[color=]背景描述
让AI帮忙找了近10款海外烂换皮用于逆向学习其中包括植物大战僵尸2,但据说该游戏有TX防御校验
最终锁定一款海外近10年的小厂游戏守护神XX,近乎全明文.游戏名字就没必要提出了,反正也不准备搞他.但是感觉该游戏具有一定代表性.于是就开始尝试逆向
[color=]发现的问题
发现瞬移,蓝量,可以用CE随便修改(雷9)
同时发现这游戏的封包以及代码结构so文件确实为明文,且无任何防篡改机制和其他游戏本身的防御机制.
[color=]结果碰到如下问题
1,libil2cpp.so始终加载不上,导致firda hook无效(让AI出了近100个HOOK.js脚本)
2,最终发现,lib2cpp模块无修改权限,GG内存显示该模块粉色r--p只读且私有,frIDA对此无返回值.
3,于是请AI以逆向专家的思考深度,帮忙写了近小50款HOOK曲线救国脚本,什么八大偷摸内存绕过了,15大无需权限硬修改模块了,7大高仿谁也看不到firda server方案了等等
均无效.始终各种libil2cpp.so加载不上报错.即便无报错也修改不成功.
4,于是通过ADB层级/proc/[pid]/maps 解析拿到极少无用rw-p,级lib2cpp.so模块无用地址.显然蓝量无敌等重要功能均不在里面.纯无用,就算有用不能保证未来其他游戏也能有用.以这个方式
继续进行学习,有点撞大运嫌疑.
5,在模拟器上装XP框架和面具,试图实现R0层修改---模拟器不支持-----------雷9 易12 夜9 蓝5ARM模式都试过.
6,于是买了个三星真机安卓9面具版,发现三星真机有Knox 安全策略禁止 ptrace 调试阻断 Frida 注入,从frida sverv 15.0.0到16.7.13,均试过.以及请AI帮绕过方案,也不尽人意.
7于是尝试修改真机内核,发现一时半会难以进行,,对真机内核修改刷机等操作.
8 ,R1的意思让我在真机上装一个VMOS虚拟机,这里面原生面具+某插件实现R0修改, 但是真机装个虚拟机.那TM和模拟器能有啥区别?
或许确实是会实现R0层修改,但是这么烂B游戏没必要做到这个层级吧 ?就算能也感觉很二很二.很不正经.而且可能未来会碰到超级无敌反面具的厂商.到那时的防御级别,,,难以想象啊.
8,尝试用GG导出内存映射libil2cpp.co模块全导出后发现是8G,我不会读,AI有64令牌限制也读不动.... 精准锁定导出也只能导出变量.并不能提供有效信息.
[color=]于是开始尝试从封包方案入手
1,找到喊话包,修改包内容,手动模拟发包,发现可以随便喊话且打破10秒1句的限制.
2,找到主页更换角色封包,和一些按钮点击比如点击邮箱,点击背包大概修改20次左右能成功1次,
原来是因为该游戏基础有双通道令牌绑定协议,手动极其偶尔能修改成功.但是比较撞大运.
3,发伪装通关完成包,提示一个错误忘了是啥,但是估计去深入摸摸逻辑应该能搞定.
从封包角度来看,应该深度研究一下或许可以修改,但是最终假设这就是我想做的游戏想实现倍攻,瞬移,或是其他任意功能,是不是还要去动libil2cpp.co?这个B玩意? 包括真正所需的加解密,包结构.序列化?
应该都绕不开他吧..
具体请教问题
现在看起来,无论多烂多么没防御的手游安卓底层就能帮他抵挡很多我这种菜逼进入,比如虚拟化层拦截操作,比如Knox 安全策略禁止 ptrace 调试安卓SELinux 策略限制等问题.
1,所以我想请教各位大佬的是,这个B玩意libil2cpp.co,用常规手段还有那些方式能拿捏他?还有机会吗?
2,生硬的外部研究模拟发包,,能完全避开libil2cpp.co,?有些功能离不开他吧?就算真能离开他,我已经费尽心思研究内存模块到这个层面了有点不想放弃..
3,假设不在买其他牌子真机,不给真机装虚拟机,不刷机,不改包改SO,就纯以常规方式逆向,还有啥机会吗?
4,CE能改是能改 但是我要学正经逆向啊...而且有很多功能CE找不到咧..另外感觉也不正经.
4,AI还提供了一些so修改,IDA代码层修改以及APK重新封装修改等一些方案,但是有点超纲不说我感觉修改这东西可能会碰到更高端的防御
或许是有野路子能通过这些方案进行修改,但是并不是每个游戏都能野路子吧.
所以还是想请教各位大佬,是否有常规套路呢?
这么烂B的游戏居然,有这么豪横?
[color=]目前针对该游戏,手上已经掌握材料
1,通过script.json,stringliteral.json,il2cpp.h解析后的libil2cpp.so,70%左右的函数解析完成.
2,IDA MCP AI,已经帮找很多功能函数.倍攻,暴击,无敌,无CD,秒杀,当然没有尝试是否有效,因为改游戏瞅着,,冒险地图可能是一个攻击计算方式,副本又是一个,远程又是一个?不知道,纯盲猜,但是感觉AI还是很强大的,之后可以帮我分析出来,并且现在主要问题也不在这里.
3,换句话说感觉所有功能已经全在我手上了,现在搞不定libil2cpp.so这个B玩意.
[color=]目前还没尝试的动作
1,动态IDA调试,因为解析一次比较大,动调一次后,会影响静态libil2cpp.so的原有地址,菜坑的我感觉即便动调也够呛能找到什么线索哪怕拿到lib2基址最终能修改?而且我大概问过AI
以现有的资料来看,AI的意思是动调对当前窘境的影响在15%以内.而且我内心其实是恐惧的,IDA包括dnSpy打开文件,扑面而来,犹如晴天霹雳.就我看来,目前静调MCP AI已经分析的很到位了我自己直接看估计要看半年.而且第六感告诉我和这里没啥大关系....
2,模拟发包方面未进行深入研究,没拿到结构体等..因为多少有点追不进去..不过如果确实没啥办法只能从这里切入的话,,那就去撸,,但是这个东西最终会完全避开lib2的依赖吗?
3,用CE给模拟器或是真机装代理,感觉这会不会和GG是一个效果?这种办法能处理的功能貌似有限.
4,还没用xdebug调试过模拟器,大概试了两次send没断,ctrl+f9退不回去, 这个方案据说有邪道野路子能实现盲猜断点,无视内层纯无敌硬发包?
5,目前有点知识,但不多,近乎已经懂得全用上了.难道真的就是我没硬读IDA里面的汇编问题哇??这个东西感觉AI能应付,不过有64令牌限制需要用贼费劲的用天蠢大法记笔记安排
AI全撸
