月X之夜过签名验证

鹿慕

• 游戏版本：月⭕️之夜_1.6.5.apk （5月份下的现在可能跟新过了），下载来源：taptap平台

• 先上一张最终效果图
  

• 狼人过关图
  

这个游戏经测试只要你修改了文件内容就会被检测出异常。但是你不改文件内容就算重签名了他也不会检测出异常。猜测这个游戏用了文件检测crc算法。需要分析找出对游戏做检测的so文件。

经过反复试验，定位出做了验证的so文件是libganalysis.so。

1.将libganalysis.so文件拖入ida32位中进行分析。

发现函数列表中名字有带crc的，非常可疑。选择crc32，并打开调用该函数的几个关联地址，选择第一个试验。

2.查看一下整体的流程执行图

效果如下：

可以看到crc方法在中间被调用了，应该是用来检测apk文件有没有被修改过。我的思路就是直接从头部跳到尾部，直接跳过验证。经试验是可以的。

• 头部拉近截图：

• 尾部拉近截图：

所以我只要直接从头部跳到尾部，分析下头部指令，把跳转位置改了，直接跳转到尾部：

这里我使用MT管理器修改 libganalysis.so文件   0005D49A 处 06D1 改成 01E0 就可以了。

后续

这次破解其实有点运气好，基于猜测做的修改，没想到直接成功了，也是很懵逼的。

后续破解的游戏dlc，需要破解它的libil2cpp.so、global-metadata.dat文件，导出函数信息。但是这个

global-metadata.dat被加密了。直接用工具是dump不出来的。我这里用了frida去hook出了它的函数名和地址信息。经试验就是改这个函数就可以解锁所有dlc了

ProtoLogin:isUnlockRole -> 0x81959c

• Frida hook 脚本（没有root的手机，用的frida-gadget方案）

// struct Il2CppClass
// {
// const Il2CppImage* image;
// void* gc_desc;
// const char* name;
// const char* namespaze;
// ...
// }
// struct MethodInfo
// {
// Il2CppMethodPointer methodPointer;
// InvokerMethod invoker_method;
// const char* name;
// Il2CppClass *declaring_type;
// const Il2CppType *return_type;
// const ParameterInfo* parameters;
// ...
// };

//写文件
function writeFile(content) {
var file = new File("/sdcard/hook/dump.txt", "a+")//a+表示追加内容，此处的模式和c语言的fopen函数模式相同
file.write(content + "\n")
file.flush()
file.close()
}

//真机arm32版本
function dumpOnArm() {
var base_addr = Module.findBaseAddress("libil2cpp.so")
var offset = 0x003EE9F8 //这里的偏移量不同的架构值不一样
var p_size = 4 //（32位 armv7 x86） （64位写8 armv8 x86-64 ）
Interceptor.attach(base_addr.add(offset), {
//在hook函数之前执行的语句
onEnter: function (args) {
var newMethod = this.context.r5 //r5表示R5 64位的arm用x5 需要查看具体的寄存器
var pointer = newMethod.readPointer() //MethodInfo
var name = newMethod.add(p_size * 2).readPointer().readCString()
var klass = newMethod.add(p_size * 3).readPointer() //Il2CppClass
var klass_name = klass.add(p_size * 2).readPointer().readCString()
var klass_spaze = klass.add(p_size * 3).readPointer().readCString()
//console.log(klass_spaze + ":" + klass_name + ":" + name + " -> " + pointer.sub(base_addr))
writeFile(klass_spaze + ":" + klass_name + ":" + name + " -> " + pointer.sub(base_addr))
},

onLeave: function (retval) {

}
})
}

setImmediate(dumpOnArm)

猛男z

感谢分享。虽然不是很懂

闷骚小贱男

今天分析一个unity的APP sign加密
刚用Il2CppDumper和libil2cpp.so解global-metadata.dat成了DLL..
但是可惜并没找到相关的代码  可能是我技术有限

daidaiv

谢谢楼主提供思路

cjethro

关注楼主好久了。可以的 话，请发个成品给小白我？

难为阿！

那是不是可以基于这个解锁所有DLC？

大大连连

支持楼主。

鹿慕

难为阿！ 发表于 2021-6-21 18:42
那是不是可以基于这个解锁所有DLC？

对的可以的

GenW

cjethro 发表于 2021-6-21 18:34
关注楼主好久了。可以的 话，请发个成品给小白我？

禁止发布破解成品

鹿慕

闷骚小贱男 发表于 2021-6-21 21:27
今天分析一个unity的APP sign加密
刚用Il2CppDumper和libil2cpp.so解global-metadata.dat成了DLL..
但是 ...

什么游戏？