使用IDA静态分析解密《舰娘Collection》的lua脚本

  好久没写东西了,换工作之后忙得一比。你说创业?风太大没听清啊看了看以前写的东西,觉得以前写得太严肃了,从现在开始要轻松一点,要做一名逗逼码农。

 

  本文不会介绍破解的细节,最终完成破解所编写的代码也不会公开。虽然这个游戏非常无耻,但已经上线运营了,我不想被查水表啊。所以,该文仅以这个游戏为例,讲一下如何使用IDA静态分析破解简单的cocos2dx-lua脚本加密。

 

  对了,这里说的《舰娘Collection》是一个手游,不是那个舰娘,嗯。

 

  为什么我要突然去搞破解呢?事情是这样的:某天,一个以前的关系很好的美术同事跟我说,他无意中发现一个手游,里面盗用了部分《舰队Collection》的原画。然后给我看了提取出来的图。

  

 

  显然开发商就是用舰C的原画,自己稍微润了下色就用进去了。其实这种事在国内手游圈应该是屡见不鲜的吧,之前有个叫《舰娘国服》的页游也干过类似的事,不过他们更直接,功能和界面直接就是原版的了。这个是题外话。

 

  他又说,他解包了apk,发现美术资源可以直接拿出来用,但是有很多后缀名是lua的文件,不知道是干啥的,是不是也是图片?

 

  我说,这是代码文件,不是图片的。

 

  他又说,这些文件用记事本打不开,有没有办法看看里面写了什么?

 

  我说,打不开肯定是加密了,你研究这个干啥,想转行当码农啊?别和自己青春过不去。

 

  他继续说,你给破解了看看呗,反正闲着也是闲着。

 

  “另请高明吧,”我说,“我实在我也不是谦虚,我一个U3D前端码农,怎么就去搞反向工程了呢?” (其实我也挺好奇堂而皇之偷图的公司,写出的代码是什么水准的,但是懒得去折腾)

 

  他又说:你看,那个游戏里面,他们把你太太画成这样了:

  

  

  ……

  ……

  ……

  太太!!!!!

  你怎么变成死鱼眼了!!!!!!

  

  而且这个神似曾哥的表情是闹哪样!!!!!!!!

 

  

  I AM ANGRY!

  当时我就念了两首诗:“苟利太太破解以,岂因祸福避趋之”。然后找那位同事要来了APK。

  

  其实一开始的时候我也不敢保证能破解出来,我对反向工程基本上是只懂一点点鸡毛蒜皮,IDA也用得不熟。但是装出来的逼就像泼出去的水啊,强行上吧。想想曾经有人200人口飞龙狗毒爆打120人口都输了,我作为一个新手怎么就不能破出来呢~

 

  在破解之前还是容我先装上看看这游戏到底是个什么玩意。装上之后:

  

  艾玛这App名和图标真够直接的,还有个“二次元”的角标。

  

 

  点进去,哟呵还有新手引导呢(而且这引导到后面还有bug,在不合时宜的时候弹出来,或者错位。为了节约篇幅后面不截图了)

  然后就是看电影一样开打了,全自动,尼玛四傻打对面雷爷太太和北方,居然还赢了???

  接下来是选择关卡,妈的还有对话啊,居然是用的舰C的语音,更牛逼的是居然用那些语音组成了剧情!

  虽然全自动战斗的设定和原作一致,但是特效要好看很多啊~打起来的时候的动态也比原作多太多了,看着都比较爽。 

  然后不知不觉就打到第二张图了……

 

  等等……

 

  我特么不是要破解他们的脚本么,怎么就玩上了还玩得挺嗨?

        

  好吧,关闭游戏,开始破解。先看看apk。直接解压。在assets/src下面就是所有的lua脚本了(顺便打开res下面看了看原画,简直……):

  

  

  这是cocos2dx-lua(也可能是quick-cocos2dx)做的啊,真是令人怀念的东西。虽然我只用过纯C++的cocos,lua的还没碰过。

 

  用记事本打开Lua文件的话,可以看到共同点是使用jts开头:

     

   

  按照常理,解密Lua的逻辑就在编译后的so文件里面了。lib\armeabi下面有两个so,一个100多K,一个10多M,那么肯定大的就是正主。小的那个百度了一下名字,似乎是某个银行的SDK?不管了。接下来分析so文件。祭出神器IDA打开SO文件,可以看到里面cocos自己的类都没有CC的开头,说明是3.x的:

  

 

  因为明确了这个游戏是cocos做的,所以看IDA生成的反汇编C代码有原版对照了。找了下硬盘,以前写EasyLive时的3.2还在,cocos new一个lua工程辅助分析。依稀记得在C++版的cocos中,如果要读取加密的pvr.ccz图片,一般是在AppDelegate::applicationDidLunchFinished中进行的。于是打开cocos工程中的该方法,在这里就是设置XXTEA加密参数的部分:

