[原创]Il2Cpp恢复符号过程分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]Il2Cpp恢复符号过程分析

发表于: 2022-5-30 14:42 20014

[原创]Il2Cpp恢复符号过程分析

R1mao

2022-5-30 14:42

20014

可以通过如下方法获得Il2CppImageDefinition数组，并且进行遍历。

Il2CppGlobalMetadataHeader *header=(Il2CppGlobalMetadataHeader*)ptr;

  if(header->sanity!=0xFAB11BAF || header->stringLiteralOffset!=sizeof(Il2CppGlobalMetadataHeader))

  {

      printf("invalid file..\n");

      return 0;

  }

  int image_count=header->imagesSize/sizeof(Il2CppImageDefinition);
 
  for(int i=0;i<image_count;i++)

  {

      const Il2CppImageDefinition *image=&image_arr[i];

  }

Il2CppGlobalMetadataHeader *header=(Il2CppGlobalMetadataHeader*)ptr;

if(header->sanity!=0xFAB11BAF || header->stringLiteralOffset!=sizeof(Il2CppGlobalMetadataHeader))

{

printf("invalid file..\n");

return 0;

}

int image_count=header->imagesSize/sizeof(Il2CppImageDefinition);

for(int i=0;i<image_count;i++)

{

const Il2CppImageDefinition *image=&image_arr[i];

}

static const char* GetStringFromIndex(StringIndex index)
{

  return (const char*)(((Il2CppGlobalMetadataHeader*)ptr)->stringOffset+ptr+index);
}

static const char* GetStringFromIndex(StringIndex index)

{

return (const char*)(((Il2CppGlobalMetadataHeader*)ptr)->stringOffset+ptr+index);

}

static const Il2CppTypeDefinition* GetTypeDefinitionFromIndex(TypeDefinitionIndex index)
{

  return (const Il2CppTypeDefinition*)(ptr+((Il2CppGlobalMetadataHeader*)ptr)->typeDefinitionsOffset)+index;
}

static const Il2CppTypeDefinition* GetTypeDefinitionFromIndex(TypeDefinitionIndex index)

{

return (const Il2CppTypeDefinition*)(ptr+((Il2CppGlobalMetadataHeader*)ptr)->typeDefinitionsOffset)+index;

}

const Il2CppImageDefinition *image=&image_arr[i];

  printf("image: %s\n",GetStringFromIndex(image->nameIndex));

  for(int j=0;j<image->typeCount;j++)

  {

      const Il2CppTypeDefinition *type=GetTypeDefinitionFromIndex(image->typeStart+j);

      printf("class: %s:%s\n",GetStringFromIndex(type->namespaceIndex),GetStringFromIndex(type->nameIndex));

  }

const Il2CppImageDefinition *image=&image_arr[i];

printf("image: %s\n",GetStringFromIndex(image->nameIndex));

for(int j=0;j<image->typeCount;j++)

{

const Il2CppTypeDefinition *type=GetTypeDefinitionFromIndex(image->typeStart+j);

printf("class: %s:%s\n",GetStringFromIndex(type->namespaceIndex),GetStringFromIndex(type->nameIndex));

}

static const Il2CppMethodDefinition* GetMethodDefinitionFromIndex(MethodIndex index)
{

  return (const Il2CppMethodDefinition*)(((Il2CppGlobalMetadataHeader*)ptr)->methodsOffset+ptr)+index;
}

static const Il2CppFieldDefinition* GetFieldDefinitionFromIndex(FieldIndex index)
{

  return (const Il2CppFieldDefinition*)(ptr+((Il2CppGlobalMetadataHeader*)ptr)->fieldsOffset)+index;
}

static const Il2CppMethodDefinition* GetMethodDefinitionFromIndex(MethodIndex index)

{

return (const Il2CppMethodDefinition*)(((Il2CppGlobalMetadataHeader*)ptr)->methodsOffset+ptr)+index;

}

static const Il2CppFieldDefinition* GetFieldDefinitionFromIndex(FieldIndex index)

{

return (const Il2CppFieldDefinition*)(ptr+((Il2CppGlobalMetadataHeader*)ptr)->fieldsOffset)+index;

}

uint32_t GetMethodPointer(const Il2CppImageDefinition *image,uint32_t token)
{

  for(int i=0;i<CodeRegistration->codeGenModulesCount;i++)

  {

      const Il2CppCodeGenModule *module=CodeRegistration->codeGenModules[i];

      if(!strcmp(module->moduleName,GetStringFromIndex(image->nameIndex)))

      {

          return module->methodPointers[GetTokenRowId(token)-1];

      }

  }

  printf("invalid!\n");

  return 0;
}

uint32_t GetMethodPointer(const Il2CppImageDefinition *image,uint32_t token)

{

for(int i=0;i<CodeRegistration->codeGenModulesCount;i++)

{

const Il2CppCodeGenModule *module=CodeRegistration->codeGenModules[i];

if(!strcmp(module->moduleName,GetStringFromIndex(image->nameIndex)))

{

return module->methodPointers[GetTokenRowId(token)-1];

}

printf("invalid!\n");

return 0;

