解决某APP游戏内购

对某APP内的道具购买进行破解

学习笔记三：对一款存在道具、关卡内购的APP进行破解使其道具、关卡购买免费化

一、将该未进行处理的APP通过模拟器安装使用

通过安装后的使用（购买其中的道具）发现该APP总体上通过手机发送短信的付费的方式进行支付操作。第二张图又说明在支付逻辑中存在验证码的验证。

二、利用Android KILLer 对其进行反编译

1、首先解决验证码的验证失败。

首先猜想是否存在这样的逻辑：判断APP是否存在短信的行为，有则进入验证码判断，无则跳出——验证：禁止该APP的短信发送权限（在AndroidManifest.xml中删除对应的权限，由下图可知该APP设置了两处短信发送权限[android.permission.SEND_SMS]）

2、将1中问题解决后打包安装，发现成功解决短信验证问题但并未实现免费内购。

重新查看反编译后工程。查看strings.xm文件定位关键词（支付、购买、成功、失败等等）——未通过相关关键词找到购买逻辑。
猜想其关键词直接写在代码中——通过工程搜索关键词的文本以及unioncode编码成功找到其购买逻辑。
同归jd-jui查看其java源文件可以清晰的看到其购买方法

public void payResultFalse()
  {
    this.psif.doPayFalse(payId);
    this.paysuss = false;
    Printlog("zhifu false");
    this.falseTime += 1;
    showDebug("购买失败");
    if ((this.falseTime == 2) && (MessageUtil.getInstance().ADOpen == 2) && (adf != null))
    {
      adf.init(this.context, this);
      showDebug("购买失败两次开启广告");
    }
    if ((getLibKind() == 1) && (MessageUtil.getInstance().sdkKind.equals("0")) && (getPayT() == 0)) {
      osif.pay();
    }
  }
  
  public void payResultSuccess()
  {
    float f1 = Float.valueOf(RecordOpreate.getInstance().getData(RecordOpreate.totalMoey)).floatValue();
    if ((f1 < MessageUtil.getInstance().limitMoney) && (this.payCodeMoney + f1 >= MessageUtil.getInstance().limitMoney)) {
      toastShow("恭喜您达到消费上限，自动开通尊享VIP，您可以免费购买任何道具");
    }
    float f2 = this.payCodeMoney;
    RecordOpreate.getInstance().saveData(RecordOpreate.totalMoey, f1 + f2);
    this.psif.doPaySuccess(payId);
    this.paysuss = true;
    this.statPtime = System.currentTimeMillis();
    System.out.println("dpv111111111" + this.dpv.size());
    int i = 0;
    for (;;)
    {
      if (i >= this.dpv.size())
      {
        System.out.println("dpv2222222222222" + this.dpv.size());
        this.falseTime = 0;
        if ((getLibKind() == 1) && (MessageUtil.getInstance().sdkKind.equals("0"))) {
          this.migfalseTime = 0;
        }
        showDebug("购买成功");
        return;
      }
      DialogPay localDialogPay = (DialogPay)this.dpv.get(i);
      localDialogPay.dismiss();
      this.dpv.remove(localDialogPay);
      i += 1;
    }
  }

在通过搜索其方法调用的中，还发现了以下调用

 public void onResult(int paramAnonymousInt, String paramAnonymousString, Object paramAnonymousObject)
      {
        lqap.dd(paramAnonymousInt, paramAnonymousString);
        MiGuSdkPay.this.Printlog("onResult" + paramAnonymousObject + "billingIndex" + paramAnonymousString + "resultCode" + paramAnonymousInt);
        switch (paramAnonymousInt)
        {
        default: 。
          MiGuSdkPay.this.payResultCancel();
          return;
        case 1: 
          MiGuSdkPay.this.payResultSuccess();
          return;
        }
        MiGuSdkPay.this.payResultFalse();
      }

3、定位关键点后进行修改

在对payResultSuccess与payResultFalse修改时，可以：
1)、将payResultFalse中的方法替换成payResultSuccess中的方法
2)、可以将自己编写一个invoke-virtual方法调用payResultSuccess方法来替换payResultFalse中的smali代码，并在最后加上return-void来进行返回。
在对onResult进行修改时，可以将switch中的几个方法调用全更改为payResultSuccess

4、对修改后的工程进行编译

将修改后的APK进行安装运行，点击购买弹出支付失败，但是点击确定后道具任然购买成功。至此在该APP上实现免费内购。

对本文，自我感觉错误有点多，希望各位指正！！！

三、总结：经过多次多种方法尝试后，在对去内购的过程中不能对某单一方法进行修改，最后的实现功能存在多种路径，应当不断寻找该方法内的方法调用来寻找合适的方法来进行修改

以后注意要注意事项：实验过程中发好几次未知的错误，导致修改失败，实验过程应该不断尝试寻找原因，并积累经验。