上篇的Unity3d DLL通用解密方法分享后,有同学反馈说,某讯的手游使用烧饼修改器搜索内存会强制退出。去年看的时候还没有反修改器功能的,应该是后来有功能升级了。
针对这种反修改器搜索的情况,我们来研究个新的对抗方法。这个方法相比上一个稍微复杂一点,不过如果有一定逆向基础,也是比较浅显易懂的。当然也可以通过zygote中转DLL进去HOOKmono_image_open_from_data_with_name方法来解密,不过门槛相对比较高。
先思考一下他反修改器搜索的原理,必定是通过某个线程来检测修改器的,如果把所有线程都给卡住,他的检测也就失效了。
如何把线程卡住呢?有个比较简单的方法,就是用IDA attach到游戏上。
attach上去后,再打开烧饼修改器,再搜索就正常了。