-
-
[原创]一次完整的 Unity Mono 安卓游戏逆向:Frida Hook 绕过碰撞死亡判定
-
发表于: 6小时前
-
Android安卓游戏Unity Mono 游戏逆向实战:从 APK 到 Hook libmono.so 绕过死亡判定
前言
最近在分析一款 极限摩托基于手机重力控制的 Unity 游戏:
- 通过手机 前后翻转控制角色
- 人物只要 发生碰撞(翻车 / 头部触地)就会立即失败
- 没有明显的数值判定,属于典型的 物理 + 碰撞触发死亡
本文完整记录了我 从 APK 分析 → 判断 Unity 架构 → Hook Mono Runtime → 精准拦截死亡函数 的全过程。
最终效果:
人物发生碰撞也不会死亡,游戏可正常继续运行。
一、实验环境
游戏截图
我使用的设备 & 工具版本
- Android 10 真机(arm64)
- Frida版本:17.5.2
- Frida Server版本:
frida-server-17.5.1-android-arm64 - Python版本:3.10.0
- 手机不方便可以使用手机模拟器
Frida Server 启动
上传到手机:
1 | adb push frida-server-17.5.1-android-arm64 /data/local/tmp/ |
1 | adb shell chmod +x /data/local/tmp/frida-server-17.5.1-android-arm64 |
启动frida-server-17.5.1-android-arm64
1 | adb shell /data/local/tmp/frida-server-17.5.1-android-arm64 |
二、从 APK 入手:判断游戏架构
1️⃣ 解包 APK
1 | apktool d trial.apk |
重点关注:
AndroidManifest.xmllib/armeabi-v7a/lib/arm64-v8aassets/
2️⃣ 查看 so 文件(关键判断点)
在 lib/arm64-v8a/ 目录下发现:
1 2 | libmono.solibu.so |
同时:
- ❌ 不存在
libil2cpp.so - ❌ 不存在
libunity.so(部分 Mono 游戏本来就没有)
✅ 结论
这是一个 Unity Mono 架构游戏(非 IL2CPP)
三、确认 C# 脚本存在
在:
1 | assets/bin/Data/Managed/ |
中可以看到:
1 2 | Assembly-CSharp.dllUnityEngine.dll |
Assembly-CSharp.dll 可以使用ILSpy工具打开,可以直接看到关键代码Bone::OnCollisionEnter,进行分析
说明:
- 游戏逻辑由 C# 编写
- 运行在 Mono VM
- 实际执行发生在 libmono.so
四、为什么选择 Hook libmono.so
❌ 不直接修改 DLL 的原因
- 需要重打包 APK
- 可能触发签名 / 完整性校验
- 不利于动态调试
✅ Hook Mono Runtime 的优势
- 不修改 APK
- 可实时观察 C# 函数调用
- 能拦截 Unity 生命周期 / 碰撞函数
五、锁定关键函数:mono_runtime_invoke
Mono 执行模型简化图
1 2 3 4 5 6 7 8 9 | Unity 物理 / 碰撞 ↓C# 脚本 (Update / OnCollisionEnter) ↓IL Code ↓mono_runtime_invoke ↓Native 执行 |
所有 C# 方法最终都会经过
mono_runtime_invoke
这意味着:
Hook 一个函数,就能观察并控制所有 C# 方法调用。
六、附加进程并 Hook
1️⃣ 查找游戏 PID
1 | adb shell ps -A | grep com.galapagossoft.trial |
输出示例:
1 | u0_a236 19480 ... com.galapagossoft.trial |
2️⃣ Frida Attach
1 | frida -U -p 19480 -l mono_base.js |
七、Hook 脚本(核心代码)
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 | console.log("[*] mono_base.js loaded");var mono = Process.findModuleByName("libmono.so");if (!mono) { console.log("libmono.so not found"); return;}var mono_method_get_name_ptr = mono.getExportByName("mono_method_get_name");var mono_runtime_invoke_ptr = mono.getExportByName("mono_runtime_invoke");var mono_method_get_class_ptr = mono.getExportByName("mono_method_get_class");var mono_class_get_name_ptr = mono.getExportByName("mono_class_get_name");var mono_method_get_name = new NativeFunction( mono_method_get_name_ptr, "pointer", ["pointer"]);var mono_method_get_class = new NativeFunction( mono_method_get_class_ptr, "pointer", ["pointer"]);var mono_class_get_name = new NativeFunction( mono_class_get_name_ptr, "pointer", ["pointer"]);var orig_mono_runtime_invoke = new NativeFunction( mono_runtime_invoke_ptr, "pointer", ["pointer", "pointer", "pointer", "pointer"]);Interceptor.replace( mono_runtime_invoke_ptr, new NativeCallback(function (method, obj, params, exc) { var klass = mono_method_get_class(method); var className = mono_class_get_name(klass).readCString(); var methodName = mono_method_get_name(method).readCString(); // 关键:拦截碰撞触发 if (className === "Bone" && methodName === "OnCollisionEnter") { console.log("[BLOCK] " + className + "::" + methodName); return ptr(0); } return orig_mono_runtime_invoke(method, obj, params, exc); }, "pointer", ["pointer", "pointer", "pointer", "pointer"])); |
八、分析过程与关键突破
1️⃣ 先打印观察调用
日志中依次出现:
1 2 3 4 | Fork::UpdateFork::OnCollisionStayFailController::OnGUIBone::OnCollisionEnter |
2️⃣ 排除错误目标
FailController::OnGUI只是 UI 显示失败画面,不是死亡原因FailController::Start失败后的初始化逻辑
3️⃣ 真正的死亡触发点
1 | Bone::OnCollisionEnter |
这正好符合游戏机制:
人物因重力翻转发生碰撞 → 立即失败
九、最终效果
成功拦截后:
- 人物发生碰撞 不再死亡
- 物理系统正常
- 游戏流程可继续
✅ 无需修改 APK ✅ 无需重打包 ✅ 精准绕过失败判定
十、总结
本文完整展示了一条 Unity Mono 游戏逆向的通用思路:
- 从 APK 判断 Unity 架构
- 确认 Mono 而非 IL2CPP
- 锁定 libmono.so
- Hook
mono_runtime_invoke - 通过 Runtime 级分析定位关键 C# 方法
- 精准拦截
OnCollisionEnter实现逻辑绕过
理解引擎执行模型,比盲目改代码更重要。
后记
这套方法同样适用于:
- Unity Mono 手游
- 碰撞 / 判定 / 失败逻辑分析
- 无源码、无符号环境下的动态逆向
后续我会继续分享更多 Unity / Mono / Frida 实战分析。
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
最后于 6小时前
被我是jet编辑
,原因:
|
|
|---|---|
