天天玩游戏,天天看广告。我表示不服,今天就拿我以前喜欢玩的一个游戏《小兵别嚣张》下手。
准备工具
[ol]
[/ol]
开始动手
首先安装MonkeyDev,目前在Xcode 13环境下安装我遇到过以下几个问题,现在直接贴出来
1、Xcode 12安装MonkeyDev时报错
File /Applications/Xcode.app/Contents/Developer/Platforms/MacOSX.platform/Developer/Library/Xcode/Specifications/MacOSX Package Types.xcspec not found
复制Xcode 11对应目录里的文件过来就行点我下载
2、如何砸壳App
在 Cydia 中添加软件源 http://apt.wxhbts.com/,搜索CrackerXI(CrackerXI App脱壳工具),下载安装。回到SpringBoard,打开CrackerXI。确认要砸壳的App处于未启动状态,点击对应的App进行砸壳。我已经砸好了但是不知道能不能发,这里就先不发了,如果贴子反响不错且不违反版规,我可以发上来让大家自己练下手。
3、如何把砸过壳的ipa取到本地
安装AFC2插件,使用爱思助手到对应的目录下取就可以
4、使用monkeydev动态调试工具,xcode新建文件之后编译一直报错证书问题,Signing for "xxx" requires a development team. Select a development team in the Signing & Capabilities editor. (in target 'xxxDylib' from project 'xxx')
target 选择xxxDylib buildsetting 添加CODE_SIGNING_ALLOWED,设置为no
5、Showing All Errors Only
File not found: /usr/lib/libstdc++.dylib
Xcode 12里已经没有这个库了,在Build Settings里搜索libstdc,然后把对应的库删除掉即可
6、Xcode 13调试iOS15的时候,fishhook.c崩溃
使用网友修改后的版本替换即可
https://raw.githubusercontent.com/shino-996/fishhook/fix-iOS-14.5-crash/fishhook.c
万事具备,我们把砸壳后的游戏放到MonkeyDev工程的TargetApp目录里
如果没有问题,下面我们就能愉快的把游戏跑起来
另外,以前大佬们调戏都用Revel这个工具,我反正是不用,我推荐大家用Lookin这个工具,非常好用,在MonkeyDev工程里新建一个Podfile文件,添加如下配置
target 'DYDylib' do
use_frameworks!
pod 'LookinServer'
end
并且下载对应的GUI工具,这个工具可以看到对应的类名,属性名称等,反正很好用。在工程目录里执行pod install后运行即可看到效果
下面我们在游戏里打开对应的广告界面,在Lookin里查看界面层级,可见最关键的代码就在左侧这些对象的里面
下面我们使用Hopper Disassembler来看一下这个里面都有什么代码,顺便也使用class-dump把游戏的头文件给导出来。然后经过一系列的分析,我们最终可以看到如下的调试信息
可以看到BUNativeExpressAdView类里的safeDelegate_nativeExpressAdViewWillShow的参数是一个BUPlayer对象,那么这个对象里有一个BU_ZFPlayerView对象,它有一个_videoURL的属性,这个就是缓存在我们本地的那个广告视频,现在我们用一个特别简单的办法,就可以实现游戏视频的加速,那就是我自己录制一个视频文件来替换它。首先我们使用QuickTime录制一个1秒钟的视频,然后把这个视频放到我们代码的目录里。
然后我们再去BU_ZFPlayerView对象里去找这个_videoURL属性。
@property(retain, nonatomic) NSURL *videoURL; // @synthesize videoURL=_videoURL;
可以看到这个属性是对外公开的,那么我只需要重写这个属性即可。删除其他无用的代码,我们只需要添加如下代码即可
CHDeclareClass(BU_ZFPlayerView)
CHOptimizedMethod0(self, NSURL *, BU_ZFPlayerView, videoURL){
NSString *path = [[NSBundle mainBundle] pathForResource:@"1" ofType:@"mov"];
NSURL *url = [NSURL fileURLWithPath:path];
return url;
}
重新运行游戏,发现所有要广告的地方,只需要1秒就会跳过。而且还能够成功的获取奖励,但是这些还不够,虽然我们已经能够获取奖励了,但是我们还需要手动的点击关闭按钮,既然要做,就要做彻底,我们使用Lookin工具分析一下界面,可以得知这个关闭按钮是在广告播放结果后自动出来的,它的界面层级如下
在BURewardedVideoWebViewController这个视图控制器里,我们打开这个类的头文件看一下
home.php?mod=space&uid=593715 BURewardedVideoWebViewController : BUWebViewController [B]
{
BURewardedVideoWebViewControllerVM *_videoWebVM;
struct CGSize _originSize;
}
@property(nonatomic) struct CGSize originSize; // @synthesize originSize=_originSize;
@property(retain, nonatomic) BURewardedVideoWebViewControllerVM *videoWebVM; // @synthesize videoWebVM=_videoWebVM;
- (void).cxx_destruct;
- (void)silentButtonTappedPlayableHandle:(_Bool)arg1;
- (void)webCloseButtonTapped;
- (void)appendURLParameters;
@property(nonatomic) unsigned long long transformDirection;
@property(nonatomic) __weak UIButton *superVCCloseBtn;
@property(nonatomic) _Bool hiddenEndCardClose;
@property(nonatomic) _Bool mute;
@property(copy, nonatomic) NSString *ritScene;
@property(nonatomic) _Bool isRewardedVideo;
@property(nonatomic) _Bool isTransform;
@property(nonatomic) __weak id [B] delegate;
可以看到这里面有一个可疑对象superVCCloseBtn和可疑方法- (void)webCloseButtonTapped;顾名思义,这个方法是当我们点击的时候调用的,那么我们要做的就是手动的调用这个方法以达到我们的目的。下面就要是分析一下,我们应该在什么时机调用?当然是在viewDidAppear显示的时候调用。所以我们再添加如下代码
CHDeclareClass(BURewardedVideoWebViewController)
CHOptimizedMethod1(self, void, BURewardedVideoWebViewController, viewDidAppear, bool, arg1){
CHSuper1(BURewardedVideoWebViewController, viewDidAppear, arg1);
[self webCloseButtonTapped];
}
大功告成,当然最最重要的就是,Hook的方法不要忘记注册
CHConstructor{
CHLoadLateClass(BU_ZFPlayerView);
CHHook0(BU_ZFPlayerView, videoURL);
CHLoadLateClass(BURewardedVideoWebViewController);
CHHook1(BURewardedVideoWebViewController, viewDidAppear);
}
最终游戏效果详见视频:
https://www.bilibili.com/video/BV1t44y1q7HC/