-
-
[原创]某游戏LUA分析
-
发表于: 2022-8-17 15:37
-
游戏引擎是 libcocos2dlua.so
拖到IDA去看看 发现加固了
我们去内存中DUMP出来 这里就不写DUMP过程了 DUMP脚本很多
DUMP出来之后进行修复 修复工具下载地址:9a0K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6r3z5p5I4q4c8W2c8Q4x3V1k6e0L8@1k6A6P5r3g2J5
DUMP出来的文件头被魔改了 自己用原来的SO文件头复制粘贴进去 在进行修复就可以了
说到LUA的游戏我们基本上都是通过luaLoadBuffer 进行HOOKdump 的
我们打开修复好的SO 竟然找不到luaLoadBuffer
遇见这种的 只能去看他的开源框架了 先看下他是多少版本的
发现是cocos2d-x-3.13.1 我们去下载这个版本的源码 下载地址:1beK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6U0L8$3y4G2M7K6u0V1i4K6u0r3j5$3!0U0L8%4x3J5k6q4)9J5k6s2R3`.
下载好我们解压 这里我为了图方便直接用notepad++的搜索功能 搜luaLoadBuffer
可以看到他是有luaLoadBuffer的 只是被他隐藏了 那我们改怎么定位到它呢 我们看到上面有个?.lua的字符串 我们去ida搜下看看
可以看到也是有的 那么我们就鼠标点击过去 选中alua_2按下键盘下的X
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
为什么这里就不写那么详细了。哼~
|
|
|
因为已经很详细了剩下的就是手动下 |
|
|
两种方法 一种直接hook luaLoadBuffer 进行替换 还有一种就是修改完LUA文件重新打包成LUAC的放到应用里 这种方法基本上遇见热更新的就没啥用建议还是第一种方法 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
有大佬能讲讲如何hook 替换吗? |
