[逆向工程日记] 元气骑士开局导师

凌七

纯小白，第一次接触逆向工程，很多理解可能都是错的，欢迎各位大佬指正。


在元气骑士中，导师是很强的NPC，尤其是三技能的死灵法师，有没有导师给予的技能就是两种游戏体验，但是在地牢里遇到导师的概率很低很低。





    有一天，我和往常一样，在花园的魔法井中获取这个垃圾天赋的时候，突然想到，如果将这个魔法井获得的这个天赋，替换成导师给予的天赋，这样不就实现了开局导师天赋嘛。







    甚至和朋友四排 "吊炸天-试炼之地-双boss" 的时候，可以尝试四死灵法师复活八个boss，12V2的公平对决。


然后就确定了核心思路：将魔法井获得的技能替换成导师获得的技能。


结果：2.7.0版本的元气骑士libil2cpp.so文件没有加密，修改成功。
3.0.4版本的元气骑士libil2cpp.so文件加密了，修改失败。




过程：


首先，我啥也不懂，看了俩教程


（Unity3D反编译）如何在元气骑士里无敌(  https://www.bilibili.com/video/av51404159/ )
元气骑士so修改小白教程(  https://www.52pojie.cn/thread-941865-1-1.html )


感觉也不是很难嘛，然后开始上手（不知死活）了





首先，我在2.7.0版本的元气骑士中进行尝试。


首先将元气骑士的安装包.apk文件改成.zip文件，解压缩之后找到目标文件，
1、lib/(指令集名称)/libil2cpp.so
2、assets/bin/Data/Managed/Metadata/global-metadata.dat




使用Il2CppDumper-v6.5.0反编译libil2cpp.so文件和global-metadata.dat文件，得到一系列文件，









编辑dump.cs文件，可以查找相关函数。通过观察dump.cs文件，找到“MagicWell”类，这个类下有“AddBuff”函数，说明这就是魔法井类，
“addbuff”函数就是获得魔法井天赋的函数。
找到“ObjectSkillUpdate”类，这个类下有“AddBuff”函数，根据经验，“skill update”指的就是导师，很明显，这个addbuff就是获得导师天赋的函数，

[Asm] 纯文本查看 复制代码

// Namespace:
public class ObjectMagicWell : RGItem // TypeDefIndex: 7947
{
    // RVA: 0xD3660C Offset: 0xD3660C VA: 0xD3660C
    public void AddBuff(RGController controller) { }

// Namespace:
public class ObjectSkillUpdate : RGItem // TypeDefIndex: 7967
{
    // RVA: 0xD40EFC Offset: 0xD40EFC VA: 0xD40EFC
    private void AddBuff(RGController controller) { }

    现在要做的就是，用“SkillUpdate”类下的“AddBuff”函数替换“MagicWell”类下的“AddBuff”函数，就可以实现我们想实现的功能了。


    随后启动IDAPro工具，




对libil2cpp.so进行分析，然后可以得到内容，甚至可以反编译函数。
通过地址“0xD3660C”找到“ObjectMagicWell”类的“AddBuff”函数的数据：





通过地址“0xD40EFC”找到“ObjectSkillUpdate”类的“AddBuff”函数：







对这两个函数进行反编译并进行对比：

猜测这里的“1001”代表着魔法井天赋，“1002”代表着导师天赋。





根据进制转换，10进制的1001为3E9,1002为3EA。要做的工作就行将某处的3E9更改成3EA就行。


然后就开始找了。
在“ObjectMagicWell”类的“AddBuff”函数下找到一条命令为“E9 13 00 E3”,
在“ObjectSkillUpdate”类的“AddBuff”函数下找到一条命令为“EA 13 00 E3”,


将“ObjectMagicWell”类的“AddBuff”函数下的“E9 13 00 E3”更改成“EA 13 00 E3”，按下F5进行反编译，
发现原本的“  sub_8AAF28(v4, 1001, 1, 0);”已经变成了“  sub_8AAF28(v4, 1002, 1, 0);”。





