0x00 引子
平时做应用测试时,手机root对测试人员来说是件很重要的事(沙箱目录访问、代码hook等操作),但是现在的手机越难越来root,光是手机解个锁都要等300个小时。所以急需一个方法来缓解前述情况,幸好有个叫VirtualApp的开源工具,帮了我一个大忙,让我不root手机也可以进行跨进程hook了。估计已经有不少人在使用这个工具了,简单的说呢,这个VirtualApp其实一个运行在Android环境下的一个沙箱,我们可以在这个沙箱里跑任何其他应用。
0x01 壹
在VirtualApp上做二次开发,我们可以做一些诸如脱壳机、多开器等工具。对于做游戏安全测试的我来说呢,VirtualApp最大的好处就是为我提供了一个免root跨进程hook C/C++代码的环境(其他常用的hook框架,比如Substrate、frida都需要root环境)。在VA里运行的应用,每当要加载一个so文件的时候,都会调用onSoLoaded(const char *name, void *handle)函数,第一个参数是加载的so的全路径,第二个参数是so加载后的句柄指针,通过这个接口我们就可以对native代码进行大刀阔斧的改造了。
0x02 贰
针对IL2CPP形式的unity游戏的hook来说呢,直接通过dlsym去找符号就行了。
if (strstr(name, "libil2cpp.so") != NULL) {
MYLOGD("onSoLoaded==>%s", name);
void *decryptAes128= (void*)dlsym(handle,"_ZN6jlicht10CryptoUtil13decryptAes128ERKSsS2_");
MYLOGD("decryptAes128=>%p",decryptAes128);
MSHookFunction((void *) decryptAes128, (void *) new_decrypt_aes128,
(void **) &old_decrypt_aes128);
}
那么对于unity+mono或者cocos的游戏,常用的方法是修改脚本或者通过内存搜索工具直接修改内存以及抓包改协议中的字段。
对于内存修改,个人运用的不是很娴熟,即使找到关键数据,却常常因为不能精准定位而放弃;
对于抓包修改协议字段的方法,第一,很多游戏不用http/https协议,所以burp、fiddler这类工具就排不上用场,tcpdump和wireshark又不能时时修改、重放(肯定有其他支持tcp、udp的抓包工具,并且能实现动态调试的功能,可惜我还不知道),第二大多数游戏的协议是被加密或者被压缩了的,就算抓到包,也需要自己编写插件去解密或解压;
对于修改脚本的方法,一个很麻烦的方法是静态修改了脚本,重新打包apk,然后安装运行,这个方法缺点就是,遇到比较奇怪的包,可能无法重新打包,这是就要根据apktool报错信息一步一步去修复,工作量还是挺大的。最气的是每次重新安装,如果游戏有新手教程并且新手教程没办法跳过,你每次打包一次就要花几分钟去完成新手教程(即便你通过修改脚本略过了新手教程,这也无形的增加了工作量);
那么有了VA的话,我们可以hook脚本加载的地方,比如mono的mono_image_open_from_data_with_name以及cocos常用的lua脚本加载函数luaL_loadbuffer,然后将这些脚本(以及目录结构)映射到手机的SDCard下,这样一来,我们每次通过替换SDCard目录下的文件,就可以直接让游戏加载我们修改后的脚本了,除此功能之外,如果静态分析发现脚本被加密,那么hook这两个函数dump出来的脚本也是被解密状态。
void* (*old_mono_image_open_from_data_with_name)(char *data, size_t data_len, int a3, void *a4, char a5, char* name);
void* new_mono_image_open_from_data_with_name(char *data, size_t data_len, int a3, void *a4, char a5, char* name){
MYLOGD("Hnew_mono_image_open_from_data_with_name=>%s==================",name);
if (strstr(name,"dll")!=NULL) {
char pDll[256] ={0};
sprintf(pDll,"%s/%s",DUMP_DLL_DIR_PATH,name);
if (access(pDll, 0) == -1) {
if(is_dump_dll>=0) {
//Assembly-CSharp.dll不存在则dump
FILE *file = fopen(pDll, "wb+");
if (file != NULL) {
fwrite(data, 1, data_len, file);
fclose(file);
MYLOGD("new_mono_image_open_from_data_with_name=>dump file %s successfully!!",name_sprit);
}
}
}else{
//存在则加载,并替换原来的dll
if(is_load_dump_dll>=0) {
FILE *fpDll;
fpDll = fopen(pDll, "r");
if (fpDll != NULL) {
fseek(fpDll, 0, SEEK_END);
int len = ftell(fpDll);
fseek(fpDll, 0, SEEK_SET);
char *mono_data = (char *) malloc(len);
fread(mono_data, 1, len, fpDll);
fclose(fpDll);
data = mono_data;
data_len = (size_t)len;
MYLOGD("new_mono_image_open_from_data_with_name=>replace %s",name_sprit);
}
}
}
}
return (_MonoImage*)old_mono_image_open_from_data_with_name(data,data_len,a3,a4,a5,name);
}
.....
void onSoLoaded(const char *name, void *handle){
if(strstr(name,"libmono.so") != NULL)
{
MYLOGD("onSoLoaded==>%s", name);
void* mono_image_open_from_data_with_name=(void*)dlsym(handle,"mono_image_open_from_data_with_name");
MYLOGD("onSoLoaded=> mono_image_open_from_data_with_name:%p", mono_image_open_from_data_with_name);
if(mono_image_open_from_data_with_name!=NULL) {
MSHookFunction((void *) mono_image_open_from_data_with_name, (void *) new_mono_image_open_from_data_with_name,(void **) &old_mono_image_open_from_data_with_name);
}
}
0x03 叁
如此就可以免去了重打包、重安装的步骤了,而且也实现了不root手机进行跨进程hook。不过相对于腾讯云SR团队的测试工具来说,这个VA工具只是一个笑话。慢慢来吧,自动化测试这个东西,不是一朝一夕就能实现的,总归第一步就是工具的不断完善和优化。
还有一点,unity在C#里打log的时候,可以用UnityEngine.Debug.Log(),并通过adb logcat -s Unity PackageManager dalvikvm DEBUG就可以看到日志输出了。
如果要VirtualApp以调试启动内部App的话,adb shell am set-debug-app -w io.virtualapp:p[i],i的值根据进程个数自增
其实挖游戏漏洞挺苦逼的,挖多了就会发现所有的游戏都没意思。。。不说了,练米波去了