  

 

 

  然后在IDA中搜索这个方法,F5生成C++代码,对比一下看:

  

  

  是不是非常相似,而且看到了两段关键的字符串?在cocos工程中,LuaStack::luaLoadBuffer里面做了XXTEA解密的操作,心中想:看来这波要解密出脚本轻而易举啊!研发团队根本不敢说什么,复杂的加密算法也没有……哎呀奶不死的,妈的老子是专业程序员好吗?专业程序员,这种代码都看不懂啊?这怎么奶死嘛!有IDA的情况下怎么会解不出你告诉我,直接复制代码都解出来了。开新项目稳破解,复制代码也破了,不可能失败的,不可能的……

  

  于是我把cocos中的xxtea.h、xxtea.c提出来开一个控制台工程,然后照着前面的参数对脚本进行解密试试。结果是爆炸了,根本解不出。很明显的,代码中设置的xxteaSign是一个比较长的字符串,而脚本中的签名只有三个字符(jts)。所以,这个游戏中对脚本的解密不是直接使用xxtea算法的,甚至可能根本就没有使用xxtea。(小色:IDA骑脸是你自己玩得菜,跟我有什么关系)

 

  因为cocos在读取lua的时候必然要经过LuaStack::luaLoadBuffer方法。所以在IDA中打开LuaEngine::executeScriptFile,一路跟踪进去,最后进到了LuaStack::luaLoadBuffer。把逻辑整理一下就是:

  

 

  整理的时候我不小心掉进坑里挣扎了半天。strcmp和strncmp这两个函数,字符串相等返回0,不相等返回1。因为我用C#习惯了,所以直接以为相等返回1(true),用XXTEA搞了半天没搞出来……

  

  分析一下加密后的脚本内容,这里会走使用BlowFish解密数据的流程,并没有使用XXTEA,所以自己把自己奶死了……接下来得照着IDA代码的算法写一个解密的工程。有些变量看着不舒服,可以单击选中变量,然后按N键,就可以重命名变量了。写好之后,处理src/main.lua文件试试:(这个文件是cocos生成的,直接放出来也无所谓了)

  

 

  漂亮!一个文件解出了,是不是其他文件也可以用这一套来解密呢?

 

  在cocos工程中查找LuaStack::luaLoadBuffer的所有引用,发现它在cocos2dx_lua_loader中被调用了一次;再查找cocos2dx_lua_loader,在LuaStack::init中有设置该回调的代码。所以可以肯定,这里就是Lua层调用脚本的入口了。在IDA中查找对应的地方,也是一样的,说明他们没有做特殊处理,所有的Lua脚本读取的时候,都会走LuaStack::luaLoadBuffer进行解密。所以刚才写的解密工程对所有的lua脚本都可用。通过分析IDA代码,可以分析出他们的脚本是这么个文件格式:(一个格子表示一个字节)

  

 

  于是可以写一个GUI,将所有的脚本解密了。GUI想怎么做都可以,我用的C#调用dll的方式。

  

  

  看了下代码,很意外的是对规范比较注重,从游戏体验上,细节处理比较好,也不像小公司的作品。那么是出自哪个公司之手呢?代码中看到了“武将”等词汇,难道是一个换皮游戏?

 

  再吐槽一下C++层的代码。IDA中可以看到很多加了j_j_前缀的底层方法,比如这个:

  

 

  点进去:

   

 

  再点进去:

   

  

 

  其实这次破解说不上是用了什么牛逼的技术,完全就是参照着cocos源生项目,然后跟着IDA反汇编出来的代码分析。大牛们看了勿喷。

 

  不过我觉得我还是捍卫了深海提督的尊严!

 

  最后说一下如何避免自己的项目被这种方式攻破。

 

  一般来说可以对so文件加壳,使IDA打开这个文件的时候,就报错退出;或者修改一下加密类的名字,这样破解者就找不到你用的什么方式加密了,拿着密钥也没用(不过费点心思还是可以把IDA中的代码整理出来当解密模块用的);再或者使用更高级的加密方式,但是别人可以用动态调试直接hook luaL_loadbuffer拿到解密后的脚本……

 

  加密方法有一千种,解密方法更有一万种,如何有效保护自己项目的资源是一个值得研究的问题。

 

  至于对这个游戏的开发商还有没有什么想说的呢?——“我今天得罪了你们一下!”

 

  如果说还有一句的话,那应该是:——“别抄袭,做个有骨气的开发商。多花点功夫在原画上,至少有机会可以像战舰少女一样成功,而抄袭,注定一辈子上不了台面。”

 

  很惭愧,就做了一点微小的工作,谢谢大家!

 

posted @ 2016-05-06 18:38  GuyaWeiren  阅读(5874)  评论(1编辑  收藏  举报