}

static TypeDefinitionIndex GetIndexForTypeDefinitionInternal(const Il2CppTypeDefinition* typeDefinition)
{

  const Il2CppTypeDefinition* typeDefinitions=(const Il2CppTypeDefinition*)(ptr+((Il2CppGlobalMetadataHeader*)ptr)->typeDefinitionsOffset);

  ptrdiff_t index=typeDefinition-typeDefinitions;

  return (TypeDefinitionIndex)index;
}

static TypeDefinitionIndex GetIndexForTypeDefinitionInternal(const Il2CppTypeDefinition* typeDefinition)

{

const Il2CppTypeDefinition* typeDefinitions=(const Il2CppTypeDefinition*)(ptr+((Il2CppGlobalMetadataHeader*)ptr)->typeDefinitionsOffset);

ptrdiff_t index=typeDefinition-typeDefinitions;

return (TypeDefinitionIndex)index;

}

uint32_t GetFieldOffset(TypeDefinitionIndex typeIndex,uint32_t index)
{

  return MetadataRegistration->fieldOffsets[typeIndex][index];    
}

uint32_t GetFieldOffset(TypeDefinitionIndex typeIndex,uint32_t index)

{

return MetadataRegistration->fieldOffsets[typeIndex][index];

}

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#调试逆向 #软件保护

上传的附件：

src.zip （6.80MB，147次下载）

收藏・43

免费・10

支持

打赏 + 80.00雪花

Editor

打赏次数 1

雪花 + 80.00

Editor

+80.00

2022/06/28

恭喜您获得“雪花”奖励，安全圈有你而精彩！

最新回复 (8)
YenKoc 雪币： 2677 活跃值： (5340) 能力值： ( LV10，RANK：177 ) 在线值：发帖 6 回帖 70 粉丝 64 关注私信	YenKoc 2 2 楼昂！ 2022-5-30 15:12 0
菜菜小J 雪币： 202 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 92 粉丝 0 关注私信	菜菜小J 3 楼 2022-6-2 00:34 0
v0id_ 雪币： 8416 活跃值： (4991) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 4 楼昂！ 2022-6-4 11:48 0
Ruinv6 雪币： 187 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	Ruinv6 5 楼 NO,附件过期了 2022-11-22 18:34 0
wx_荣仔雪币： 3250 活跃值： (2442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	wx_荣仔 6 楼谢谢了。学习下。 2023-8-4 11:14 0
秋狝雪币： 2787 活跃值： (30801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 7 楼感谢分享 2023-8-4 11:17 1
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	veryluckko 8 楼感谢分享，现在常见的il2cpp游戏一般都会想方设法加密global-metadata.dat 比如最近免费的某大型网游 2023-8-4 11:43 0
月光爱人雪币： 34 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 24 粉丝 1 关注私信	月光爱人 9 楼过期了啊，楼主请从新激活下~ 谢谢，最近分析一个il2cpp，用 il2cppDump 工具，能DUMP成功，但是就是DLL文件中，唯独缺少：“GameAssemly.dll”，思来想去始终Dump 不出来。用CE 查看mono 能看到DLL 在列表中。 2024-2-28 02:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

R1mao

发帖

回帖

150

RANK

关注

私信

他的文章

[原创] UnrealEngine4恢复符号过程分析 16499
[原创] 线性MBA杂谈 10030
[原创]STL容器逆向与实战(N1CTF2022 cppmaster wp) 11772
[原创]OLLVM控制流平坦化的改进 18476
[原创]Il2Cpp恢复符号过程分析 20015

关于我们

联系我们

企业服务

看雪公众号

最新回复 (8)
YenKoc 雪币： 2677 活跃值： (5340) 能力值： ( LV10，RANK：177 ) 在线值：发帖 6 回帖 70 粉丝 64 关注私信	YenKoc 2 2 楼昂！ 2022-5-30 15:12 0
菜菜小J 雪币： 202 活跃值： (151) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 92 粉丝 0 关注私信	菜菜小J 3 楼 2022-6-2 00:34 0
v0id_ 雪币： 8416 活跃值： (4991) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 4 楼昂！ 2022-6-4 11:48 0
Ruinv6 雪币： 187 能力值： ( LV1，RANK：0 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	Ruinv6 5 楼 NO,附件过期了 2022-11-22 18:34 0
wx_荣仔雪币： 3250 活跃值： (2442) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 27 粉丝 0 关注私信	wx_荣仔 6 楼谢谢了。学习下。 2023-8-4 11:14 0
秋狝雪币： 2787 活跃值： (30801) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 7 楼感谢分享 2023-8-4 11:17 1
veryluckko 雪币： 202 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	veryluckko 8 楼感谢分享，现在常见的il2cpp游戏一般都会想方设法加密global-metadata.dat 比如最近免费的某大型网游 2023-8-4 11:43 0
月光爱人雪币： 34 活跃值： (250) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 24 粉丝 1 关注私信	月光爱人 9 楼过期了啊，楼主请从新激活下~ 谢谢，最近分析一个il2cpp，用 il2cppDump 工具，能DUMP成功，但是就是DLL文件中，唯独缺少：“GameAssemly.dll”，思来想去始终Dump 不出来。用CE 查看mono 能看到DLL 在列表中。 2024-2-28 02:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复