[原创]少前2逆向经验分享

发表于: 2023-12-26 16:44 7313

[原创]少前2逆向经验分享

iuwerury

2023-12-26 16:44

7313

免责声明：本篇文章仅作个人逆向分析经验记录与学习之用，所获得的一切资产恕不作任何分享。实践本文章记录的任何操作所产生的一切后果均与本人无关。侵删

本文的撰写离不开 @DNLINYJ 前辈开路，也是前辈的帖子带我认识了Process Monitor这一神器，前辈帖子指路：https://bbs.kanxue.com/thread-279118.htm 和 533K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3f1#2x3Y4m8G2K9X3W2W2i4K6u0W2j5$3&6Q4x3V1k6@1K9s2u0W2j5h3c8Q4x3X3b7I4z5o6b7H3z5o6b7K6i4K6u0V1x3g2)9J5k6o6q4Q4x3X3g2Z5N6r3#2D9

1. global-metadata.dat 及 AssetBundle

跟着前辈的文章一步步走就行了，具体怎么操作就请诸位大佬各显神通了，在此略过

2. 植入UnityExplorer

简单介绍一下：UnityExplorer (de9K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9h3&6S2K9g2)9J5k6r3c8W2N6W2)9J5c8W2g2F1K9i4c8&6c8i4S2H3L8r3!0J5k6i4t1`.) 是一个十分方便且开源的Unity游戏内调试辅助工具，提供了Inspector、Object Explorer、Console和Hook等诸多强大功能。（可惜的是该项目不知出于何种原因已经archived不再更新）

在上一步中得到解密的global-metadata.dat后，先将BepinEx或者MelonLoader框架安装到游戏上，这里根据我的经验il2cpp最好选择MelonLoader 0.5.7版。

MelonLoader官方安装教程: 0c4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6x3j5i4k6S2c8$3q4F1k6#2)9J5c8V1#2W2L8r3!0F1e0r3!0S2k6r3g2J5i4K6y4r3N6r3q4T1i4K6y4p5M7X3g2S2k6r3#2W2i4K6u0V1L8%4k6Q4x3X3c8X3K9h3I4W2i4K6t1K6K9r3!0%4i4K6u0V1N6r3!0Q4x3X3c8#2M7$3g2Q4x3X3c8@1K9r3g2Q4x3X3c8A6L8Y4y4@1j5h3I4D9k6i4t1`.

安装MelonLoader 0.5.7

（这里我已经安装过了所以显示为RE-INSTALL，正常安装应该只有一个INSTALL按钮）

安装MelonLoader后，依照UnityExplorer的Readme安装UnityExplorer

9ecK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6K6K9h3&6S2K9g2)9J5k6r3c8W2N6W2)9J5c8W2g2F1K9i4c8&6c8i4S2H3L8r3!0J5k6i4u0Q4x3@1k6@1j5h3u0Q4x3@1c8J5k6h3q4V1L8h3g2Q4x3X3c8G2N6W2)9J5k6r3k6A6L8r3g2Q4x3U0y4E0k6h3I4G2L8X3I4G2j5h3c8W2M7R3`.`.

选择UnityExplorer版本

（其实就是将解压出来的 Mods 文件夹和 UserLibs 文件夹复制到游戏对应目录就行了）

3. 替换global-metadata.dat

安装MelonLoader启动后会在终端发现Cpp2IL报错导致游戏无法正常启动，这是因为原版加密的global-metadata.dat依然在 il2cpp_data\Metadata 文件夹中，需要凭借单身多年的手速将其替换。

替换之前记得将dump出来的global-metadata.dat的第4-8字节的版本号patch正确，经过一遍遍在il2cppDumper中试错后确认为 0x18 。

偷梁换柱具体步骤如下：

在 Game 文件夹中直接启动游戏，不通过启动器启动
立即切换到终端窗口，当 Loading Plugins from ... 字样出现时立即选中终端内任意范围冻结进程，此时游戏窗口应刚好出现并冻结于如图所示白屏状态

通过终端选中冻结进程

复制并备份好原版global-metadata.dat （这一步和接下来的几步理应不会出现“文件被占用”、“无法启动”、游戏崩溃之类的任何错误，如果遇到了说明上一步冻结时机过晚、过早）
将dump并patch好版本（再强调一次，十分甚至九分重要）的global-metadata.dat替换过去
切换至终端窗口，按 Esc 取消选中，解冻进程
退出游戏，将第3步备份好的原版global-metadata.dat替换回来，之后在遇到游戏更新时重新走一遍以上步骤即可

