明确目标
这次的目标是一个小游戏【Crimsonland】,虽然是小游戏,但我也打不过呀,所以只能寻求游戏之外的工具来进行降维打击了。
查看文件目录,看上去Resource路径下都是资源文件,不包含可以执行的东西。
所以游戏的主体可执行文件就跟普通App一样存放在MacOS目录下,是一个4MB左右的文件,看来真的是小游戏。
对于这种不知道用什么框架编写的游戏,直接开IDA来分析是不明智的,没有符号表的逆向分析通常是一头雾水。
于是决定从动态分析的角度出发,又一次拿出Cheat Engine大杀四方。这就是x86平台的好处。
动态分析
修改游戏也不希望改得太过变态,无敌秒杀什么的比较没意思,从无限弹药入手吧。
思路嘛就是在CE的加持下,打一枪搜一个数值。
打枪:
搜数值:
再打一枪:
再搜数值:
打两枪:
再再搜数值:
居然搜不到了!!
于是尝试使用其他的数据类型进行搜索,例如使用8 Byte长(64位long类型)进行搜索,也没有结果!
难道这一个小游戏还对数值做了加密么?
尝试使用模糊搜索,就是不再查找精确数值,而只是追踪数值是否变大变小。
子弹的数量当然是打一枪就少一个的,所以追踪减小的数据:
也找不到!
这让幼小的心灵蒙上了一层阴影。
直到又完了会游戏,发现虽然弹夹都是整数显示,但有些武器的弹药明显是细分到更小单位的,比如这个连续喷射的打火机:
所以再次通过查找float类型数据来定位,可终于是找到了!
于是通过硬件断点对数据进行监控,得到了对该数据进行写入的汇编代码:
这条代码就是【movss * *】,把寄存器xmm1写入内存。
从底下的信息来看,该汇编代码位于Crimsonlan主程序的0x1A0740偏移处。
这样才可以打开IDA开启愉快的静态分析。
静态分析
定位到0x1A0740处的代码:
简单看看汇编,可以看出,在写入内存之前,xmm1进行了一次减法,这不就是子弹消耗么?
所以修改游戏的具体思路就有了,把这条减法屏蔽掉,自然就实现了无限弹药嘛。
一条subss语句长度是4字节,所以可以通过4个NOP进行替换:
直接通过修改汇编代码然后重新打包二进制就可以完成。
或者也可以通过写个python来实现:
with open('/Users/wc/Desktop/Crimsonland', 'wb+') as f:
f.seek(0x1A073C, 0)
for i in range(0, 4):
f.write('\x90')
f.close()
后记
最后把修改好的二进制文件替换到游戏目录下就可以了,从而真正实现无脑突突突: