背景介紹
隨著手游的發(fā)展,越來越多的Cocos-lua端游開發(fā)者轉(zhuǎn)移到手游平臺(tái)。Lua腳本編寫邏輯的手游也是越來越多,如夢(mèng)幻西游、刀塔傳奇、開心消消樂、游龍英雄、奇跡暖暖、疾風(fēng)獵人、萬萬沒想到等手游。隨著Lua手游的增加,其安全性更值得關(guān)注,在此歸納一些常用的分析方法,同時(shí)介紹一些輔助工具。
識(shí)別Lua游戲
Android平臺(tái)的apk包可以直接解壓,找到./lib目錄下的so邏輯模塊,一個(gè)個(gè)分析其so,尋找是否內(nèi)嵌lua引擎(一般情況下,最大的so最有可能內(nèi)嵌lua引擎)。如果有l(wèi)ibcocos2dlua、libhellolua字樣,其內(nèi)嵌lua引擎的可能性極大。
將可疑so拖入IDA,查看lua引擎字符串,找到如圖1所示的lua引擎內(nèi)字符串,那該手游基本就可以確定是內(nèi)嵌了一個(gè)lua引擎,有極大可能是用lua編寫游戲邏輯。
圖1. Lua引擎相關(guān)字符串
也可以配合留意下解壓出來的assets目錄下,是否包含腳本信息。這類信息一般是加密的(也有很多安全意識(shí)薄弱的是直接lua腳本明文存放的),但有個(gè)明顯特征是:有多個(gè)文件存放。如圖2和圖3所示,分別是兩款非?;馃岬腖ua手游的assets目錄下的lua腳本信息。其中D手游僅是對(duì)luac進(jìn)行加密,而M手游則是連名字也弄個(gè)哈希加密。


破解思路
Lua手游的破解主要分成兩步,一步是能獲取游戲lua腳本;第二步是替換lua腳本。核心是找到lua腳本,然后修改生效。不同安全級(jí)別的手游,相應(yīng)的lua腳本獲取時(shí)機(jī)點(diǎn)會(huì)有所不同。(本質(zhì)是沿著Lua引擎加載lua腳本的整條加載鏈,如圖4所示,去不斷分析找到合適時(shí)機(jī)點(diǎn)dump和替換。)
另一類思路,是輔助工具常用的方法,比如叉叉的lua手游輔助。只需要獲取游戲lua腳本信息,然后無需替換,而是直接加載自身的一個(gè)lua腳本(該腳本和游戲腳本在同一個(gè)命名空間,可直接修改游戲腳本數(shù)據(jù),調(diào)用函數(shù))。
一、 直接assets資源可獲取lua腳本
這類比較初級(jí),在assets目錄下可獲得lua或者luac源碼。
針對(duì)lua源碼類型,直接修改然后apktool重打包即可。
針對(duì)luac源碼類型(luac是lua編譯的lua字節(jié)碼文件,包含lua腳本所有信息,具體可搜索lua字節(jié)碼文件結(jié)構(gòu)),可以使用unluac等開源項(xiàng)目/工具反編譯回lua源碼。然后修改直接替換回修改后的lua源碼文件即可(lua引擎加載腳本的時(shí)候,會(huì)識(shí)別luac magic number判斷是lua源碼還是luac,直接替換源碼下去是不會(huì)影響腳本加載執(zhí)行的)。
二、 在luaL_loadbuffer函數(shù)處獲取
luaL_loadbuffer是一個(gè)走得比較頻繁的加載點(diǎn)。Cocos引擎的lua加載器為cocos2dx_lua_loader,如圖4所示,最終都是調(diào)用luaL_loadbuffer函數(shù)來加載。一般廠商會(huì)在這層上面對(duì)lua腳本進(jìn)行解密,既是在luaL_loadbuffer函數(shù)獲取buff參數(shù)可得到解密后的lua腳本。修改邏輯后可以直接在這個(gè)點(diǎn)替換回去。

