发表于 2022-8-20 12:57

申请会员ID:rsjw【申请通过】

1、申请ID:rsjw
2、个人邮箱:rsj-taurus@qq.com

## 记对某个 Unity3D 单机游戏(安卓)的逆向破解

(游戏水平太菜了有一关打了半年硬是打不开所以就有了这些东西)

使用 APKTOOL 解包之后,在 lib/arm64-v8a 下发现了 libil2cpp.so,说明这个用了il2cpp。

![]()

用 IDA 打开之后无从下手,按照 il2cpp 的方式,需要先找到元数据 Metadata,恢复一些符号。

打开 assets\bin\Data\Managed\Metadata 目录,但是惊讶地发现只有一个 game.dat,而且不是 global-metadata.dat。而且 game.dat 在 il2cpp 里的引用也乱七八糟,于是决定直接从内存里找。global-metadata_dump 就是从内存中 DUMP metadata 的工具,原理是识别 Metadata 特殊的文件头,效果十分好。

安装 (https://github.com/frida/frida) 和安卓虚拟机,连接好之后使用 (https://github.com/350030173/global-metadata_dump),得到正确的 global-metadata.dat,再使用 (https://github.com/Perfare/Il2CppDumper) 成功恢复 Assembly-CSharp.dll 以及一系列符号。

![]()

![]()

现在使用 DnSpy 导入 DLL:于是我们就成功的打开了逆向的大门。

初心是想研究一下存档文件,文件看上去是这样子的:

![]()

编码显然是 Base64,但是解码后乱七八糟,说明有什么特殊的编码/加密方法。

是用 UnityEngine::PlayerPrefs 生成的,于是来到这个函数,使用 jump to xref

![]()

![]()

看上去应该和 SaveManagement 有关系,

![]()

改好之后发现加密在这个函数:

![]()

![]()

反复研究之后,发现这是先都转化成 UTF-16,然后使用 C# 自带的 DESCryptoServiceProvider 加密,然后再转成 Base64 的。经过查阅资料,默认方式为 CBC,PAD 是 PAD_PKCS5。经过这一遭,我写了一个丑陋的 Python 代码。

```python
import pyDes, base64
DES_SECRET_KEY = "????".encode("utf_16_le")
def Dec(base64_str):
    base64_str = base64_str.replace("%2B", "+")
    base64_str = base64_str.replace("%2F", "/")
    base64_str = base64_str.replace("%3D", "=")
    des_obj = pyDes.des(DES_SECRET_KEY, pyDes.CBC, DES_SECRET_KEY, padmode=pyDes.PAD_PKCS5)
    s = des_obj.decrypt(base64.b64decode(base64_str))
    return s.decode("utf-16")

def Enc(s):
    s = s.encode('utf_16_le')
    des_obj = pyDes.des(DES_SECRET_KEY, pyDes.CBC, DES_SECRET_KEY, padmode=pyDes.PAD_PKCS5)
    base64_str = base64.b64encode(des_obj.encrypt(s))
    base64_str = base64_str.decode()
    base64_str = base64_str.replace("+","%2B")
    base64_str = base64_str.replace("/","%2F")
    base64_str = base64_str.replace("=","%3D")
    return base64_str

raw = input()
print(Dec(raw))
```

问题就在于找到这个密码了。根据以上规则,C# 默认方式一定需要恰好4个英文字符。

![]()

刚好是四个大写字母。果然成功了。

![]()

不过改完之后立马就索然无味了。

我还有些想法,想Patch一下,放宽规则:

![]()

用这个 [网站](https://armconverter.com/) :于是改了一个数据,重新打包签名安装之后:果然奏效了。

![]()

Hmily 发表于 2022-8-22 16:40

图片丢失了,Markdown格式需要单独点击MD的按钮写入,修改一下跟帖回复更新吧,另外账号自己测试好,这个账号已经被使用了。

发表于 2022-8-22 19:46

放在这里了~ https://www.cnblogs.com/rsjw/p/16607345.html
PS 在学校里,回复可能稍微晚一些

Hmily 发表于 2022-8-23 11:09

游客 211.140.156.x 发表于 2022-8-22 19:46
放在这里了~ https://www.cnblogs.com/rsjw/p/16607345.html
PS 在学校里,回复可能稍微晚一些

等有时间上线处理吧,用户名也不行。

发表于 2022-8-23 18:06

谢谢,改成 rsjw

Hmily 发表于 2022-8-24 10:47

I D:rsjw
邮箱:rsj-taurus@qq.com

申请通过,欢迎光临吾爱破解论坛,期待吾爱破解有你更加精彩,ID和密码自己通过邮件密码找回功能修改,请即时登陆并修改密码!
登陆后请在一周内在此帖报道,否则将删除ID信息。

ps:登陆后把帖子整理一下发到移动安全区。

rsjw 发表于 2022-8-25 21:47

我来报到了{:1_921:}

rsjw 发表于 2022-8-30 11:24

ok,已经发帖
页: [1]
查看完整版本: 申请会员ID:rsjw【申请通过】