Baby unity3D

最新推荐文章于 2024-06-09 10:05:26 发布
最新推荐文章于 2024-06-09 10:05:26 发布
阅读量844 收藏 3
点赞数 1
分类专栏: CTF-RE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39268483/article/details/115833605
版权

Baby unity3D

IL2CPP就是将Unity3D等转换为IL中间语言,IL中间语言再转换为CPP,CPP为静态语言,运行效率更高。

assets/bin/Data/Managed/etc/global-metadata.dat

发现文件被加密了,利用Frida脚本根据文件头"AF 1B B1 FA "进行dump但是没有找到

源码解密

用IDA搜索了一下global-metadata.dat查找LoadMetaData没有发现字符串

顺着源码Runtime.cpp找到可疑字符串且发现了metadata字符串定位到了关键加密函数进行解密

import struct
f = open('global-metadata.dat', 'rb')
a = ""
a = f.read()
key = [0xF83DA249, 0x15D12772, 0x40C50697, 0x984E2B6B, 0x14EC5FF8, 0xB2E24927,
       0x3B8F77AE, 0x472474CD, 0x5B0CE524, 0xA17E1A31, 0x6C60852C, 0xD86AD267, 0x832612B7, 0x1CA03645, 0x5515ABC8,
       0xC5FEFF52, 0xFFFFAC00, 0x0FE95CB6, 0x79CF43DD, 0xAA48A3FB, 0xE1D71788, 0x97663D3A, 0xF5CFFEA7, 0xEE617632,
       0x4B11A7EE, 0x040EF0B5, 0x0606FC00, 0xC1530FAE, 0x7A827441, 0xFCE91D44, 0x8C4CC1B1, 0x7294C28D, 0x8D976162,
       0x8315435A, 0x3917A408, 0xAF7F1327, 0xD4BFAED7, 0x80D0ABFC, 0x63923DC3, 0xB0E6B35A, 0xB815088F, 0x9BACF123,
       0xE32411C3, 0xA026100B, 0xBCF2FF58, 0x641C5CFC, 0xC4A2D7DC, 0x99E05DCA, 0x9DC699F7, 0xB76A8621, 0x8E40E03C,
       0x28F3C2D4, 0x40F91223, 0x67A952E0, 0x505F3621, 0xBAF13D33, 0xA75B61CC, 0xAB6AEF54, 0xC4DFB60D, 0xD29D873A,
       0x57A77146, 0x393F86B8, 0x2A734A54, 0x31A56AF6, 0x0C5D9160, 0xAF83A19A, 0x7FC9B41F, 0xD079EF47, 0xE3295281,
       0x5602E3E5, 0xAB915E69, 0x225A1992, 0xA387F6B2, 0x7E981613, 0xFC6CF59A, 0xD34A7378, 0xB608B7D6, 0xA9EB93D9,
       0x26DDB218, 0x65F33F5F, 0xF9314442, 0x5D5C0599, 0xEA72E774, 0x1605A502, 0xEC6CBC9F, 0x7F8A1BD1, 0x4DD8CF07,
       0x2E6D79E0, 0x6990418F, 0xCF77BAD9, 0xD4FE0147, 0xFEF4A3E8, 0x85C45BDE, 0xB58F8E67, 0xA63EB8D7, 0xC69BD19B,
       0xDA442DCA, 0x3C0C1743, 0xE6F39D49, 0x33568804, 0x85EB6320, 0xDA223445, 0x36C4A941, 0xA9185589, 0x71B22D67,
       0xF59A2647, 0x3C8B583E, 0xD7717DED, 0xDF05699C, 0x4378367D, 0x1C459339, 0x85133B7F, 0x49800CE2, 0x3666CA0D,
       0xAF7AB504, 0x4FF5B8F1, 0xC23772E3, 0x3544F31E, 0x0F673A57, 0xF40600E1, 0x7E967417, 0x15A26203, 0x5F2E34CE,
       0x70C7921A, 0xD1C190DF, 0x5BB5DA6B, 0x60979C75, 0x4EA758A4, 0x078FE359, 0x1664639C, 0xAE14E73B, 0x2070FF03]
with open('decrypt', 'wb') as fp:
    n = 0
    while n < len(a):
        num = struct.unpack("<I", a[n:n + 4])[0]
        num = num ^ key[(n + n // 0x84) % 0x84]
        d = struct.pack('I', num)
        fp.write(d)
        n = n + 4