圖4. cocos2dx_lua_loader函數(shù)
三、 更底層的reader函數(shù)處獲取
lua引擎加載lua腳本最底層是到lua_reader函數(shù)。該函數(shù)負(fù)責(zé)最底層的腳本buff遍歷,因此在此處dump出來的lua腳本是最純正的lua腳本,所有加密都已經(jīng)被去除(修改lua opcode或者引擎邏輯除外)。
不過這個(gè)點(diǎn)的獲取不到足夠的文件信息(文件名、buff index等),需要配合上層函數(shù)拼湊lua腳本。
常用工具
ida.jpg

一、 IDA工具
可以進(jìn)行動(dòng)態(tài)調(diào)試和靜態(tài)分析的工具,能在合適的位置下斷點(diǎn),修改指定寄存器和編寫IDC腳本配合分析(這里可用來dump luac文件),不多介紹。
二、 ChunkSpy
用于解析lua字節(jié)碼文件結(jié)構(gòu),方便luac的學(xué)習(xí)與閱讀。
三、 unluac
Unluac是一個(gè)lua反編譯器開源項(xiàng)目,可將luac文件反編譯為lua代碼。針對(duì)夢(mèng)幻西游、刀塔傳奇等修改了lua opcode的手游,在靜態(tài)分析確認(rèn)還原opcode后,可修改這個(gè)項(xiàng)目打包出個(gè)對(duì)應(yīng)版本的反編譯工具(直接修改OpcodeMap.java里的map,改成對(duì)應(yīng)游戲修改后的Opcode即可)。
常用邏輯修改方法
(1)修改全局變量(全局配置之類的)
(2)update函數(shù)的調(diào)用邏輯修改(不update或者update多次)
(3)敵人類、主角類、武器類、技能的初始化過程,屬性修改
(4)一些過程處理函數(shù)的邏輯修改(如傷害計(jì)算、命中部位判定等)
實(shí)戰(zhàn)案例
案例一:修改全局變量(開心消消樂暴分)
在lua_reader函數(shù)可直接dump出游戲lua源碼,在其/zoo/gamePlay/GamePlayConfig.lua文件中配置了游戲分?jǐn)?shù)獎(jiǎng)勵(lì)等屬性,修改如圖5 所示為幾個(gè)特效額外得分即可輕松暴分。

案例二:多次調(diào)用游戲響應(yīng)函數(shù)(刀塔傳奇快速戰(zhàn)斗)
這里給出叉叉的一個(gè)例子。叉叉針對(duì)刀塔傳奇有相應(yīng)的輔助,其中快速戰(zhàn)斗實(shí)現(xiàn)如圖6 所示:是通過HOOK了update函數(shù)(lua中函數(shù)名是指針,備份原先函數(shù)指針,直接重寫即可實(shí)現(xiàn)HOOK),在update函數(shù)尾調(diào)用10次tick實(shí)現(xiàn)。

案例三:修改函數(shù)內(nèi)部邏輯(開心消消樂增加步數(shù))
在lua_reader函數(shù)可直接dump出游戲lua源碼,如圖7 所示:MoveMode::useMove函數(shù)負(fù)責(zé)處理步數(shù)扣除,直接修改為增加10步即可實(shí)現(xiàn)步數(shù)增加功能。

小結(jié)
Lua手游相對(duì)來說,還是不夠安全的。因?yàn)閘ua引擎不僅是開源的,而且相對(duì)python等腳本引擎更簡(jiǎn)單。外掛作者在lua引擎底層如魚得水。上面介紹的分析破解思路,就是沿著lua引擎加載腳本的函數(shù)鏈進(jìn)行分析,找到一個(gè)解密后的點(diǎn)dump出腳本,針對(duì)腳本進(jìn)行詳細(xì)分析,嘗試構(gòu)造攻擊點(diǎn)破解版游戲?qū)崿F(xiàn)外掛功能。

