J2ME游戏破解心得暨反编译字节码操作研究

      最近换了一个新手机samsung F488E，终于可以在自己的手机上耍耍游戏了（以前开发J2ME的游戏，都是用的公司测试机）。于是疯狂的下载了一些适合触摸屏240*320的java游戏，其中有一款RPG游戏玩得很开心，可惜某些地方要发短信收费，一气之下动了破解的念头。以前做过J2ME的开发，熟知J2ME程序都会在最终发布的时候进行混淆编译，一是避免程序被反编译，二是可以大大的减小程序包体积。

破解的思路很简单：找到实际调用发送接口的方法，让它始终返回“发送成功”，于是多种工具齐上阵就开始干了。

      首先需要把class文件都反编译出来，java反编译工具很多，网上评论也不尽相同，但我试过很多，面对混淆后的字节码，表现得都一样。我使用的是XJad。经过一番查找，找到这样一个方法：

private static boolean a(String s1, String s2) { MessageConnection messageconnection; TextMessage textmessage = (TextMessage)(messageconnection = (MessageConnection)Connector.open(s1)).newMessage("text"); if (ad.a(messageconnection) || ad.a(textmessage)) return false; textmessage.setAddress(s1); textmessage.setPayloadText(s2); messageconnection.send(textmessage); messageconnection.close(); return true; JVM INSTR pop ; return false; }

      毫无疑问，这就是实际发送短信的地方了。我曾试着把所有反编译过来的java文件中的错误全部改掉，里面有很多乱七八糟的代码，最终自然是编译通过，但不能运行。

      接下来，就要针对这个方法做处理了，有两个思路：一是直接修改字节码，把上述的"return false"的地方统统改成"return true"；二是在这个方法的开始加入这段代码"if(true)return true;"。这两个方法在理论上都是可行的。

      一、直接修改字节码

      要查看“return false”对应字节码需要使用JClassLib工具，JClassLib有一个可视化的界面，启动命令：java -jar jclasslib.jar， 方便我们查看类的变量、方法、静态数据等，如下图：

这个a方法（也许实际名称就是sendsms）的字节码如下：

 0 aload_0
 1 invokestatic #42 <javax/microedition/io/Connector.open>
 4 checkcast #11 <javax/wireless/messaging/MessageConnection>
 7 dup
 8 astore_2
 9 ldc #61 <text>
11 invokeinterface #48 <javax/wireless/messaging/MessageConnection.newMessage> count 2
16 checkcast #12 <javax/wireless/messaging/TextMessage>
19 astore_3
20 aload_2
21 invokestatic #29 <ad.a>
24 ifne 34 (+10)
27 aload_3
28 invokestatic #29 <ad.a>
31 ifeq 36 (+5)
34 iconst_0
35 ireturn
36 aload_3
37 aload_0
38 invokeinterface #50 <javax/wireless/messaging/TextMessage.setAddress> count 2
43 aload_3
44 aload_1
45 invokeinterface #51 <javax/wireless/messaging/TextMessage.setPayloadText> count 2
50 aload_2
51 aload_3
52 invokeinterface #49 <javax/wireless/messaging/MessageConnection.send> count 2
57 aload_2
58 invokeinterface #47 <javax/wireless/messaging/MessageConnection.close> count 1
63 iconst_1
64 ireturn
65 pop
66 iconst_0
67 ireturn
通过查找JVM指令集，0x03 iconst_0   将int型0推送至栈顶 ，0x04 iconst_1   将int型1推送至栈顶 ，0xac ireturn    从当前方法返回int，很明显，63-67行就是对应的

return true;
JVM INSTR pop ;
return false;

这5行对应的16进制值是：0x04,0xAC,0x57,0x03,0xAC,于是，用16进制编辑器打开，查找04AC5703AC的位置，果然不负众望，接下来你知道怎么做了吧，把0x03这个位置的值换成0x04，那么这个return false不就变成return true了，呵呵。

      二、在该方法体前加直接返回true的代码

      这个方法比上一方法更加灵活强大，使用Javassite和JClassLib相结合，甚至可以将class改得“体无完肤”，哈哈哈哈。还是以这个方法为例，通过反编译后，知道该方法名和参数，则可以通过Javassite获取到该方法对象，进而进行更多的处理。在eclipse建一个Java项目，把Javassite和JClassLib的jar包加进去，演示代码如下：

public static void main(String[] args) throws Exception{ ClassPool pool = ClassPool.getDefault(); CtClass cc = pool.get("s"); System.out.println(cc.getSuperclass().getName()); CtMethod cm = cc.getDeclaredMethod("a", new CtClass[]{pool.get("java.lang.String"),pool.get("java.lang.String")}); cm.insertBefore("{if(true)return true;}"); cc.writeFile(); }

      其中的pool.get("s")，s就是方法所在的类名，这个地方整得很简洁，连包名都没得，呵呵，一般可能是com.pa.s。CtMethod有很多有用的方法，参考来自http://dev.csdn.net/article/53/53243.shtm 的文章可以发现，这里只使用到insertBefore，还有setBody也是很实用的。

      以下是使用setBody方法实现的方法替换：

public static void main(String[] args) throws Exception{ ClassPool pool = ClassPool.getDefault(); CtClass cc = pool.get("s"); System.out.println(cc.getSuperclass().getName()); CtMethod cm = cc.getDeclaredMethod("a", new CtClass[]{pool.get("java.lang.String"),pool.get("java.lang.String")}); /* cm.insertBefore("{if(true)return true;}"); */ CtMethod m2 = CtNewMethod.copy(cm, cc, null); cm.setName(cm.getName() + "_orig"); //setBody第一个参数是要设置的方法体，第二个参数就是CtClass中对应的类名 //m2.setBody("{ System.out.println(/"call/"); return $proceed($$);}", "s", cm.getName()); m2.setBody("{ return true;}", "s", cm.getName()); cc.addMethod(m2); cc.writeFile(); }

      经过如此替换之后，该方法变成如下：

private static boolean a_orig(String s1, String s2) { MessageConnection messageconnection; TextMessage textmessage = (TextMessage)(messageconnection = (MessageConnection)Connector.open(s1)).newMessage("text"); if (ad.a(messageconnection) || ad.a(textmessage)) return false; textmessage.setAddress(s1); textmessage.setPayloadText(s2); messageconnection.send(textmessage); messageconnection.close(); return true; JVM INSTR pop ; return false; } private static boolean a(String s1, String s2) { return true; }

     可见，原方法已经被新方法替换了。

     CtClass的wrtieFile方法，将更新后的字节码写入class文件。     

      但在本例中，采用insertBefore这样生成的class，安装到手机上后，调用该方法时出现了程序直接跳出来的现象，可能是某些改得引起了手机的不兼容，而setBody方法没有这个问题。当然，对于其他的java应用，这样的改动应该是不会出现这样的问题的。

      最后总结一下，破解J2ME游戏的简要步骤就是：

     1、反编译class文件，可能部分代码不可读，但瞄准破解的关键地方，针对某个类某个方法来处理；

     2、使用JClassLib分析类、方法的字节码，与反编译的代码进行比对，查找对应的16进制值位置；或者使用Javassite修改对应的方法字节码，重新生成class文件。

     3、对于简单的值修改，使用16进制编辑器进行修改即可。

     以上是今天破解一个J2ME游戏和字节码操作的心得，供大家参考，欢迎交流！