frida hook 解密

程序在运行时,解密完成利用Frida进行Hook

frida -U -l 2.js com.nu1l.crack

function frida_Memory(pattern)
{
Java.perform(function ()
{
    console.log("头部标识:" + pattern);
    var addrArray = Process.enumerateRanges("r--");
    for (var i = 0; i < addrArray.length; i++)
    {
        var addr = addrArray[i];
        Memory.scan(addr.base, addr.size, pattern,
        {
            onMatch: function (address, size)
            {
                console.log('搜索到 ' + pattern + " 地址是:" + address.toString());
                console.log(hexdump(address,
                    {
                        offset: 0,
                        length: 64,
                        header: true,
                        ansi: true
                    }
                    ));
                //0x108,0x10C如果不行,换0x100,0x104
                var DefinitionsOffset = parseInt(address, 16) + 0x108;
                var DefinitionsOffset_size = Memory.readInt(ptr(DefinitionsOffset));

                var DefinitionsCount = parseInt(address, 16) + 0x10C;
                var DefinitionsCount_size = Memory.readInt(ptr(DefinitionsCount));

                //根据两个偏移得出global-metadata大小
                var global_metadata_size = DefinitionsOffset_size + DefinitionsCount_size
                    console.log("大小:", global_metadata_size);
                var file = new File("/data/data/" + get_self_process_name() + "/global-metadata.dat", "wb");
                file.write(Memory.readByteArray(address, global_metadata_size));
                file.flush();
                file.close();
                console.log('导出完毕...');
            },
            onComplete: function ()
            {
                //console.log("搜索完毕")
            }
        }
        );
    }
}
);
}
setImmediate(frida_Memory("AF 1B B1 FA")); //global-metadata.dat头部特征

解密后的用IDA.py去导入函数名称和字符串。。最终AES解密得到flag

可以通过frida来hook参数,记录一下

Java.perform(function(){
    var soAdrr = Module.findBaseAddress("libil2cpp.so");
   
    var ptrAESEncrypt = soAdrr.add(0x518b54);

    Interceptor.attach(ptrAESEncrypt,{
        onEnter: function(args){
            console.log(("enter ptrAESEncrypt args[0]-> " + args[0]));
            console.log(("enter ptrAESEncrypt args[1] text->\n" + hexdump(args[1])));
            console.log(("enter ptrAESEncrypt args[2]-> password\n" + hexdump(args[2],{
                offset: 12,
                length: 12+16 * 2
            })));
            console.log(("enter ptrAESEncrypt args[3]-> iv\n" + hexdump(args[3],{
                offset: 12,
                length: 12+16 * 2
            })));
        },
        onLeave: function(args){
        }
    })
})

riru-il2cppdumper解密

原理

阅读了一下源码,发现其对dlopen函数进行了hook,判断根据调用的dlopen参数是否为il2cpp.so获取其句柄,根据句柄获得版本,使用反射进行dump

gradlew :module:assembleRelease编译riru-il2cppdumper

注意需要设置ndk版本为21.4版本否则会出错Execution failed for task ‘:module:externalNativeBuildRelease’

