Unity3D(iOS)游戏辅助开发
前言:
看了庆哥 旅行的青蛙Unity游戏逆向修改--iOS篇之后,着手撸了个游戏试了试。
游戏名:弓箭英雄
英文名:Archero
BundleID: com.habby.archero
iTunes Store链接:itms-apps://itunes.apple.com/app/id1453651052
Hack Features:
英雄攻击:秒杀(6666)
英雄攻速:一秒5刀
英雄弹道速度: 总之很快
敌人伤害 : 1
敌人弹道速度: 慢得一批
工具:
monkeyDev
Il2CppDumper
IDA Pro 7.0
frida-ios-dump
HookZz
LBGModifyMemoryValue
0x0: 砸壳
使用frida-ios-dump一键提取Archero.ipa
0x1: 执行文件丢进IDA解析
0x2: Il2CppDumper还原符号
将得到两个重要的文件:
dump.cs
script.py
dump文件是给自己做参考的,里面的方法 都标注有地址。
script.py这个是辅助IDA解析使用的。
dump.cs:
script.py:
0x3: 分析
dump.cs文件中包含了所有方法名、类名、偏移地址等等,可以直接从字符串入手,搜索:Attack、Speed等关键字,找到偏移之后,IDA中跳转地址。
以攻击力方法:0x101DB0AA8
IDA中找到地址,之后F5转到伪代码:
逻辑很简单,参数a1是一个地址(对象),a1偏移136后 *取值,拿到攻击力返回。
0x4: hook
关于hook,有多种办法可以修改攻击力的返回值,本次使用的是HookZz的ZzBuildHookAddress 和 LBGModifyMemoryValue的ModifyMemoryValue方法。
void *hack_Address_ptr_101C3B128 = (void *)(_dyld_get_image_vmaddr_slide(0) + 0x101C3B128 ); //ASLR+函数地址
ZzBuildHookAddress((void *)((unsigned long)hack_Address_ptr_101C3B128 ), (void *)((unsigned long)hack_Address_ptr_101C3B128 + 4), getpid_pre_call_sub_101C3B128, getpid_half_call_sub_101C3B128,TRUE);
ZzEnableHook((void *)((unsigned long)hack_Address_ptr_101C3B128));
代码运行到ASLR+ 0x101C3B128 地址后,触发 getpid_pre_call_sub_101C3B128 、 getpid_half_call_sub_101C3B128 方法.
方法触发后,在汇编 LDR W0, [X0,#0x88] (LDR等同于属性的 get 方法) 之前,改变(a1 + 136)内存地址的值:
打包运行,效果很明显 神挡杀神。但是有个小小问题,你可以秒别人,别人也可以秒你,也就是说攻击力这个方法,游戏英雄在使用,怪物也在使用。
继续逆向:
从IDA的伪代码看到:return *(unsigned int *)(a1 + 136),a1的136偏移得到攻击力,那说明英雄的对象模型和怪物的模型是一样的,都是136偏移的那个属性代表攻击力,嗯~ (工厂模式 + 继承)。
通过测试发现怪物攻击我时,*(unsigned int *)(a1 + 136)的值是固定的,比如200 、 150 而英雄的却是0,由此可以推断,英雄的攻击力是(武器装备+暴击+各种BUFF)组合而成的,而英雄本身是无伤害的,通过这个关键点逻辑,稍微修改修改代码:
这下打包运行后,效果就能接受了,怪我子弹攻击始终为1 ,而英雄的攻击伤害爆表(嗯~绿箭侠)。
其余攻击速度,子弹弹道速度都可以按上述方法逐一hook。
总结
1.本次逆向,站在了众多巨人肩膀之上。很遗憾,本人只做了一点微小的工作。
2.关于LBGModifyMemoryValue 是拆解、重新封装了DLGMemor.framework,可以在lldb中 po命令 写内存,读内存。
3.最终成品并没有Mod Menu Hack,也不需要,那东西给没有源码的用户用的。作用也只不过是修改各种hack的值。(当然狗屎灰会加个登录or授权框)。
4.关于迁移到非越狱,也可以借助HookZz来实现。
最后非越狱效果:
