Schwarzer教你破解Cytus2谱面加密

最新推荐文章于 2024-09-20 20:18:57 发布
最新推荐文章于 2024-09-20 20:18:57 发布
阅读量1.3w 收藏 10
点赞数 1
分类专栏: 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/schwarzer_w/article/details/79254014
版权

前前言

Lanotalium(Lanota可视化制谱器)的开发基本上也算完成了,闲的没事,把前些天尝试破解Cytus2谱面校验的过程记录下来,免得以后要用的时候自己都不知道搞过逆向(x

前言

Cytus2 iOS版发布了,立刻拿出来研究一番,il2CppDumper,启动!IDA,启动!
一看Dumper还有了新功能生成DummyDll,dnSpy,启动!

看起来比台湾诺西高到不知道哪里去了,直接加密了谱面,而不是采用校验的方式

一路查找KeyStore来历

查KeyStoreFactory.Create
其中反序列化了一段二进制文件,调用了IKeyStoreExtension.Init,跳转

发现了和string ”ASSET“ 比较了一番

初始化了一个Aes加密和另一个啥玩意,不过不重要,注意到解密谱面的时候

用的就是ASSET这个来寻找加密器,接下来就分析AesEncryptor

构造函数和一个静态解密方法中传递了Key数组,我们寻找一下这个静态函数的调用

发现接口函数实际上也调用了他,所以分析此静态函数就好
猜想解密的时候会调用此函数,我也打算学习一个动态调试,破解由此展开

环境

Windows:
  • VMWare Workstation 12
  • macOS 10.13 High Sierra 镜像
  • 能玩Cytus2的越狱iOS设备

配置

  1. 这篇文章装好macOS虚拟机与VMWare Tools
  2. 在macOS上下载并安装xcode
  3. 在macOS里去iFunbox官网下载iFunbox
  4. 打开xcode,把你的iOS设备与电脑连接
  5. xcode中 Window-Devices and Simulators 添加你的iOS设备

准备

以下步骤均在macOS中操作

1.usbmuxd
  • 点击下载
  • 打开命令行窗口A(窗口比较多,做个记号)切换到 /usbmuxd-1.0.8/python-client
  • 接着 sudo python ./tcprelay.py -t 22:2222
    这个窗口就可以放着不动了
2.debugserver
  • 打开iFunbox,点击Raw File System
  • /Developer/usr/bin下,把debugserver拖出来
  • 开启新命令行窗口B,切换到debugserver目录
    lipo -thin arm64 debugserver -output debugserver
    (若你是iPhone5/5c等32位设备请把arm64换为armv7s)
  • 新建一个文件,贴入以下文本,命名为ent.xml,放到debugserver旁边
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
        <key>com.apple.springboard.debugapplications</key>
        <true/>
        <key>get-task-allow</key>
        <true/>
        <key>task_for_pid-allow</key>
        <true/>
        <key>run-unsigned-code</key>
        <true/>
</dict>
</plist>
  • 接着敲ldid -Sent.xml debugserver,没错,-Sent.xml没有空格,没有ldidbrew install ldid一下,没有brew自己百度装brew(x
  • 再次打开iFunbox,把debugserver复制到iOS设备中的/usr/bin
3.连接
  • 在命令行窗口B,切换到/usbmuxd-1.0.8/python-client输入sudo python ./tcprelay.py -t 12345:12345,也可以放着不动了
  • 开启新命令行窗口C,输入ssh root@localhost -p 2222,SSH连接到iOS设备,密码一般是alpine
  • 输入ps -ef | grep "cytus2"
    记下cytus2的pid
  • 输入debugserver *:12345 --attach pid,此处为1650
  • 你会发现cytus2中断运行了,命令行窗口C也可放着不管了