其次Riru版本要设置为v21.2从网上下了一个

playmak3r
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
unity 3d
weixin_44090877的博客
11-29 2881
unity 3d 1. unity3d脚本从唤醒到销毁有一套完整的生命周期,列出系统自带的几个重要方法?哪些可能在同一个对象周期中反复的发生? Awake -> OnEnable -> Start -> FixedUpdate -> Update - > LateUpdate-> OnGUI -> OnDisable -> OnDestroy OnEnable -> FixedUpdate -> Update -> LateUpdate -&
unity3D--枚举
qq_23355999的专栏
12-23 436
枚举类型    a:枚举类型是一种值类型,它用于声明一组命名的常数。    b:若要定义这些值,可以使用枚举类型。枚举类型是使用 enum 关键字声明的。   c:枚举的声明:枚举声明用于声明新的枚举类型。    访问修辞符 enum 枚举名:基础类型    {        枚举成员    } enum sex : byte  //显示指定枚举的底层数据类型
frida-il2cpp:一个适合使用Unity il2cpp游戏的人的帮助程序库
02-06
frida-il2cpp 那些想玩Unity il2cpp游戏的人的帮助库。 在Windows上进行了测试,但也可以轻松在Android / iOS上使用。 我认为只有Process.findModuleByName("GameAssembly.dll")!; il2cpp.ts需要更改。 示例类 import { Il2CppClassWrapper } from "../../frida-il2cpp/lib/il2cpp_class" ; import { il2cpp } from "../../frida-il2cpp/lib/il2cpp_globals" ; import {
Frida 安卓逆向破解Unity游戏IL2CPP
热门推荐
wodejiaoaoa的博客
03-24 1万+
准备一个要被破解的APP 这个游戏的功能是点击刷新 后生命值增加到8 魔法值增加到10 接下来用hook技术把这两个值改成9999 将安装包后缀.apk 改为.zip 解压 打开lib 文件夹 如果lib文件夹下或者在下层的子文件夹中有包含libunity.so则说明是unity制作的游戏 如果有libil2cpp.so 则说明是IL2CPP模式下构建的安装包 将这个libil2cpp.so 反编译看一下里面的函数 需要用到工具 1. il2cpp dumper 2. dnspy 打开il2cp
探索游戏逆向工程的利器:Il2CppDumper
最新发布
gitblog_00074的博客
06-09 600
探索游戏逆向工程的利器:Il2CppDumper 项目地址:https://gitcode.com/kagurazakasanae/Il2CppDumper-YuanShen 在游戏开发与安全研究领域,深入理解游戏内部机制往往是至关重要的一步。今天,我们介绍一个专为逆向工程师和游戏爱好者设计的强大工具——Il2CppDumper。这款经过优化的工具专注于解析《原神》(Genshin Impact)...
IL2CPP框架某手游逆向分析
q759451733的博客
04-09 1万+
很久没发文章了,这段时间学习了不少Android新知识,发出来学习学习,顺便总结一下。 以下内容仅供学习。 可以看出该手游是IL2CPP框架的游戏,那么在apk中肯定还有一个global-metadata.dat文件(除非加密)。 将global-metadata.dat和libil2cpp.so文件拷贝到同一个文件夹下。 使用Il2CppDumper将global-metadata.dat和libil2cpp.so进行解析,下载网站:https://github.com/Perfare/Il2CppD
利用frida实现游戏作弊
浅浅徘徊的博客
12-05 8661
前言 frida是一款轻量级hook框架,支持js、c,python,所以用它来调试各种软件非常便捷,不需要编译,反复注入等等 安装 python环境 pip install frida frida-tools 源码地址 https://github.com/frida/frida 下载地址 https://github.com/frida/frida/releases 将frida-ser...
一文带你轻松入门Frida框架,编写Hook脚本
个人笔记
11-29 8662
0x1 Frida框架简介 Frdia是一个强大的基于ptrace的trace工具,简言之,就是一个hook也就是跟踪并劫持函数的工具。 基于ptrace的动态trace 支持dalvik虚拟机、ART运行时以及native代码的hook 使用Javascript进行hook逻辑的编写 官方提供Python、C#、swift、node等语言 0x11 Frida的安装 由于Frida工具是一个...
