Unity游戏逆向及破解⽅法介绍
背景介绍
随着⼿游的发展,Unity3D引擎逐渐成为主流的游戏开发解决⽅案,传统cocos的2D游戏逐渐被取代,⼀些公司在Unity3D游戏⽅⾯的产出也越来越多,如天天飞车,天天来战,全民破坏神,全民偶像,全民突击等游戏。Unity3D游戏的不断产出,游戏的安全性要求也越来越⾼,在此归纳⼀些逆向⽤到的⽅法和思路以及⼀些辅助性⼯具,做⼀些知识普及。
识别Unity游戏
Android平台的apk包可以直接解压,看是否有./assets/bin/Data/Managed⽬录,也可以查看lib⽂件夹下⾯包含的⼀些so,如果有libmono,libunity等模块,基本可以确定是unity游戏了。
Android平台中C#编写的主逻辑模块代码静态编辑之后存储于Assembly-CSharp.dll⽂件中。因为unity的跨平台,Android平台是unity 编译的游戏,那么其对应的IOS平台上也是unity编译出来的。如果希望直接从IOS上⾯去看是否是unity游戏,可以提取游戏中的主模块查看是否有unity之类的函数即可。
破解思路
下⾯列举了⼀些破解版思路,如果能直接下断点在函数头修改寄存器可直接修改寄存器测试,遇到⼀些不能直接修改的,就⽤第⼆种⽅法,把修改后的Assembly-CSharp.dll注⼊到游戏中,让游戏执⾏我们修改后的代码。另外也可以动静态修改⼆进制实现。
⼀、 修改unity游戏逻辑代码编译成汇编代码相关的值
(1) 修改传进来的参数,即寄存器,⼀般是set之类的函数
(2) 汇编代码中尽量不修改内存,不修改opcode,能改寄存器直接改寄存器
⼆、反编译Assembly-CSharp.dll,直接修改unity的C#源代码
(1)修改函数返回值
(2)直接删除函数体,只剩下 ret 指令
(3)在对应函数修改,对变量进⾏处理
(4)在对应函数增加⼀些call处理,主动call
三、分析源码直接修改代码
(1) 通过分析unity反编译后的源码到对应的汇编指令下断点修改寄存器
(2) 通过直接静态分析dll,直接修改IL码的⼆进制码
四、在加载dll的函数位置dump原来的dll代码,可绕过dll加密,修改源代码
(1)hook住mono_image_open_from_data_full函数,dump出dll可以,⽤IDA配合jdb挂起进程在那函数位置下断点dump也可以,源代码具体修改⽅案同“⼆”和“三”
常⽤⼯具
⼀、 IDA⼯具
可以进⾏动态调试和静态分析的⼯具,能在合适的位置下断点,修改指定寄存器和编写IDC脚本配合分析,不多介绍
⼆、 ILSpy
反编译和分析dll代码,可以交叉引⽤,可以以源码形式保存反编译的代码,提供代码给DirFind等字符串搜索定位⼯具定位代码位置
三、 .NET Reflector + Reflexil
反编译和分析dll代码,弥补了ILSpy⼀些功能性的缺陷,可以分析出错误的CLR⽂件头,⼀些在ILSpy显⽰不出的dll⽂件,如果只是因为dll 头部被修改,放在.NET Reflector中是可以分析出的。Reflexil则是.NET Reflector的⼀款插件,可以反编译和回编译IL码,⽅便实⽤可视化。
四、 Ilasm和ildasm
Ildasm可以反编译dll,dump出反编译后的il码,⽽Ilasm则可以重打包il码,利⽤命令ilasm /dll *.il 即可。
常⽤IL码⼆进制
(1)nop ⼆进制是 0x00
(2)ldc.i4.0 ⼆进制是 0x16
(3)ldc.i4.1 ⼆进制是 0x17
(4)ret ⼆进制是 0x2A
手机游戏源码论坛(5)ldc.r4 ⼆进制是 0x22 ,后⾯跟四个字节
案例
案例⼀:在函数头下断点(全民反恐攻击任意伤害)
利⽤ILSpy反编译的unity游戏源代码,在⾥⾯到⼀个影响伤害的函数,发现⾥⾯的传参第⼀个参数就是伤害值,那么我们利⽤断点⼯具在FPlayerPawn::TakeDamage函数头下断点,然后修改r1寄存器,继续运⾏就可以了。
案例⼆:利⽤IDA在函数头下断点(悟空降魔任意修改⾎量值)
利⽤ILSpy反编译后的unity游戏源代码,在⾥⾯到⼀个影响⾎量设置的函数set_curHP,⽤IDA⼯具调到地址下断点,修改r1寄存器值。案例三:Reflector+Reflexil修改源码返回值后注⼊(全民偶像任意舞蹈满分过关)
利⽤Reflector反编译unity游戏源代码,到CRhythmGamingCore::GetHitResult
函数,利⽤Reflexil插件编辑IL码把返回值修改成1,相当于直接返回“amazing”。然后保存成新的dll⽂件,并利⽤⼯具将模块注⼊到游戏中。
修改后,反编译结果如下:
案例四:Reflector+Reflexil删除函数体后注⼊(全民突击不限时)
利⽤Reflector反编译unity游戏源代码,到TaskGameTimeReached::OnUpdate函数,利⽤Reflexil插件删除函数体,变成下⾯的形式,注⼊到游戏中即可。
案例五:Reflector+Reflexil call函数(全民破坏神技能⽆CD)
利⽤Reflector反编译unity游戏源代码, 利⽤Reflexil在函数加⼀句话主动call函数,可以清空所有技能CD。
⼩结
Unity引擎游戏从⽬前的情况来看,相对于cocos的游戏还是不安全的,毕竟⽬前很多Unity游戏都直接暴露了dll,尽管没有暴露dll,也能直接dump出dll去反编译分析,直接看到了源码。⽽unity游戏既可以从汇编层⼊⼿也可以从源代码⼊⼿,汇编层的话直接到函数编译后的地址然后下断点就可以了;如果是修改源码的话则需要把回编译的dll注⼊到mono加载dll的那个地⽅。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论