申请id:1024liu【申请通过】
申请id:1024liu个人邮箱:lxm1024liu@126.com 0x0 前言 我现在在上初一,是一名中学生,我虽然没有钱,但是我很想加入吾爱破解论坛,这里面有不少牛人,我可以学到很多东西。实际上,我收到了今年双十一开放注册活动的通知,但是因为那时候忙,就没有来及注册,错过真是可惜,唉。我从小学就开始学习编程,我学过vb,c语言,编写过一些简单的程序。原先我都是只写程序,我正式学习逆向等破解技术是从某网盘事件开始的。我知道我的水平很有限,离精华帖还差十万八千里,但我非常愿意能多在论坛里交流学习,所以希望H大能给我审核通过,感谢! 原创文章:王者荣耀的初步分析用途仅供学习0x1 首先,我们拿到安装包,大致了解一下它的结构。我们先把它用winrar等软件解压,然后进入 \lib\armeabi-v7a 文件夹下 ,可以看到里面有libil2cpp.so这个文件,这说明王者荣耀是一个unity3d游戏,并且它是由il2cpp形式封装的。接着,我们把刚才的两个文件提取出来,使用il2cppdumper ,先打开il2cpp,再打开\assets\bin\Data\Managed\Metadata下的global-metadata.dat 尝试分析。(Github地址) 0x2 咦?这个安装包是被保护的,所以我们想要得到它的原代码,就只能从内存中提取了。我的是小米手机,所以很容易就拿到了root权限。然后在手机上打开王者荣耀和GameGuardian,为了保险,等到王者荣耀开始下载的界面,在gg里装载,点黄圈的按钮转储,抽出王者荣耀的运行内存。 0x3 接下来,就可以提取代码了。我们先把dump出来的txt文件用vscode等编辑器打开(记事本格式会乱),查找libil2cpp.so,可以看到,找到了好几处连续的内存块,前面就是对应的地址。从最前面的地址到最后面,就是这个文件的全部范围。 0x4 我们找到对应的bin文件,这个bin文件是99f12000-b24fc000的,很长一段,而实际需要的只是从a8620000到b0bfd000。用010editor对它进行修剪,去掉前面和后面,只留下文件需要的地方。修剪完成后,文件前面应该有ELF如果出现这个,就说明修剪成功了。 0x5 这时,我们就得到了真正的代码,然后把它再次放进il2cppdumper,输入原来的起始地址,等到出来3个done,说明dump成功。github上有作者对输出文件的一点解释。这时,打开dump.cs,就可以看到里面函数的地址和一些变量。这里令我比较惊奇的是,这居然没有混淆,其实我原来以为它会混淆的,看来是我想多了。0x6 最后,把自己提取的libil2cpp.so扔进ida里,再打开ida.py,就可以跳转到函数地址进行修改了!
I D:1024liu
邮箱:lxm1024liu@126.com
申请通过,欢迎光临吾爱破解论坛,期待吾爱破解有你更加精彩,ID和密码自己通过邮件密码找回功能修改,请即时登陆并修改密码!
登陆后请在一周内在此帖报道,否则将删除ID信息。 来报到了,不好意思,前一段时间有点忙,没看到已经通过了。申请的时候发完帖不能预览,编辑的时候还好好的,不知道怎么回事就这么乱,显示了好几张没插入的图片。但是我这个帖子也给通过了,实在是要感谢H大给我这个机会。我这几天还在做这个东西,感谢H大能让我在这里交流! 另外问一下,我这篇再扩充一下,可以转到其他版吗? 1024liu 发表于 2021-1-28 10:14
另外问一下,我这篇再扩充一下,可以转到其他版吗?
你可以完善下发到版块。 Hmily 发表于 2021-1-28 12:39
你可以完善下发到版块。
我知道了,谢谢! 很奇怪,我用新版的工具,dump时会报错
$ ./Il2CppDumper.exe s.bin global-metadata.dat
Initializing metadata...
Metadata Version: 23
Initializing il2cpp file...
Detected this may be a dump file.
Input il2cpp dump address or input 0 to force continue:
aa080000
Il2Cpp Version: 23
Searching...
CodeRegistration : b159cd54
MetadataRegistration : 0
ERROR: No symbol is detected
ERROR: Can't use auto mode to process file, try manual mode.
Input CodeRegistration:
页:
[1]