1.验证MFI:没有苹果认证的硬件芯片,蓝牙无法连接。 BLE4.0除外,MFi是苹果的一个开发者计划,针对硬件的。硬件和app配合使用。所以审核app肯定也很严格。因为MFi的硬件和app都要审核,app里用到蓝牙的。
在操作moga手柄时玩appstore下的原包,通过连接手柄弹出UI,抓到这个UI函数,然后动态调试传输字符串,发现其是一DES加密的验证码,破解难度较大,而且其验证码每次开启游戏时不同,是MFI芯片随机生成类似UUID服务码。
新游手柄N1是蓝牙4.0,但是他们的手柄向下兼容,也支持2.0以上手机,越狱不越狱都不限制,MFI只支持非越狱,icade模式只支持少量游戏,故新游手柄并无破解MFI,只是个独立协议,通过在安装包导入dylib链接库
2.分析新游协议:首先sdk应该是用swift写的,因为用classdump不出结果,听新游人员说而且键值均自定义,并没参照xbox或者ps手柄协议,由于ios设备侧键值还不清楚方法所以未验证,新游sdk的frameworks中封装了大量swizzling接口,他们是<objc/runtime.h>以下方法,method_exchangeImplementations 来交换2个方法中的IMP,method_setImplementation 来直接设置某个方法的IMP,在分析反汇编时发现大量swizzle操作
反编译代码:
r0 = objc_getClass("GCController");
*0x10724 = r0;
*0x10728 = object_getClass(r0);
r0 = class_getSuperclass(r0);
*0x1072c = r0;
r5 = class_getInstanceMethod(*0x10728, @selector(controllers));
if (r5 != 0x0) {
r0 = method_getImplementation(r5);
*(__MergedGlobals + 0x10) = r0;
method_setImplementation(r5, 0x24e1);该方法替换了GCcontroller官方手柄api,替换了方法是[GCController controllers],替换的方法是void *__fastcall $GCController_controllers_method(),该方法调用了controllersWithMFIControllers:,该方法判断&OBJC_CLASS___NGDSDevice是不是"connected",而NGDSDevice定义了回调方法,调用自定义摁键键值类,判断摁键和蓝牙 回调调用了setValueChangedHandler方法,
void * +[NGGameController controllersWithMFIControllers:](void * self, void * _cmd, void * arg2) {
sp = sp - 0x4;
r4 = @selector(sharedInstance);
r0 = [NGDSDevice sharedInstance];
if (([r0 connected] & 0xff) != 0x0) {
r0 = [NGGameController sharedInstance];
var_0 = r0;
r0 = [NSArray arrayWithObjects:sp count:0x1];
}
else {
r0 = 0x0;
}
return r0;
}一.NGDSDevice类中调用了NGgamepad的sharedgamepad方法 该方法负责回调
二.调用了NGGamecontroller的extendgamepad和gamepad方法,extendgamepad的init调了NGExtendedgamepad的init其中也调用了ngextendedgamepad和NGcgamepad的SETngcontroller方法
NGEXtendedGamepad主要是调用了NGControllerButtonInput的类负责摁键
三.同时NGDSDevice中有Hardwarekeyboardstatuschanged-updategamepad connectionstate 负责更新状态
四.在每个回调函数 都有block 比如(NGDSDevice_init_block_invoke)他们其实调用了NGControllerDirectionpad的上层Buttoninput
一个Buttoninput对象负责接收摁键
一个GCController对象表示连接的物理游戏控制器。
一个GCControllerDirectionPad对象表示二维控制,如方向键或摇杆。
一个GCExtendedGamepad对象实现了一组游戏手柄控制逻辑轮廓。
替换的第二个方法是startWirelessControllerDiscoveryWithCompletionHandler,替换的方法是startWirelessControllerDiscoveryWithCompletionHandler,以及block,__74__NGGameController_startWirelessControllerDiscoveryWithCompletionHandler___block_invoke,其目的是游戏控制器的Connet和Disconnet状态进行事件注册
r5 = class_getInstanceMethod(*(__MergedGlobals + 0x18), @selector(startWirelessControllerDiscoveryWithCompletionHandler:));
if (r5 != 0x0) {
r0 = method_getImplementation(r5);
*(__MergedGlobals + 0xc) = r0;
