initialize函数，找到加载的部分，发现在加载完文件之后以字节数组和文件长度为参数调用了一个未知的函数：

这种形式很明显了，加载文件之后调用的这个函数大概可以判断为解密函数了，找到这个函数指针看一下，发现它的初始化是来自于一个导出函数，这个函数初始化了三个其它函数地址：

标记一下这块区域，这三个函数地址应该是我们需要重点关注的对象了（图这里已经确定作用了做好标记了，原始文件没有信息）。

接下来去MetadataCache::InitializeMethodMetadata这个函数瞅瞅。

这里可以追踪s_GlobalMetadata和s_GlobalMetadataHeader两个指针，这里大部分操作都是围绕着这两个指针进行的。

在熟悉的kIl2CppMetadataUsageStringLiteral分支里发现了猫腻，这个分支会处理字符串相关的东西，返回Il2CppString类型的值。因此这里也常被用来加密字符串：

这里调用的GetStringLiteralFromIndex函数正好就是存在之前标记的那块区域的三个函数之一，可以确定这里也被魔改了，调用了外界的解密函数。

那么就剩下最后一个函数了，对那个函数进行交叉引用，发现之前加载gm文件的上级函数有调用过这个函数，跟进去，发现这里才是真正对应MetadataCache::Initialize函数的地方，前面那个函数应该是被摘出来用来加载gm文件的部分。

进入这个函数，对着官方的源代码找，确定了这个函数的作用：

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！