zoukankan      html  css  js  c++  java
  • 二进制比较:破解 LuaJIT 加密脚本的一种新思路。直接修改,无需反编译

        某传奇类手机网游,其界面中有一个“挂机”按钮,能够在野外地图中自动打怪、捡取物品等。但在某些“挑战地图”(挑战地图boss刷新多且快)中该按钮无法使用,只能依靠手刷。

    然而如果氪金40元宝(相当于充40元人民币),就可以解锁“挑战地图”的挂机功能,还能获得额外的奖励,说来也是比较良心的。但如果不氪金就没有办法了吗?不,作为一名Cracker,我们可以试试用技术来挑战这个限制。

        一开始的我比较无知,以为这种游戏是单纯的 Android 控件 打造的游戏,想用 DDMS 来查看方法调用。然而无果。然后发现这种手机游戏用的是游戏引擎,如 Cocos2d 等。解压该游戏的apk安装包后发现确实如此——包内存在luacocos2d.so 说明是用 Cocos2d 开发的游戏。通过一番查阅资料,得知了 Cocos2d-Lua 是用 Lua 脚本实现游戏的操控的,因此我们想要修改游戏逻辑,就需要找到对应的 Lua 脚本。然而用 DDMS dump下来整个游戏的数据目录,并没有发现任何 Lua 脚本。又查阅一番资料(https://bbs.pediy.com/thread-216969.htm),发现游戏在编译的时候可以将其打包为 zip 并加密,以保证脚本的安全性。最终确定了代码的存放地:main.zip 。如图

    然而这个 zip 是用 xxtea 加过密的,双击打不开,我们需要 sign 和 key 来解密。(详见:https://www.52pojie.cn/thread-594286-1-1.html)【附:还有另一种解密方法https://www.freebuf.com/column/173217.html】

    可以用记事本打开该 zip, 最前面的一串字符便是 sign :

    而 key 就需要借助 IDA Pro了,找key也很简单。用 IDA Pro 打开之前的 luacocos2d.so ,打开string窗口,直接搜索sign 的值,key就在附近(如图)。知道了这些就可以解密了。

    关于xxtea的解密,我们使用现成的工具吧:

    解密后,解压ZIP包,发现了很多类似于脚本文件的东西!然而打开文件发现是乱码,但隐隐约约发现还是有点内容的:

    从红色方框处可以知道这是 LuaJIT 文件,这是 Lua 代码编译之后的二进制文件。我们需要对其进行反编译,得到源码。详细操作见 LuaJIT反编译总结 :https://www.freebuf.com/column/173217.html 大致步骤:

    1、获取luajit 版本:IDA 打开so ,string 窗口搜“luajit”,得到版本:

    然后用 ljd 这个工具进行反编译,我写了个脚本把全部luajit反编译了。然后notepad ++ 搜索 “挑战地图不可挂机”  字符串,对比得到了目标文件“mir2.scenes.main.console.autoRat”,并定位出关键代码:

    很显然,我们只需修改 if 判断指令,但修改过后,如何编译呢?由于文件头的很多引用没反编译出来,编译出来的结果并不能用。联想到在 X86平台 下的机器码修改技术,尝试不反编译该LuaJIT文件,而是对其二进制代码直接进行修改。【注:以 X86 汇编中的跳转指令为例(因为很多时候 if 语句 在汇编语言中都会用跳转指令实现),JZ指令对应的机器码是 74,而 JNZ 指令对应的机器码是75 ,也就意味着只需要改动一个数值,就能实现逻辑上的反转。】 那么我们应该修改哪里呢?没有IDA 、C32ASM 这样的反汇编工具来辅助分析,我们又应该如何确定“if not ”对应的二进制代码的位置?确定了之后又如何将其改为“if”? 通过观察,我发现lua脚本编译后的二进制文件和其源码是有一定对应关系的规律可循的。我们做个小实验找到它:

    首先把这个关键函数复制下来,粘贴到 LUA 的 IDE 里面并保存为脚本,然后 使用 LuaJIt.exe 将其编译成二进制文件;

    再把 if not 改成 if ,再使用 LuaJIt.exe 将其编译成另一个二进制文件。

    然后用 010 editor 分别打开他俩,对比差异:

    看,区别就是一个 0E -> 0F ,一个 03 -> 04 。那我们尝试修改真正的脚本二进制文件:

    通过在目标二进制文件中搜索“020E0003005803”关键字(共找到了9个),结合其中的字符串和汉字的辅助定位,以及之前源码的参考,我确定了想要的那一个位置,并修改之:

    修改后,替换ZIP中的原文件,重新打包(不用加密也可以),传到手机存储中的原位置替换原 ZIP,就可以实现挑战地图挂机了。(当然,这么一改普通地图没办法挂机了,我们这里只做理论探讨,后续完善就先不说了)

  • 相关阅读:
    QTP的那些事右键点击对象的方法DeviceReplay
    QTP的那些事时间格式转换函数
    QTP的那些事DOM和childItem(row,column,micclass,index)
    QTP的那些事有关一个webtable数据的获取案例
    QTP的那些事webtable的一些重要使用集合精解
    QTP的那些事有关的一些重要可用的函数(发送邮件)
    ImportSheet in QTP Data Table from QC
    QTP的那些事执行用例后提交bug到QC中
    QTP的那些事一些需要记住的杂谈实践经验
    QTP的那些事报表自定义(excel,html,xml或者是其他格式的)
  • 原文地址:https://www.cnblogs.com/codex/p/13121614.html
Copyright © 2011-2022 走看看