method_setImplementation(r5, 0x24a5);至于UUID当时分析的不对,应该就是在游戏中定下的私有服务创建的唯一标示符。
曾经尝试 暴力nop掉swizzle,发现手柄以及无法操作了。
3. 新游sdk分析:NGGamepadDemo
按键 NGGamepadButton 成员变量pressed表⽰按键是否按下
摇杆 NGGamepadThumbStick 摇杆向量坐标, x,y轴取值为-1.0~1.0
⼗字键 NGGamepadDirectionPad 同时提供向量坐标和4个⽅向按键对象
响应手柄的方式是注册回调函数和读取手柄当前状态更新游戏。
NGGamepad* gamepad = [NGGamepad sharedGamepad];
gamepad.buttonA.valueChangedHandler = ^(NGGamepadButton* button, BOOL
pressed, float value) {
if (pressed) {//A键按下
[self fireLasers];
}};由于iOS系统的限制,目前SDK⽆法判断⼿柄是否连接。游戏可以通过设置NGGamepad的valueChangedHandler,如果收到事件则说明⼿柄连接上。
并且新游手柄的api均是私有api
Log分析:主要调用了NGGameController类 该类就是自定义摁键类
Apr 28 19:51:30 zangxuetongde-iPad routined[2140] <Warning>: BTM: attempting to connect to service 0x00000020 on device "NewGamepad N1" 00:15:83:AC:47:40
Apr 28 19:51:32 zangxuetongde-iPad SpringBoard[42] <Warning>: BTM: connection to service 0x00000020 on device "NewGamepad N1" 00:15:83:AC:47:40 succeeded
Apr 29 11:06:20 zangxuetongde-iPad gamecontrollerd[4000] <Notice>: MS:Notice: Injecting: (null) [gamecontrollerd] (1141.16)
Apr 28 19:18:00 zangxuetongde-iPad TheKingOfFighters97[3079] <Warning>: Finished finding controllers
Apr 28 19:18:00 zangxuetongde-iPad TheKingOfFighters97[3079] <Warning>: Assigning ExtendedGamepad to player 0
Apr 28 19:52:01 zangxuetongde-iPad TheKingOfFighters97[3254] <Warning>: authentification error : The requested operation could not be completed because this application is not recognized by Game Center.(不能联网)
补充之前调试方法:
动态调试方法:
先在ipad安装openssh,再安装gdb
.PC 端运行 SSH 客户端一般是putty,连接到设备,输入用户名:
root,默认密码: alpine,
1.动态调试,主要工具gdb
首先,ps -ax|grep "要破解的程序名",得到其进程id,如1234
接着,使用gdb,用attach “进程id”
然后,bt查看函数调用栈,找到可疑函数后,使用up
继续,用si等命令单步跟踪,set等命令改变参数的值
再来,使用disassemble命令,查看确认要修改的二进制字符串
最后,用十六进制编辑器查找并修改二进制字符串
2. 动静结合,主要工具otool + gdb
a. otool -tV "目标程序" > dis.asm
b. 文本编辑器打开 dis.asm,查找可疑的函数
c. 使用gdb打开目标程序,并在可疑的函数中设置断点,如 b *0x00001234
d. run 运行程序,断点处,si 等跟踪, set 设置关键参数值
e. 用计算器计算需要修改的序列偏移,或disassemble命令
f. 用十六进制编辑器查找并修改二进制字符串
常用的命令
attach 1234; b *0x1234;clear *0x1234;bt;disassemble;si;finish;set $eax
gcc test.c -o test;otool -tV target > dis.asm
另一种方法是,加壳源程序在运行时候会自动解密,运行应用时动态调试 dump出关键代码 再用IDA分析。
IDA左边 Functions window 看出来,函数是以“ sub_”开头的说明已经加密
root# gdb -e ./iRead
(gdb) dump memory dec.bin 0x3000 0x837000
做了hack,伪装成MFI手柄
在响应手柄事件的地方调用原先触屏事件处理的逻辑。
不改原来的逻辑,是添加控制处理。
每个人物动作控制逻辑应该会对应一个接口,在手柄处理这边调用对应的接口。
u3d需要把手柄事件传递到u3d里面, cocos2dx可以直接调用objective-C的代码响应手柄事件。
触屏上,人物移动是靠虚拟摇杆的方向,手柄摇杆事件响应的可以得到摇杆的方向。
gamepad.leftThumbStick.valueChangedHandler = ^(NGGamepadThumbStick* stick, float xAxis, float yAxis) {
[self moveWithVector:CGPointMake(xAxis, yAxis)];
};每个摇杆对象都有当前的摇杆坐标值的
实现回调
