最近在破解一款cocos2dx-js游戏,想看看js代码, 发现so文件中的xxtea key 是加密过的, 常规思路我想到是动态调试。
使用ida工具和jeb工具,发现只要一断点到关键地方, 就自动崩了, 搞的要吐血。 只要不调试,程序是可以正常跑的。
经过几天的断断续续的奋战, 决定换一种思路,让xxtea key自己在控制台输出。 使用方法:__android_log_write
使用hopper 修改so文件的xxtea_decrpt方法,
xxtea_decrypt:
0056bd84 push {fp, lr} ; DATA XREF=xxtea_decrypt@PLT+8, xxtea_decrypt@GOT
0056bd88 mov fp, sp
0056bd8c add r1, pc, #0xc ; "keyCode"
0056bd90 mov r0, #0x4
0056bd94 bl __android_log_write@PLT ; __android_log_write
0056bd98 mov r0, #0x0
0056bd9c pop {fp, pc}
; endp
aKeycode_56bda0: // aKeycode
0056bda0 db "keyCode", 0
保存后,重新打包apk, 运行。
实操截图:
1. 某游戏的xxtea_decrypt方法:
2. 修改so文件:
3. 保存替换原始so后,重新打包。
非常遗憾,使用工具重新打回apk包失败了。 那么换种思路:
使用keka压缩工具成zip,然后修改为apk吧, 然后重新签名
将压缩的zip文件重命名为: debug-xxtea.apk
重新签名:
然后安装到模拟器中。
4, 打开android studio选择连接的模拟器看输出日志。
运行程序崩了。且没有keyCode输出。 表示很意外。
使用ida反编译:
使用hopper反编译:
同一个二进制反编译出的结果不一样。
=======================================
打破砂锅问到底之后, 我真正理解了BL指令。
BL指令固定4个字节。 前三个字节是相对地址,第4个字节是BL指令字节码EB
相对地址是指相对的是当前方法结束指令地址的。 本人写了一个转换工具。参数是你想要调用的方法的地址。
let cur0 = 0x00654e78;// 当前方法结束地址
function getHEX(a) {
if (a >= 16) {
return a.toString(16);
}
return '0' + a.toString(16);
}
function getAddr(dst) {
let arr = [], a = 0;
let dif = dst - cur0;
if (dif >= 0) {
a = dif / 4;
} else {
let start = 0x1000000;
a = start - (-dif) / 4;
}
arr.push(getHEX(a & 0xff));
a >>= 8;
arr.push(getHEX(a & 0xff));
a >>= 8;
arr.push(getHEX(a & 0xff));
return arr.join(' ');
}
console.log(getAddr(0x0050f3d8));
0x0050f3d8是方法地址。
输出结果:58 e9 fa
故修改指令:
反汇编结果:
应该调用__android_log_write@PLT 而不是__android_log_write。
现在重新保存,打包apk. 运行在,android studio中看结果
非常好,结果xxtea key的结果出来了。
