背景介紹

隨著手游的發(fā)展，越來越多的Cocos-lua端游開發(fā)者轉移到手游平臺。Lua腳本編寫邏輯的手游也是越來越多，如夢幻西游、刀塔傳奇、開心消消樂、游龍英雄、奇跡暖暖、疾風獵人、萬萬沒想到等手游。隨著Lua手游的增加，其安全性更值得關注，在此歸納一些常用的分析方法，同時介紹一些輔助工具。

識別Lua游戲

Android平臺的apk包可以直接解壓，找到./lib目錄下的so邏輯模塊，一個個分析其so，尋找是否內嵌lua引擎（一般情況下，最大的so最有可能內嵌lua引擎）。如果有l(wèi)ibcocos2dlua、libhellolua字樣，其內嵌lua引擎的可能性極大。

將可疑so拖入IDA，查看lua引擎字符串，找到如圖1所示的lua引擎內字符串，那該手游基本就可以確定是內嵌了一個lua引擎，有極大可能是用lua編寫游戲邏輯。

2222.jpg

圖1. Lua引擎相關字符串

也可以配合留意下解壓出來的assets目錄下，是否包含腳本信息。這類信息一般是加密的（也有很多安全意識薄弱的是直接lua腳本明文存放的），但有個明顯特征是：有多個文件存放。如圖2和圖3所示，分別是兩款非?；馃岬腖ua手游的assets目錄下的lua腳本信息。其中D手游僅是對luac進行加密，而M手游則是連名字也弄個哈希加密。

Lua手游asserts下可疑腳本信息案例手游D

Lua手游asserts下可疑腳本信息案例手游M

破解思路

Lua手游的破解主要分成兩步，一步是能獲取游戲lua腳本；第二步是替換lua腳本。核心是找到lua腳本，然后修改生效。不同安全級別的手游，相應的lua腳本獲取時機點會有所不同。（本質是沿著Lua引擎加載lua腳本的整條加載鏈，如圖4所示，去不斷分析找到合適時機點dump和替換。）

另一類思路，是輔助工具常用的方法，比如叉叉的lua手游輔助。只需要獲取游戲lua腳本信息，然后無需替換，而是直接加載自身的一個lua腳本（該腳本和游戲腳本在同一個命名空間，可直接修改游戲腳本數(shù)據，調用函數(shù)）。

一、 直接assets資源可獲取lua腳本

這類比較初級，在assets目錄下可獲得lua或者luac源碼。

針對lua源碼類型，直接修改然后apktool重打包即可。

針對luac源碼類型（luac是lua編譯的lua字節(jié)碼文件，包含lua腳本所有信息，具體可搜索lua字節(jié)碼文件結構），可以使用unluac等開源項目/工具反編譯回lua源碼。然后修改直接替換回修改后的lua源碼文件即可（lua引擎加載腳本的時候，會識別luac magic number判斷是lua源碼還是luac，直接替換源碼下去是不會影響腳本加載執(zhí)行的）。

二、 在luaL_loadbuffer函數(shù)處獲取

luaL_loadbuffer是一個走得比較頻繁的加載點。Cocos引擎的lua加載器為cocos2dx_lua_loader，如圖4所示，最終都是調用luaL_loadbuffer函數(shù)來加載。一般廠商會在這層上面對lua腳本進行解密，既是在luaL_loadbuffer函數(shù)獲取buff參數(shù)可得到解密后的lua腳本。修改邏輯后可以直接在這個點替換回去。

image.png

圖4. cocos2dx_lua_loader函數(shù)

三、 更底層的reader函數(shù)處獲取

lua引擎加載lua腳本最底層是到lua_reader函數(shù)。該函數(shù)負責最底層的腳本buff遍歷，因此在此處dump出來的lua腳本是最純正的lua腳本，所有加密都已經被去除（修改lua opcode或者引擎邏輯除外）。

不過這個點的獲取不到足夠的文件信息（文件名、buff index等），需要配合上層函數(shù)拼湊lua腳本。

常用工具

ida.jpg

一、 IDA工具

可以進行動態(tài)調試和靜態(tài)分析的工具，能在合適的位置下斷點，修改指定寄存器和編寫IDC腳本配合分析（這里可用來dump luac文件），不多介紹。

二、 ChunkSpy

用于解析lua字節(jié)碼文件結構，方便luac的學習與閱讀。

88.jpg

三、 unluac

Unluac是一個lua反編譯器開源項目，可將luac文件反編譯為lua代碼。針對夢幻西游、刀塔傳奇等修改了lua opcode的手游，在靜態(tài)分析確認還原opcode后，可修改這個項目打包出個對應版本的反編譯工具（直接修改OpcodeMap.java里的map，改成對應游戲修改后的Opcode即可）。

常用邏輯修改方法

（1）修改全局變量（全局配置之類的）

（2）update函數(shù)的調用邏輯修改（不update或者update多次）

（3）敵人類、主角類、武器類、技能的初始化過程，屬性修改

（4）一些過程處理函數(shù)的邏輯修改（如傷害計算、命中部位判定等）

實戰(zhàn)案例

案例一：修改全局變量（開心消消樂暴分）

在lua_reader函數(shù)可直接dump出游戲lua源碼，在其/zoo/gamePlay/GamePlayConfig.lua文件中配置了游戲分數(shù)獎勵等屬性，修改如圖5 所示為幾個特效額外得分即可輕松暴分。

開心消消樂分數(shù)配置表

案例二：多次調用游戲響應函數(shù)（刀塔傳奇快速戰(zhàn)斗）

這里給出叉叉的一個例子。叉叉針對刀塔傳奇有相應的輔助，其中快速戰(zhàn)斗實現(xiàn)如圖6 所示：是通過HOOK了update函數(shù)（lua中函數(shù)名是指針，備份原先函數(shù)指針，直接重寫即可實現(xiàn)HOOK），在update函數(shù)尾調用10次tick實現(xiàn)。

叉叉實現(xiàn)快速戰(zhàn)斗

案例三：修改函數(shù)內部邏輯（開心消消樂增加步數(shù)）

在lua_reader函數(shù)可直接dump出游戲lua源碼，如圖7 所示：MoveMode::useMove函數(shù)負責處理步數(shù)扣除，直接修改為增加10步即可實現(xiàn)步數(shù)增加功能。

開心消消樂步數(shù)修改

小結

Lua手游相對來說，還是不夠安全的。因為lua引擎不僅是開源的，而且相對python等腳本引擎更簡單。外掛作者在lua引擎底層如魚得水。上面介紹的分析破解思路，就是沿著lua引擎加載腳本的函數(shù)鏈進行分析，找到一個解密后的點dump出腳本，針對腳本進行詳細分析，嘗試構造攻擊點破解版游戲實現(xiàn)外掛功能。