破解

  • 打开命令行窗口D,敲lldb,回车,发现C,D同时走字,即连接iOS设备上的debugserver成功
  • 打开IDA,运行il2CppDumper提供的导入符号py脚本,定位至AesEncryptor$$_Decrypt
  • 记录下地址0x00000001000C5D74
  • 回到命令行窗口D,键入process connect connect://127.0.0.1:12345,等待连接
  • 显示如图则连接完成
  • 键入image list -o -f,拖到[1]项
  • 记录下模块地址0x00000000000b4000
  • 则实际代码地址为0x00000000000b4000 + 0x00000001000C5D74 = 0x0000000100179D74
  • 在命令行D输入br s -a 0x0000000100179D74下断点
  • 输入c继续cytus2运行,随便进首歌
  • 断点命中!再看看函数形参列表
  • key位于第四项,输入p $x4输出他的地址
  • 并不知道byte[]这个类的结构,先看内存为敬
  • 发现这个16很可疑,因为密钥长度可以为16
  • 再次dump后面的内存
  • 则密钥已呈现在眼前
  • Aes还需要一个IV向量才能解密,返回IDA
  • 经过我对注释位置下断点并单步调试得出设置IV向量的位置
  • 类似方法得到IV向量,发现竟然就是谱面文件5-20字节,这也和调用解密函数的第二个参数offset相吻合,为20

总结

  • 至此Cytus2破解工作已经结束
  • 解密只需用得到的Key,提取谱面5-20字节部分作IV向量,解密21字节及以后的部分,并用UTF8编码读出即可
  • 加密随机得到IV向量,先写入c2cd前缀,再写入IV向量,再写入加密数据即可

