月X之夜过签名验证

鹿慕2021-6-2178

  • 游戏版本:月⭕️之夜_1.6.5.apk (5月份下的现在可能跟新过了),下载来源:taptap平台

  • 先上一张最终效果图

  • 狼人过关图

这个游戏经测试只要你修改了文件内容就会被检测出异常。但是你不改文件内容就算重签名了他也不会检测出异常。猜测这个游戏用了文件检测crc算法。需要分析找出对游戏做检测的so文件。

经过反复试验,定位出做了验证的so文件是libganalysis.so。

1.将libganalysis.so文件拖入ida32位中进行分析。

image-20210621170828125

发现函数列表中名字有带crc的,非常可疑。选择crc32,并打开调用该函数的几个关联地址,选择第一个试验。

2.查看一下整体的流程执行图

image-20210621171406797

效果如下:

image-20210621171256357

可以看到crc方法在中间被调用了,应该是用来检测apk文件有没有被修改过。我的思路就是直接从头部跳到尾部,直接跳过验证。经试验是可以的。

  • 头部拉近截图:

image-20210621171604111

  • 尾部拉近截图:

image-20210621171636246

所以我只要直接从头部跳到尾部,分析下头部指令,把跳转位置改了,直接跳转到尾部:

image-20210621171733564

这里我使用MT管理器修改 libganalysis.so文件   0005D49A 处 06D1 改成 01E0 就可以了。

后续

这次破解其实有点运气好,基于猜测做的修改,没想到直接成功了,也是很懵逼的。

后续破解的游戏dlc,需要破解它的libil2cpp.so、global-metadata.dat文件,导出函数信息。但是这个

global-metadata.dat被加密了。直接用工具是dump不出来的。我这里用了frida去hook出了它的函数名和地址信息。经试验就是改这个函数就可以解锁所有dlc了

ProtoLogin:isUnlockRole -> 0x81959c
  • Frida hook 脚本(没有root的手机,用的frida-gadget方案)
// struct Il2CppClass// {// const Il2CppImage* image;// void* gc_desc;// const char* name;// const char* namespaze;// ...// }// struct MethodInfo// {// Il2CppMethodPointer methodPointer;// InvokerMethod invoker_method;// const char* name;// Il2CppClass *declaring_type;// const Il2CppType *return_type;// const ParameterInfo* parameters;// ...// };//写文件function writeFile(content) {var file = new File("/sdcard/hook/dump.txt", "a+")//a+表示追加内容,此处的模式和c语言的fopen函数模式相同file.write(content + "\n")file.flush()file.close()}//真机arm32版本function dumpOnArm() {var base_addr = Module.findBaseAddress("libil2cpp.so")var offset = 0x003EE9F8 //这里的偏移量不同的架构值不一样var p_size = 4 //(32位 armv7 x86) (64位写8 armv8 x86-64 )Interceptor.attach(base_addr.add(offset), {//在hook函数之前执行的语句onEnter: function (args) {var newMethod = this.context.r5 //r5表示R5 64位的arm用x5 需要查看具体的寄存器var pointer = newMethod.readPointer() //MethodInfovar name = newMethod.add(p_size * 2).readPointer().readCString()var klass = newMethod.add(p_size * 3).readPointer() //Il2CppClassvar klass_name = klass.add(p_size * 2).readPointer().readCString()var klass_spaze = klass.add(p_size * 3).readPointer().readCString()//console.log(klass_spaze + ":" + klass_name + ":" + name + " -> " + pointer.sub(base_addr))writeFile(klass_spaze + ":" + klass_name + ":" + name + " -> " + pointer.sub(base_addr))},onLeave: function (retval) {}})}setImmediate(dumpOnArm)
最新回复 (9)
  • 猛男z2021-6-21
    引用2
    感谢分享。虽然不是很懂
  • 今天分析一个unity的APP sign加密
    刚用Il2CppDumper和libil2cpp.so解global-metadata.dat成了DLL..
    但是可惜并没找到相关的代码  可能是我技术有限
  • daidaiv2021-6-21
    引用4
    谢谢楼主提供思路
  • cjethro2021-6-21
    引用5
    关注楼主好久了。可以的 话,请发个成品给小白我?
  • 难为阿!2021-6-21
    引用6
    那是不是可以基于这个解锁所有DLC?
  • 大大连连2021-6-21
    引用7
    支持楼主。
  • 楼主鹿慕2021-6-21
    引用8
    难为阿! 发表于 2021-6-21 18:42
    那是不是可以基于这个解锁所有DLC?

    对的可以的
  • GenW2021-6-21
    引用9
    cjethro 发表于 2021-6-21 18:34
    关注楼主好久了。可以的 话,请发个成品给小白我?

    禁止发布破解成品
  • 楼主鹿慕2021-6-21
    引用10
    闷骚小贱男 发表于 2021-6-21 21:27
    今天分析一个unity的APP sign加密
    刚用Il2CppDumper和libil2cpp.so解global-metadata.dat成了DLL..
    但是 ...

    什么游戏?
  • 游客
    11
返回