在这次的“新生赛”上出了两道unity il2cpp逆向的题，没有设计游戏内容，只有一个check，单纯的考察il2cpp逆向的知识。因为考虑了是新生赛，所以check部分没有设计的很复杂，并且比赛时长接近一个月，所以目的就是让新生们通过搜索资料学习来解出这两题，并且对游戏引擎逆向有一些了解和经验。事实证明有很多新人师傅们做到了，这里也夸夸师傅们太强了哈哈。

因为看到ez unity让大家坐牢太久了，所以连夜又赶了一个简单版本的出来
这题没有对il2cpp部分做任何魔改，单纯为了压缩题目文件，所以加了个upx

本题属于游戏引擎逆向，引擎为unity，并使用il2cpp打包
如果熟悉il2cpp的话，可以知道他把C#中的类名、方法名、属性名、字符串等地址信息记录在global-metadata.dat文件中，程序启动时会按需从中读取。
这里我们可以使用Il2CppDumper来静态dump

学会检索资料和使用工具，更重要的是在用之前多阅读一下工具的文档，就不会有一些奇奇怪怪的问题了
比如有问我为什么dump后的dll里没有源码，首先在README里有说明，其次再去理解一下什么是IL to CPP
还有问我为什么找不到libil2cpp.so的，这是Windows呀，肯定不会有so嘛

出这题的时候思考了很久，单纯的加密global-metadata.dat文件直接内存中dump即可拿到解密后的文件，感觉有点过于简单，所以考虑直接修改Il2CPP的东西了。但是我尝试了直接修改libil2cpp的源码，结果就是要么编译失败，要么游戏运行直接崩了，不确定具体是什么问题
最后的方案是去分析了一下build的部分，修改了sanity，然后在Il2cppGlobalMetadataHeader中间插入了一个magic(第一张图里忘记写了，应该还有一个list.Add()的)，但貌似这样会导致最后一个成员被挤掉了，但是不影响游戏正常运行我也就没管了,有大佬会这方面的还请提提意见Orz

首先这题对global-metadata.dat的结构做了一些特殊修改，所以工具是无法直接使用的
这里有两种做法，一个是逆向修复结构(力气活)，然后 Il2cppDumper->ida脚本恢复符号信息->找到关键方法->AES+BASE64解密
理论上这样做会很耗时耗力，但是这题我没有对结构做很复杂的魔改，所以这样解也在预期解内
这里简单讲讲另一种做法，Runtime下调用 il2cpp api，原理可以自行了解一下，这里直接使用 frida-il2cpp-bridge来解决了

注入，随便输点击一下按钮，就得到密文了 pNufkEIU9dHjKXYXWiFyrthHYFEfqJAWcPM/t8/zX1w=

很轻松就拿到了key和iv key = "a216d5d34c2723f5", iv = "9f68268f755b1363"

再次祭出我们万能的厨子

这题的解题方法应该是很开放性的，这里贴一下看到的选手的一些解题方法，基本上都是预期到的解法，不过我是真没想到有人bindiff...还得是ctfer哈哈

小白的第一次出题，最后看到题目解出数量也在预期内，也算是没有失误哈哈，如果有更好的建议还请各位师傅们尽管提！

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)