听鬼哥说故事之对于so文件的简单分析
本帖最后由 听鬼哥说故事 于 2014-6-20 17:27 编辑游戏名称:小黄人快跑测试类型:修改香蕉数量(类似金币)主要方式:IDA进行分析,修改so文件
此文,仅献与同我一样刚开始学习so文件的朋友共勉~今天我们来分析的是小黄人快跑,小黄人的形象从电影上面一直都蛮好的,现在都拍到了第二部了,所以我们找到这个游戏来进行分析。第一层次分析:拿到游戏,首先我们得先安装看看有什么地方是值得破解的。通过观察,我们发现游戏中主要的消费方式在香蕉和金币上面,既然这样,那么我们就先看看支付上面是否可以直接破解内购。购买截图如下图所示:
和游戏支付的方式,那么就查询相关资料,例如以前我的教程中对onPayFailed方法的修改,对onBillingFinish方法的修改,在这里可能是对移动支付进行了升级,没法直接那样操作。既然这样,那么我们就查看下Logcat,看看有无有价值的信息。
通过多次测试,我们发现在点击进入游戏支付的时候有这行输出,那么好,我们就跟进观察这行代码,这行代码后面肯定是启动支付流程的相关代码。
对于smali代码不熟悉的同学,那么直接使用jd-gui打开jar文件查看吧,如下:
搜索找到我们发现的特征字符,如下:
这样,我们直接查看x()类:
我们可以发现,doBilling方法,按照名称来想,我们也感觉就是购买的时候使用的,所以我们追寻它去。全文搜索doBilling效果不太理想,所以我们可以直接找GameInterface这个类的相关调用方式了。
好了,到了这个类,根据接口名称,我们可以猜到,这个是支付的回调函数。回调函数的意思,也就是判断是否支付了,然后返回相关数据,由其他算法来进行香蕉或金币数量的增加。Game.nativeBillingDone,看到这个native方法,我们就需要对so文件进行分析操作了,我们找到Game类,看看是调用的哪个so文件,搜索system.loadlibrary:
晓得了so的名称,那么我们就挂起ida,java可以直接调用使用的肯定都是export导出函数,所以我们在export中搜索nativeBillingDone:
然后看到这个方法:
B是调用方法的意思,这里调用addCash方法,所以我们更清楚的明白,这个就是增加金币阿,名字都这么通俗易懂了,再猜不到就对不起人家作者了。先大致浏览一下方法是干什么的:
好,大致看懂第一段代码后,我们往下翻翻:
通过图片中的文字说明,我们也简单能够明白,我们需要做的,就是先测试一下,将这个addcash(int)方法的传入参数设置为8会怎么样,是不是会增加金币。所以我们回到最初分析的时候,看这里:
我们通过查找可以知道Game.m就是一个int类型的数据,那么,我们就明白了,我们可以直接操作Game.m的数值,将其设置为8即可,同时将这行Game.nativeBillingDone调用方法放到一个我们明显能用按钮控制的位置。
阿门,感谢作者,看到这行输出,这个是我们点击支付界面的返回按钮产生的,因为支付过程中会将游戏声音暂停,所以才会产生这个情况,方便开发者观察数据。起来,我们是可以通过自己在主类Game.smali中自己寻找其他地方的,能看到log只是更加方便了我们的分析速度而已,我们手动寻找代码也是可以的。所以没有发现log,只是在时间上面花费会多一点,其他影响是不大的。好,那么我们就直接找到这行log的打印地方,在它上面调用nativeBillingDone方法:
第一行,设置v1=8,第二行,调用我自己的方法打印int数据看是否赋值成功,同学们可以忽略掉的,第三行调用natveBillingDone方法。然后回编译,打包测试.....................发现初始化金币真的为18888,然后点击商店,支付页面,按返回键:
好了,到了这里,我们的第一层次的目的就完成了。需要说明的是,IDA的使用,同学们自己查资料,ARM语法,自己查资料即可,网上有很多教程的,自己动手,掌握更深入。第二层次分析:进行完第一层次分析后,我们知道已经分析对了位置。So文件中的算法也找对了,那么,我们初始化多增加点金币多好,于是,我们继续开始分析。
关键点就在addcash方法中的这一行对R1复制的代码上面,我们打开16进制看一眼:
只有四个字节,通过这4个字节实现将18888赋值给R1,4个字节最大的数字为0xffff,要看这个函数接收的是无符号,还是有符号类型的int16,现在最大数值可能就是0xffff对应换算到十进制为65535。好,那么我们就看看怎么来修改数据吧,立即数,我们就可以直接操作修改字节了。C8 19 04 E3,这行代码原本为MOV R1, #0x49C8关于指令命令本人也不太熟悉,所以直接慢慢试着改一下
因为那个本身的立即数,通过观察发现原本的指令刚好反过来为E3 04 19 C8, 那么对照0x49C8,我直接修改为如上图所示:
发现直接修改成功了,好了,这样就更给力了,我们直接使用010Editor或者UE,操作so文件
前面蓝色部分为内存地址,我们使用ctrl + g 命令跳转地址,直接对应修改这四个字节码即可。然后重新打包,测试。。结果自己可以看到,一切正常,初始化65535。。支付页面,返回,增加金币。。我们这次测试的是香蕉的增加方式,所以还有金币的增加噢,这个就留给感兴趣的同学们自己尝试了,自己动手,多多练习~~~此文仅供交流,请勿做其他商业使用。。
排版看的舒服的,直接看文档即可,地址:
链接:http://pan.baidu.com/s/1eQILJkI 密码:7kyr
爱生活,爱鬼哥·······听鬼哥说故事
索马里的海贼 发表于 2014-6-19 16:02
一些字符串被加密 以前可以搜索的现在无法搜索了而且 smali里面的好像看不到了 只有xml文件..
你遇到的情况,是被加固了,如梆梆,爱加密这类东西加固过后,会将原本的dex处理,游戏运行调用他们自己的类,调用so,然后在内存中将原本的dex文件重新释放出来,让游戏正常去加载这个dex的。
目前,网上流传的方法,多数都是gdb调试,然后dump出内存,然后恢复dex,可以搜索相关资料看看。 感谢楼主分享 听鬼哥说故事 发表于 2014-6-19 15:08
被混淆的也只是部分代码,混淆也是基于一定规则的。
在分析游戏破解的时候,一般都是根据游戏中各类信息 ...
一些字符串被加密 以前可以搜索的现在无法搜索了而且 smali里面的好像看不到了 只有xml文件..
非常精彩! 膜拜大神 听鬼哥说故事~感谢分享! 支持楼主发贴,谢谢楼主分享 膜拜大神~ 很精彩,感谢分享。 希望有更精彩的作品。 我记得铁血独立营里面有一个日本军官叫鬼谷次郎!跟楼主的名字好像啊。谢谢楼主分享技术文章! 学习了…………………… 很不错的学习资源 来听鬼哥说故事,学习详细破解教程! 非常精彩! 看着好像很厉害的样子,但是完全看不懂。不过请问若想要看懂这些则需要先学会什么? CSDN鬼哥?