声明

  • 破解仅为学习使用,不会用于盗版或商用,用途包含自制导入,谢谢
【Seq2Seq】压缩填充序列、掩蔽、推理和 BLEU
sikh_0529的博客
10-02 2949
在本笔记本中,我们将对上一个笔记本中的模型添加一些改进 - 填充序列和遮罩。打包的填充序列用于告诉我们的 RNN 跳过编码器中的填充令牌。掩码会显式强制模型忽略某些值,例如对填充元素的注意力。这两种技术都常用于 NLP。我们还将研究如何使用我们的模型进行推理,通过给它一个句子,看看它翻译它是什么,看看它在翻译每个单词时究竟在哪里注意。最后,我们将使用BLEU指标来衡量翻译质量。
国服Cytus2解密与注入
Schwarzer
05-19 5977
目标 国服Cytus2是Unity3d游戏,未采用il2cpp运行时,而是mono。这给Cytus2自制(导入自行制作的关卡)留下可能。 目标明确:修改Assembly-CSharp.dll并成功运行自己的代码。 资源 本文以com.ilongyuan.cytus2.ly.TapTap-2300.apk为对象,版本为2.3.0。 其余使用IDA 7.0,一部root安卓手机(本人型号Mi 6, 8...
笔试二:摩斯密码传递情书
yiguang_820的博客
04-09 3279
import java.util.LinkedList; import java.util.List; import java.util.Scanner; public class Test4 { public static void move(List array2,int num) { int index=0; while(index<num) { array2....
苹果如何安装ipa(亲测有用,无需越狱)
最新发布
gitblog_06569的博客
09-20 3350
苹果如何安装ipa(亲测有用,无需越狱) 苹果如何安装ipa亲测有用无需越狱 项目地址: https://gitcode.com/Resource-Bundle-Collection/6f9ef ...
【游戏开发进阶】你使用IL2CppDumper从Unity il2cpp的二进制文件中获取类型、方法、字段等(反编译)
热门推荐
linxinfa的专栏
05-09 6万+
文章目录一、前言二、下载IL2CppDumper三、Unity Demo工程四、IL2CPP打包五、拿到libil2cpp.so与global-metadata.dat六、执行Il2CppDumper.exe七、查看反编译后的文件1、dump.cs2、il2cpp.h3、script.json4、stringliteral.json5、DummyDll/Assembly-CSharp.dll八、结束语 一、前言 点关注不迷路,持续输出Unity干货文章。 嗨,大家好,我是新发。 Unity使用Mono方式打
Cytus2-wiki-React:cytus2wiki.com | 节奏游戏Cytus II的中文Wiki
05-27
Cytus2-wiki-React Cytus2 Chinese wiki | Cytus2 中文维基 link: current verison: 3.6 当前版本为3.6 How to edit wiki | 如何编辑维基:
【软件逆向】如何逆向Unity3D+il2cpp开发的安卓app【IDA Pro+il2CppDumper+DnSpy+AndroidKiller】
zhangjiuding的博客
11-04 7012
【软件逆向】如何逆向Unity3D+il2cpp开发的安卓app【IDA Pro+il2CppDumper+DnSpy+AndroidKiller】
Schwarzer你用OpenCV实现基于标记的AR
Schwarzer
11-29 2635
本文将一步步您如何使用OpenCV实现基于一个标记的简单AR
Schwarzer Kaffee-开源
04-24
在这个例子中,Schwarzer Kaffee项目为Modula-2程序员提供了一个方便的桥梁,让他们能够轻松地在Modula-2程序中使用SDL的功能,如渲染图像、播放声音、处理用户输入等。 从“sk-0.2.0-1.2.13”这个压缩包子文件的...
gta5汽车oracle2数据,《GTA5原生载具仪表盘数据参数表类型引导》
weixin_35955928的博客
04-04 1667
ninef / ninef2 / adder / entityxf / exemplar / f620 / voltic / rapidgt2 / rapidgt / massacro / surano / alpha / massacro2 /vehicles_supergt_interiorblista / asea / asea2 / schwarzer / felon2 / felon /...
R语言Meta分析实战程:掌握数据分析关键
"经典的R语言Meta分析程"是一本由Guido Schwarzer、James R. Carpenter和Gerta Rücker合著的专业书籍,作为UseR!系列的一部分,它详细介绍了如何利用R语言这一强大的数据分析工具来进行Meta分析。Meta分析是一种...
一键提取游戏APK包音乐
01-07
本工具用于提取游戏APK包的音乐,无需解包,方便快捷。
Il2CppDumper
07-06
逆向工具demo。需要的人可以下载使用。 把libil2cpp.so,global-metadata.dat跟程序放在一起,双击运行,可以选择Manual模式需要手动输入两个参数的offset,具体参照这个,不过R0,R1是倒过来的别弄错了。
Il2CppDumper-v6.4.15.zip
12-04
## 功能 * 还原DLL文件(不包含代码),可用于提取`MonoBehaviour`和`MonoScript` * 支持ELF, ELF64, Mach-O, PE, NSO和WASM格式 * 支持Unity 5.3 - 2020 * 生成IDA和Ghidra的脚本,帮助IDA和Ghidra更好的分析il2cpp文件 * 生成结构体头文件 * 支持从内存dump的`libil2cpp.so`文件以绕过保护 * 支持绕过简单的PE保护
Unity IL2CPP 游戏分析入门
fenfei331的博客
11-15 4380
为了抵抗Il2CppDumper,敌人变狡猾了,所以作者推出了更帅的现在套路这么多,技能得不断更新才能跟的上,又要掉头发了。变来变去的都是外围,万变不离其宗的还是arm汇编,最后的定位还是需要你的汇编功底。网络游戏改存盘是没用的,一联服务器就把你覆盖了。富贵故如此,营营何所求。
(十六)、反汇编unity il2cpp apk
as467884505的博客
11-28 1万+
unity apk会出现两种情况, 1、解压后asset->bin->Data->Managed中有很多dll,这是用unity mono打包的,直接用dnspy/Reflector等工具打开Assembly-CSharp.dll即可 2、解压后asset->bin->Data->Managed中有3个文件夹etc、Metadata、Resources,这是...
[IL2CPP逆向] 某立志传 - 脱离Steam运行
BY_HEY的博客
02-12 9352
游戏是Unity游戏,但是用了il2cpp,非mono编译,只看GameAssembly.dll,dnspy可以pass掉了。IDA Pro先用Il2CppDumper 把游戏符号Dump出来,接着IDA配合CE调试分析。
探索游戏背后的奥秘:Il2CppDumper开源项目深度解析
gitblog_00227的博客
08-08 384
探索游戏背后的奥秘:Il2CppDumper开源项目深度解析 项目地址:https://gitcode.com/gh_mirrors/il/Il2CppDumper Il2CppDumper是一款针对Unity引擎的il2cpp反编译工具,旨在帮助开发者和逆向工程爱好者从加密的Unity游戏中解密和恢复代码。它不仅能够完全还原除代码外的DLL,还能支持各种平台格式,并且提供配套的IDA、Ghidr...
记一次RATEL脱壳配合Il2CppDumper解密完成的样本分析
weixin_44348983的博客
11-17 2677
今天分析一个网赚类的样本,业务方要我搞清楚为什么每次完成任务出现红包时,总会随之弹出一个插屏广告。 大概就是下图这样,说实话,弹几层广告确实挺恶心,关起来都麻烦 先在测试机装上应用,发现有root检测,试过几个通用的过root检测的frida脚本,发现不行 看了下代码,是网易的壳 正好,最近在看Ratel,刚好来练练手,试试在非root环境下Ratel的脱壳怎么样 Rate...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值