Yoo趣儿

Yoo趣儿 操作系统 Android 新手向!记一次unity游戏的metadata的解密流水账 ...

新手向!记一次unity游戏的metadata的解密流水账

查看 65|回复 9
作者:tuandgame   
最近在练习i2cpp
然后发现以下错误


0.png (44.87 KB, 下载次数: 0)
下载附件
2023-8-20 18:10 上传

然后打开
global-metadata


3.png (112.78 KB, 下载次数: 0)
下载附件
2023-8-20 18:10 上传

发现文件头不是 "AF 1B B1 FA";//global-metadata.dat头部特征 那么就可以判断 global-metadata加密了 那么只能实机内存抠了
先逆向反编译apk
随手找个so


1.png (68.61 KB, 下载次数: 0)
下载附件
2023-8-20 18:10 上传

然后注入frIDAgadget// 因为目的实机锁定了不能root,无法直接frida 所以只能用gadget  我是用pyton注入的 python h:\pj\frida\inject.py h:\pj\frida\libPxrPlatform.so  libtutu64.so //后面的gadget我为了防检测 改名了


2.png (102.34 KB, 下载次数: 0)
下载附件
2023-8-20 18:10 上传

把注入之后的 重新拷回去 连带我改名的gadget一起  重编译打包  推送到实机安装
运行之后 就来到扣内存环节了  我用的脚本如下
[Java] 纯文本查看 复制代码/*
获取解密后的global-metadata.dat
github:https://github.com/350030173/global-metadata_dump
用法:
frida -U -l global-metadata_dump.js packagename
导出的文件在/data/data/yourPackageName/global-metadata.dat
*/
//
//get_self_process_name()获取当前运行进程包名
//参考:https://github.com/lasting-yang/frida_dump/blob/master/dump_dex_class.js
function get_self_process_name()
{
        var openPtr = Module.getExportByName('libc.so', 'open');
        var open = new NativeFunction(openPtr, 'int', ['pointer', 'int']);
        var readPtr = Module.getExportByName("libc.so", "read");
        var read = new NativeFunction(readPtr, "int", ["int", "pointer", "int"]);
        var closePtr = Module.getExportByName('libc.so', 'close');
        var close = new NativeFunction(closePtr, 'int', ['int']);
        var path = Memory.allocUtf8String("/proc/self/cmdline");
        var fd = open(path, 0);
        if (fd != -1)
        {
                var buffer = Memory.alloc(0x1000);
                var result = read(fd, buffer, 0x1000);
                close(fd);
                result = ptr(buffer).readCString();
                return result;
        }
        return "-1";
}
var pattern = "AF 1B B1 FA";//global-metadata.dat头部特征
function TUMemory()
{
    Java.perform(function ()
    {
        console.log("头部标识:" + pattern);
        var addrArray = Process.enumerateRanges("r--");//使用函数 Process.enumerateRanges('r--') 枚举读出可以读出的内存区块
               
        for (var i = 0; i
这个脚本是我在网上拿的脚本改的
主要改动地方
1、输入路径 由于没有root 所以改到了公共路径
2、原脚本执行有问题,文件的大小改成自己手动输入大小
这里简单解释下如何算大小 用010打开metadata 找到unity的metadata bt模版运行一下


4.png (165.33 KB, 下载次数: 0)
下载附件
2023-8-20 18:10 上传

100h和104h 的值相加就是文件大小也就是 我上面脚本的7543688
然后运行已经注入的apk  用frida -U -l h:\pj\frida\dao.js gadget 执行一下我们改好的脚本


6.png (65.01 KB, 下载次数: 0)
下载附件
2023-8-20 18:10 上传

这样就扣出来了,用扣出来的metadata
再次执行Il2CppDumper就正常解析了


7.png (43.75 KB, 下载次数: 0)
下载附件
2023-8-20 18:58 上传

下载次数, 下载附件

相关帖子

BonnieRan   

你好,请问一下dump.cs中的private const int型的Fields如何在libil2cpp.so中确定地址呢,静态字段文件中没有给出偏移量
tuandgame
OP
  


BonnieRan 发表于 2023-8-21 22:29
你好,请问一下dump.cs中的private const int型的Fields如何在libil2cpp.so中确定地址呢,静态字段文件中没 ...
可能要上ida 分析栈
BonnieRan   


tuandgame 发表于 2023-8-21 22:45
可能要上ida 分析栈
好的 感谢,我明天ida试着分析一下
AH62555   

支持支持
艾莉希雅   

乐,又是这种整体加密的。
现在的竟然没打乱结构定义。
suzk   

算了,算了
haggarding   

支持支持
rhol   

fairguard加固的手游么?
教父头子   

这个是手游吗?
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2025-9-23 21:43 , Processed in 0.007283 second(s), 5 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部