iOS逆向-Unity3D游戏辅助开发

Unity3D(iOS)游戏辅助开发

前言：

看了庆哥 旅行的青蛙Unity游戏逆向修改--iOS篇之后，着手撸了个游戏试了试。

游戏名：弓箭英雄

英文名：Archero

BundleID: com.habby.archero

iTunes Store链接：itms-apps://itunes.apple.com/app/id1453651052

Hack Features:

英雄攻击：秒杀（6666）

英雄攻速：一秒5刀

英雄弹道速度： 总之很快

敌人伤害 ： 1

敌人弹道速度： 慢得一批

工具：

monkeyDev

Il2CppDumper

IDA Pro 7.0

frida-ios-dump

HookZz

LBGModifyMemoryValue

0x0: 砸壳

使用frida-ios-dump一键提取Archero.ipa

0x1: 执行文件丢进IDA解析

0x2: Il2CppDumper还原符号

将得到两个重要的文件：

dump.cs
script.py

dump文件是给自己做参考的，里面的方法 都标注有地址。

script.py这个是辅助IDA解析使用的。

dump.cs:

dump.cs

script.py:

222.png

0x3: 分析

dump.cs文件中包含了所有方法名、类名、偏移地址等等，可以直接从字符串入手，搜索：Attack、Speed等关键字，找到偏移之后，IDA中跳转地址。

以攻击力方法：0x101DB0AA8

333.png

IDA中找到地址，之后F5转到伪代码：

444.png

逻辑很简单，参数a1是一个地址（对象），a1偏移136后 *取值，拿到攻击力返回。

0x4: hook

关于hook，有多种办法可以修改攻击力的返回值，本次使用的是HookZz的ZzBuildHookAddress 和 LBGModifyMemoryValue的ModifyMemoryValue方法。

void *hack_Address_ptr_101C3B128 = (void *)(_dyld_get_image_vmaddr_slide(0) + 0x101C3B128 ); //ASLR+函数地址

ZzBuildHookAddress((void *)((unsigned long)hack_Address_ptr_101C3B128 ), (void *)((unsigned long)hack_Address_ptr_101C3B128 + 4), getpid_pre_call_sub_101C3B128, getpid_half_call_sub_101C3B128,TRUE);

ZzEnableHook((void *)((unsigned long)hack_Address_ptr_101C3B128));

代码运行到ASLR+ 0x101C3B128 地址后，触发 getpid_pre_call_sub_101C3B128 、 getpid_half_call_sub_101C3B128 方法.

方法触发后，在汇编 LDR W0, [X0,#0x88] (LDR等同于属性的 get 方法) 之前，改变(a1 + 136)内存地址的值:

555.png

打包运行，效果很明显 神挡杀神。但是有个小小问题，你可以秒别人，别人也可以秒你，也就是说攻击力这个方法，游戏英雄在使用，怪物也在使用。

继续逆向：

从IDA的伪代码看到：return *(unsigned int *)(a1 + 136),a1的136偏移得到攻击力，那说明英雄的对象模型和怪物的模型是一样的，都是136偏移的那个属性代表攻击力，嗯～ （工厂模式 + 继承）。
通过测试发现怪物攻击我时，*(unsigned int *)(a1 + 136)的值是固定的，比如200 、 150 而英雄的却是0，由此可以推断，英雄的攻击力是（武器装备+暴击+各种BUFF）组合而成的，而英雄本身是无伤害的，通过这个关键点逻辑，稍微修改修改代码：

666.png

这下打包运行后，效果就能接受了，怪我子弹攻击始终为1 ，而英雄的攻击伤害爆表（嗯～绿箭侠）。

其余攻击速度，子弹弹道速度都可以按上述方法逐一hook。

总结

1.本次逆向，站在了众多巨人肩膀之上。很遗憾，本人只做了一点微小的工作。

2.关于LBGModifyMemoryValue 是拆解、重新封装了DLGMemor.framework，可以在lldb中 po命令 写内存，读内存。

3.最终成品并没有Mod Menu Hack，也不需要，那东西给没有源码的用户用的。作用也只不过是修改各种hack的值。（当然狗屎灰会加个登录or授权框）。

4.关于迁移到非越狱，也可以借助HookZz来实现。

最后非越狱效果：

RPReplay_Final1575613688.2019-12-06%2014_31_52.gif