J2ME游戏破解心得之二

      上一次一篇《J2ME游戏破解心得暨反编译字节码操作研究》记录了我破解一款RPG游戏的短信计费代码，不出一个月，被许许多多的网站转载，而且没有注明出处。当然，这到不是最重要的，重要的是大家学会了破解的方法。
      最近在破解另一个深受大家喜爱的游戏时(名字我还是不提了)，遇到了和上次不同的问题，虽然都是发送短信计费，但代码的结构和逻辑发生了比较大的变化。上次破解时，关于发送短信的判断比较简单，就是成功了就返回成功，失败了捕捉异常返回失败，破解点也就显得简单，只需把返回失败的地方改成返回成功就行了。而这次是使用了一个匿名的线程类，发送时启动一个线程去处理，外部通过一些发送的状态变量值来判断。该类对应的文件是b.class，而匿名的线程类被编译到b$1.class中。b$1.class文件反编译出的代码如下：

  public void run() { try { b.if = true; MessageConnection messageconnection = null; String s = "sms://" + b.access$000(b.this); System.out.println(s); messageconnection = (MessageConnection)Connector.open(s); TextMessage textmessage = (TextMessage)messageconnection.newMessage("text"); textmessage.setPayloadText(b.access$100(b.this)); messageconnection.send(textmessage); messageconnection.close(); b.int[0]++; b.this.do.setRecord(1, b.int, 0, 1); if (b.int[0] < 2) { b.try = 3; } else { g.j = 1; a.do(); b.if = false; b.try = 6; } } catch (Exception exception) { b.try = -1; exception.printStackTrace(); } } 

可见要发送两次短信进行计费（心太黑了），b.try就是外部用于判断是否发送够的标志，发送够之后还做了其他一些事情。可见，用上一次的更改true、false不行了。网上也有一个例子是sendOK和sendFalse两个函数交换位置的，在这里也行不通。

我尝试了更改字节码，但发现在需要更改这样较多的字节码时，很难做到不出错。最后还是想到用javassist来处理，思路就是把messageconnection.send(textmessage);这一句“干掉”，当然，你也可以把MessageConnection相关的都“干掉”，那样连提示发送短信都没有了。

经过多方查找，找到了CtMethod的instrument方法，该方法可以对method内部的每一个表达式进行判断、替换，下面就来看看“干掉”send调用的代码：

  public static void main(String[] args) throws Exception{ ClassPool pool = ClassPool.getDefault(); CtClass cc = pool.get("c.b$1"); System.out.println(cc.getName()); CtMethod cm = cc.getDeclaredMethod("run", new CtClass[0]); cm.instrument(new ExprEditor() { public void edit(MethodCall m) throws CannotCompileException { if (m.getClassName().equals("javax.wireless.messaging.MessageConnection") && m.getMethodName().equals("send")) m.replace("{ }"); } }); cc.writeFile(); }

这个ExprEditor的意思就是，当表达式是调用MessageConnection类的send方法时，对该调用进行替换，我这里是替换成空字符串。

至此，该类替换完毕。反编译替换后的b$1.class代码变成以下：

  public void run() { try { b.if = true; MessageConnection messageconnection = null; String s = "sms://" + b.access$000(b.this); System.out.println(s); messageconnection = (MessageConnection)Connector.open(s); TextMessage textmessage = (TextMessage)messageconnection.newMessage("text"); textmessage.setPayloadText(b.access$100(b.this)); TextMessage textmessage1 = textmessage; MessageConnection messageconnection1 = messageconnection; messageconnection.close(); b.int[0]++; b.this.do.setRecord(1, b.int, 0, 1); if (b.int[0] < 2) { b.try = 3; } else { g.j = 1; a.do(); b.if = false; b.try = 6; } } catch (Exception exception) { b.try = -1; exception.printStackTrace(); } }

send那一行代码的确没有了，但多了两行这样的代码：

            TextMessage textmessage1 = textmessage;
            MessageConnection messageconnection1 = messageconnection;
不知道是为什么，但明显这两行对整个方法没有影响。

重新打包进jar，放在手机上测试，成功！

注意：

由于这是J2ME的程序，破解时最好新建一个J2ME的项目，尽管实际上就是一般的java控制台程序。因为我之前用java项目，class是改了，但是打进jar包运行要出错，而在J2ME项目下，修改后的class打进jar包是成功运行了的。