将修改加载到libil2cpp.so中，并覆盖到手机/模拟器的data/app/com.ChillyRoom.DungeonShooter-1/lib/arm目录下，



启动游戏，到魔法井获得垃圾天赋，暂停查看，发现天赋已经被取代成功了！



2.7.0版本的元气骑士的libil2cpp.so文件没有加密，所以成功了。

但是2.7.0版本的死灵法师并没有三技能，我们真正需要修改的是libil2cpp.so文件被加密的3.0.4版本的元气骑士。
当我开始尝试修改3.0.4版本的元气骑士时，发现该版本的元气骑士的libil2cpp.so文件已经被加密了，无法使用Il2CppDumper工具和IDA PRO工具进行分析。





在Il2CppDumper工具的github的说明中，得知可以使用GameGuardian从游戏内存中dump libil2cpp.so，然后再进行分析。





但是菜如狗的我并不会，然后又看了两个B站视频，
以明日方舟为例-Il2CppDumper逆向实例(  https://www.bilibili.com/video/av542959588/ )
如何提取【gcg2】的文本字符串(  https://www.bilibili.com/video/av331378182/ )


然后照葫芦画瓢提取出了文件，但是文件并不能正常使用。







然后咨询了大佬，使用010editor查看了原本的libil2cpp.so文件和从内存当中dump出来的bin文件，




发现bin文件的开头并没有so文件的文件头 ".ELF"，



然后将bin文件的前两行修改成so文件应该有的格式，就可以使用Il2CppDumper工具进行分析了。
发现addbuff函数虽然略有不同，但是修改的核心思路应该是没有变的，就是将此处的1001，更改为1002。



但是，修改的是bin文件，并不是libil2cpp.so文件，直接将bin文件放进游戏安装目录下游戏启动时会出错。


然后我再次咨询大佬，大佬的建议是需要找到加密文件里的解密函数。


菜如狗的我，还在尝试解密。。。




感谢B站大佬 kjkjkAIStudio 对我的指导和帮助，收获良多。


如果有大佬可以对我接下来应该干点啥给点指导，感激不尽。

涛之雨

啊啊啊啊！编辑了半天，一不小心关掉页面了。刚才输的字全没了。T_T
（我想想我刚才说的啥。）
提供两个思路：
一个是根据他加密的方式把代码重新加密回去。
另一个是把所有的so都给dump出来，修改逻辑，跳过解密直接加载修改后的so

凌七

涛之雨 发表于 2021-3-23 11:38
啊啊啊啊！编辑了半天，一不小心关掉页面了。刚才输的字全没了。T_T
（我想想我刚才说的啥。）
提供两个 ...

谢谢您的指导！有一种茅塞顿开、拨云见雾的感觉。

请问so文件的加密解密工作是在so文件内部，还是在其他文件加载so文件的时候进行的呢？

还有就是，一般而言，so文件都是在哪里加载的呢？

涛之雨

凌七 发表于 2021-3-23 16:08
谢谢您的指导！有一种茅塞顿开、拨云见雾的感觉。

请问so文件的加密解密工作是在so文件内部，还是 ...

一般来说so在dex直接调用。
dex里调用so就是直接system的loadlibrary

但是加密的so一般都是在so里解密的（因为这样复杂）
360加固的so就是so动态拆解的，文件头、参数表和代码部分拆分成三个部分动态解密后直接执行，因为不是内存拼接，所以dump不出来完整的so。
既然能完整dump出so，那应该就是so解密后直接内存里运行的。

ps：免费的加固，做的最好的看来就是360了（指抽取oncreate）

凌七

涛之雨 发表于 2021-3-23 16:40
一般来说so在dex直接调用。
dex里调用so就是直接system的loadlibrary

谢谢您的指导！
我尝试一下

DDFer

大佬能说下新版签名验证的思路吗
查到libnative-lib.so后思路就断了

自我意识障碍

膜拜大佬 这个导师刷新真的很迷 没想到真有人愿意做这个的逆向 强