-
-
[原创]一次完整的 Unity Mono 安卓游戏逆向:Frida Hook 绕过碰撞死亡判定
-
发表于: 2025-12-28 12:52
-
最近在分析一款 极限摩托基于手机重力控制的 Unity 游戏:
本文完整记录了我 从 APK 分析 → 判断 Unity 架构 → Hook Mono Runtime → 精准拦截死亡函数 的全过程。
最终效果:
人物发生碰撞也不会死亡,游戏可正常继续运行。
上传到手机:
启动frida-server-17.5.1-android-arm64
重点关注:
在 lib/arm64-v8a/ 目录下发现:
同时:
这是一个 Unity Mono 架构游戏(非 IL2CPP)
在:
中可以看到:
说明:
所有 C# 方法最终都会经过 mono_runtime_invoke
这意味着:
Hook 一个函数,就能观察并控制所有 C# 方法调用。
输出示例:
日志中依次出现:
FailController::OnGUI
只是 UI 显示失败画面,不是死亡原因
FailController::Start
失败后的初始化逻辑
这正好符合游戏机制:
人物因重力翻转发生碰撞 → 立即失败
成功拦截后:
✅ 无需修改 APK ✅ 无需重打包 ✅ 精准绕过失败判定
本文完整展示了一条 Unity Mono 游戏逆向的通用思路:
理解引擎执行模型,比盲目改代码更重要。
这套方法同样适用于:
后续我会继续分享更多 Unity / Mono / Frida 实战分析。
adb push frida-server-17.5.1-android-arm64 /data/local/tmp/adb push frida-server-17.5.1-android-arm64 /data/local/tmp/adb shell chmod +x /data/local/tmp/frida-server-17.5.1-android-arm64adb shell chmod +x /data/local/tmp/frida-server-17.5.1-android-arm64adb shell /data/local/tmp/frida-server-17.5.1-android-arm64adb shell /data/local/tmp/frida-server-17.5.1-android-arm64apktool d trial.apkapktool d trial.apklibmono.solibu.solibmono.solibu.soassets/bin/Data/Managed/assets/bin/Data/Managed/Assembly-CSharp.dllUnityEngine.dllAssembly-CSharp.dllUnityEngine.dllUnity 物理 / 碰撞 ↓C# 脚本 (Update / OnCollisionEnter) ↓IL Code ↓mono_runtime_invoke ↓Native 执行Unity 物理 / 碰撞 ↓C# 脚本 (Update / OnCollisionEnter) ↓IL Code ↓mono_runtime_invoke ↓Native 执行adb shell ps -A | grep com.galapagossoft.trialadb shell ps -A | grep com.galapagossoft.trialu0_a236 19480 ... com.galapagossoft.trialu0_a236 19480 ... com.galapagossoft.trialfrida -U -p 19480 -l mono_base.jsfrida -U -p 19480 -l mono_base.jsconsole.log("[*] mono_base.js loaded");var mono = Process.findModuleByName("libmono.so");if (!mono) { console.log("libmono.so not found"); return;}var mono_method_get_name_ptr = mono.getExportByName("mono_method_get_name");var mono_runtime_invoke_ptr = mono.getExportByName("mono_runtime_invoke");var mono_method_get_class_ptr = mono.getExportByName("mono_method_get_class");var mono_class_get_name_ptr = mono.getExportByName("mono_class_get_name");var mono_method_get_name = new NativeFunction( mono_method_get_name_ptr, "pointer", ["pointer"]);var mono_method_get_class = new NativeFunction( mono_method_get_class_ptr, "pointer", ["pointer"]);var mono_class_get_name = new NativeFunction( mono_class_get_name_ptr, "pointer", ["pointer"]);var orig_mono_runtime_invoke = new NativeFunction( mono_runtime_invoke_ptr, "pointer", ["pointer", "pointer", "pointer", "pointer"]);Interceptor.replace( mono_runtime_invoke_ptr, new NativeCallback(function (method, obj, params, exc) { var klass = mono_method_get_class(method); var className = mono_class_get_name(klass).readCString(); var methodName = mono_method_get_name(method).readCString(); // 关键:拦截碰撞触发 if (className === "Bone" && methodName === "OnCollisionEnter") { console.log("[BLOCK] " + className + "::" + methodName); return ptr(0); } return orig_mono_runtime_invoke(method, obj, params, exc); }, "pointer", ["pointer", "pointer", "pointer", "pointer"]));console.log("[*] mono_base.js loaded");var mono = Process.findModuleByName("libmono.so");if (!mono) { console.log("libmono.so not found"); return;}var mono_method_get_name_ptr = mono.getExportByName("mono_method_get_name");var mono_runtime_invoke_ptr = mono.getExportByName("mono_runtime_invoke");var mono_method_get_class_ptr = mono.getExportByName("mono_method_get_class");var mono_class_get_name_ptr = mono.getExportByName("mono_class_get_name");var mono_method_get_name = new NativeFunction( mono_method_get_name_ptr, "pointer", ["pointer"]);var mono_method_get_class = new NativeFunction( mono_method_get_class_ptr, "pointer", ["pointer"]);var mono_class_get_name = new NativeFunction( mono_class_get_name_ptr, "pointer", ["pointer"]);var orig_mono_runtime_invoke = new NativeFunction( mono_runtime_invoke_ptr, "pointer", ["pointer", "pointer", "pointer", "pointer"]);
最后于 2025-12-28 13:11
被我是jet编辑
,原因:
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
