吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 32410|回复: 23
上一主题 下一主题
收起左侧

[Android 原创] Unity游戏逆向及破解方法介绍

  [复制链接]
跳转到指定楼层
楼主
Gslab 发表于 2016-5-5 11:03 回帖奖励
本帖最后由 Gslab 于 2016-5-5 11:09 编辑

【游戏安全实验室致力于游戏安全技术分享及交流,以后将在52pojie发布更多游戏安全相关技术分享,欢迎大家一起来讨论交流】


背景介绍
随着手游的发展,Unity3D引擎逐渐成为主流的游戏开发解决方案,传统cocos的2D游戏逐渐被取代,一些公司在Unity3D游戏方面的产出也越来越多,如天天飞车,天天来战,全民破坏神,全民偶像,全民突击等游戏。Unity3D游戏的不断产出,游戏的安全性要求也越来越高,在此归纳一些逆向用到的方法和思路以及一些辅助性工具,做一些知识普及。

识别Unity游戏
Android平台的apk包可以直接解压,看是否有./assets/bin/Data/Managed目录,也可以查看lib文件夹下面包含的一些so,如果有libmono,libunity等模块,基本可以确定是unity游戏了。
Android平台中C#编写的主逻辑模块代码静态编辑之后存储于Assembly-CSharp.dll文件中。因为unity的跨平台,Android平台是unity编译的游戏,那么其对应的IOS平台上也是unity编译出来的。如果希望直接从IOS上面去看是否是unity游戏,可以提取游戏中的主模块查看是否有unity之类的函数即可。

破解思路
下面列举了一些破解版思路,如果能直接下断点在函数头修改寄存器可直接修改寄存器测试,遇到一些不能直接修改的,就用第二种方法,把修改后的Assembly-CSharp.dll注入到游戏中,让游戏执行我们修改后的代码。另外也可以动静态修改二进制实现。

一、 修改unity游戏逻辑代码编译成汇编代码相关的值
(1)   修改传进来的参数,即寄存器,一般是set之类的函数
(2)   汇编代码中尽量不修改内存,不修改opcode,能改寄存器直接改寄存器

二、 反编译Assembly-CSharp.dll,直接修改unity的C#源代码
(1)       修改函数返回值
(2)       直接删除函数体,只剩下 ret 指令
(3)       在对应函数修改,对变量进行处理
(4)       在对应函数增加一些call处理,主动call

三、 分析源码直接修改代码
(1)   通过分析unity反编译后的源码找到对应的汇编指令下断点修改寄存器
(2)   通过直接静态分析dll,直接修改IL码的二进制码

四、 在加载dll的函数位置dump原来的dll代码,可绕过dll加密,修改源代码
(1)       hook住mono_image_open_from_data_full函数,dump出dll可以,用IDA配合jdb挂起进程在那函数位置下断点dump也可以,源代码具体修改方案同“二”和“三”

常用工具
一、 IDA工具
可以进行动态调试和静态分析的工具,能在合适的位置下断点,修改指定寄存器和编写IDC脚本配合分析,不多介绍

二、 ILSpy
反编译和分析dll代码,可以交叉引用,可以以源码形式保存反编译的代码,提供代码给DirFind等字符串搜索定位工具定位代码位置

三、 .NET Reflector + Reflexil

反编译和分析dll代码,弥补了ILSpy一些功能性的缺陷,可以分析出错误的CLR文件头,一些在ILSpy显示不出的dll文件,如果只是因为dll头部被修改,放在.NET Reflector中是可以分析出的。Reflexil则是.NET Reflector的一款插件,可以反编译和回编译IL码,方便实用可视化。

四、 Ilasm和ildasm
Ildasm可以反编译dll,dump出反编译后的il码,而Ilasm则可以重打包il码,利用命令ilasm /dll *.il 即可。

常用IL码二进制
(1)nop 二进制是 0x00
(2)ldc.i4.0 二进制是 0x16
(3)ldc.i4.1 二进制是 0x17
(4)ret 二进制是 0x2A
(5)ldc.r4 二进制是 0x22 ,后面跟四个字节

案例
   
案例一:在函数头下断点(全民反恐攻击任意伤害)
利用ILSpy反编译的unity游戏源代码,在里面找到一个影响伤害的函数,发现里面的传参第一个参数就是伤害值,那么我们利用断点工具在FPlayerPawn::TakeDamage函数头下断点,然后修改r1寄存器,继续运行就可以了。


案例二:利用IDA在函数头下断点(悟空降魔任意修改血量值)
利用ILSpy反编译后的unity游戏源代码,在里面找到一个影响血量设置的函数set_curHP,用IDA工具调到地址下断点,修改r1寄存器值。


案例三:Reflector+Reflexil修改源码返回值后注入(全民偶像任意舞蹈满分过关)
利用Reflector反编译unity游戏源代码,找到CRhythmGamingCore::GetHitResult函数,利用Reflexil插件编辑IL码把返回值修改成1,相当于直接返回“amazing”。然后保存成新的dll文件,并利用工具将模块注入到游戏中。
修改后,反编译结果如下:


案例四:Reflector+Reflexil删除函数体后注入(全民突击不限时)
利用Reflector反编译unity游戏源代码,找到TaskGameTimeReached::OnUpdate函数,利用Reflexil插件删除函数体,变成下面的形式,注入到游戏中即可。


案例五:Reflector+Reflexil call函数(全民破坏神技能无CD)
利用Reflector反编译unity游戏源代码, 利用Reflexil在函数加一句话主动call函数,可以清空所有技能CD。


小结
Unity引擎游戏从目前的情况来看,相对于cocos的游戏还是不安全的,毕竟目前很多Unity游戏都直接暴露了dll,尽管没有暴露dll,也能直接dump出dll去反编译分析,直接看到了源码。而unity游戏既可以从汇编层入手也可以从源代码入手,汇编层的话直接找到函数编译后的地址然后下断点就可以了;如果是修改源码的话则需要把回编译的dll注入到mono加载dll的那个地方。

*转载请注明来自游戏安全实验室(http://gslab.qq.com

免费评分

参与人数 6威望 +1 热心值 +6 收起 理由
AWEIWEI + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
文邹邹的过客 + 1 我很赞同!
qtfreet00 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
吾乐乐丶小米 + 1 好好屌屌~
eteleD + 1 好好屌屌~
极速心空 + 1 好屌好屌~

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

沙发
hezy1986 发表于 2016-5-5 11:09
好厉害的样子!
3#
不懂破解 发表于 2016-5-5 11:26
4#
Windows10 发表于 2016-5-5 12:07
5#
微若清风 发表于 2016-5-5 12:20
好厉害的样子!
6#
L__ 发表于 2016-5-5 12:31
不错,学习了
7#
吾乐乐丶小米 发表于 2016-5-5 15:11
精华文章  膜拜大大 话说你的qq域名是怎么弄的
8#
qtfreet00 发表于 2016-5-6 10:45
个人现在更倾向于使用dnSpy,感觉要比ilSpy好用
9#
8048875062 发表于 2016-5-6 11:01
厉害厉害~~~~~~~~~~
10#
pyq25 发表于 2016-5-10 12:37
虽然看不懂,但是可以研究研究
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-21 12:53

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表