孩子益智小游戏unity 5x系列Baby Doll House Cleaning.zip
02-28
Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity插件源码Unity...
PCA.rar_baby
09-14
"PCA.rar_baby"这个标题可能暗示了这是一个针对新手的PCA教程或资料包。 PCA的主要目标是将高维数据转换为低维空间,同时保持数据集中的方差最大。这种方法有助于减少数据复杂性,提高计算效率,并便于可视化。PCA...
Unity资源免费分享】孩子益智小游戏unity 5x系列Baby Doll House Cleaning
05-22
Unity资源免费分享】孩子益智小游戏unity 5x系列Baby Doll House Cleaning【Unity资源免费分享】孩子益智小游戏unity 5x系列Baby Doll House Cleaning【Unity资源免费分享】孩子益智小游戏unity 5x系列Baby Doll ...
Riru-Il2CppDumper-master.zip
01-08
Riru版Il2CppDumper,在游戏运行时dump数据,用于绕过保护,加密以及混淆。
amazon_baby.rar
10-11
标题中的"amazon_baby.rar"表明这是一个压缩文件,通常用于存储多个相关文件或数据集,以减少存储空间和便于传输。这种格式常见的压缩工具包括WinRAR或7-Zip。在这个案例中,它包含了名为"amazon_baby.csv"的数据...
baby-LIN-II.pdf
08-05
baby-LIN-II手册
技术分享 | Frida 实现 Hook 功能的强大能力
2301_78276982的博客
11-06 927
可以通过这个链接找到你所需要的 JS 函数。通过示例可以看到 Frida 实现 Hook 功能的强大能力,它可以定位到类的实例,并且对实例中的数据进行直接的修改,达到场景构建的目的。这些资料,对于【软件测试】的朋友来说应该是最全面最完整的备战仓库,这个仓库也陪伴上万个测试工程师们走过最艰难的路程,希望也能帮助到你!
Anroid 逆向工具
RFZ_322的博客
06-15 4879
JEB - The Interactive Android Decompiler.GDA - GGJoy Dex Analysizer(GDA),国内第一款也是唯一一款全交互式反编译器,同时也是世界上最早实现的dalvik字节码反编译器。IDA - The IDA Disassembler and Debugger is an interactive, programmable, extensible, multi-processor disassembler hosted on Windows, Lin
XY_RE复现(三)
2302_79135465的博客
05-01 1211
apk的dll,但我们需要解决的是exe,暂时卡住了,后面经过我的搜索,得到了GameAssembly.dll文件就相当于apk的那个.so文件,接下来就可以进行dump了。metadata 文件后,放入查找十六进制的文件,如果开头魔术字依然是 AF 1B B1 FA,那么一般来说是没有被混淆的。好吧,是ida打开GameAssembly.dll文件,Assembly-CSharp.dll还是用dnspy打开。结果output还是空的,看了一下,咔,dll文件被加壳了。嗯,有点复杂,先放在这里了。
以新手视角记frida-il2cpp-bridge的安装及使用
weixin_48067850的博客
04-15 924
对于这个工具的安装以及使用的教程较少,省略了很多细节,有的也不太详细,踩了很多的坑,所以我想在这里详细的说一说。把我遇到的问题给大家排排雷。
baby web server
08-23
Baby web server是一个非常简单、轻量级的Web服务器,它仅具有一些基本的功能和特性。Baby web server的目标是提供一个简单易用的环境,用于测试和学习目的,对于那些初学者来说非常适合。 Baby web server具有以下几个主要特点: 1. 轻量级:Baby web server的代码量非常小,占用系统资源较少。这使得它在性能上非常高效。 2. 简单易用:Baby web server提供了一个简单的界面和配置文件,使得用户能够很容易地设置和管理服务器。 3. 支持基本功能:Baby web server支持静态内容和简单的动态内容,可以处理HTTP请求并返回相应的内容。 4. 高度可定制:尽管Baby web server是一个简单的服务器,但它允许用户根据自己的需求进行一些定制,如添加新的功能或处理器。 5. 专注于学习和测试:Baby web server的设计初衷是提供一个学习和测试环境,因此它对于那些希望了解和掌握Web服务器的工作原理的人来说非常有用。 需要注意的是,由于Baby web server的简单性和轻量级特性,它并不适用于处理大量的并发请求或提供复杂的功能。对于生产环境或需要高性能和稳定性的场景,建议选择更成熟和专业的Web服务器。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值