4. 解密其它未封装进AssetBundle的资源

在成功安装UnityExplorer之后，我们应当已经拥有了il2CppDumper提供的dump.cs文件，以及UnityExplorer提供的强大hook功能。至此我们终于可以进入正题，解密其它资源。

4.1 解密.acb、.awb音频

根据以往经验，特殊格式必有特殊工具。通过万能的搜索引擎，我最终找到了 vgmstream 这个强大工具。

通过阅读 USAGE.md 的 Decryption keys 这节可以发现解码.acb和.awb需要 .hcakey 。经过测试发现确实如此，没有.hcakey解码出来的.wav文件就是一坨答辩。

再次借助万能搜索引擎の抛瓦，我找到了@头蟹床大佬的这篇分析.hca的顶级文章。

813K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2L8h3!0@1N6r3!0E0L8#2)9J5k6h3#2G2k6g2)9J5c8X3y4S2N6r3g2Y4L8%4u0A6k6i4y4Q4x3V1k6f1k6h3y4Z5i4K6u0r3f1V1g2Q4x3V1k6*7K9q4)9J5c8U0t1H3x3e0S2Q4x3X3b7I4x3q4)9J5k6o6p5J5i4K6u0V1e0X3g2%4i4K6u0V1d9p5y4m8i4K6u0V1c8h3&6U0M7Y4W2H3N6r3W2G2L8W2)9J5c8R3`.`.

这里我就直奔主题跳到初步分析密钥设置流程这一节，发现了 criWareUnity_SetDecryptionKey() 这一关键函数。然而在IDA或者il2CppDumper的dump.cs中都搜索不到 SetDecryptionKey 这一函数。

搜索SetDecryptionKey无结果

因此我退而求其次，搜索 Decrypt 关键词，这次在IDA中发现了一些跟CriWare有关的目标函数。

IDA函数搜索Decrypt

其中包括两个跟acb有关的目标函数:

CriWare.CriAtomExAcb::Decrypt()
CriWare.CriAtomPlugin::DecryptAcb()

重启游戏，在点击开始屏幕进入游戏之前的界面尝试用UnityExplorer hook住这两个函数。

UnityExplorer hook

点击开始屏幕，切换到终端查看打印输出，发现成功打印出key，调用的函数是 CriWare.CriAtomExAcb::Decrypt() 。

[13:15:16.183] [UnityExplorer] --------------------
void CriWare.CriAtomExAcb::Decrypt(ulong key, ulong nonce)
- __instance: CriWare.CriAtomExAcb
- Parameter 0 'key': 密钥在这里
- Parameter 1 'nonce': 0
 
[13:15:22.939] [UnityExplorer] --------------------
void CriWare.CriAtomExAcb::Decrypt(ulong key, ulong nonce)
- __instance: CriWare.CriAtomExAcb
- Parameter 0 'key': 密钥在这里
- Parameter 1 'nonce': 0
 
[13:15:22.966] [UnityExplorer] --------------------
void CriWare.CriAtomExAcb::Decrypt(ulong key, ulong nonce)
- __instance: CriWare.CriAtomExAcb
- Parameter 0 'key': 密钥在这里
- Parameter 1 'nonce': 0
 
[13:15:23.574] [UnityExplorer] --------------------
void CriWare.CriAtomExAcb::Decrypt(ulong key, ulong nonce)
- __instance: CriWare.CriAtomExAcb
- Parameter 0 'key': 密钥在这里
- Parameter 1 'nonce': 0

根据vgmstream的Readme，将得到的 ulong key 转换为hex bytes。注意.net的BigEndian编码问题。go代码如下：

package main
 
import (
    "encoding/binary"
    "fmt"
)
 
func main() {
    bytes := make([]byte, 8)
    binary.BigEndian.PutUint64(bytes, <替换为密钥>)
    fmt.Printf("%X\n", bytes)
}

将转换后的hex bytes保存为.hcakey并复制到与.acb相同的目录，就可以愉快地用vgmstream解密.acb和.awb音频了

音频解密结果

4.2 转换.usm视频

相较而言，.usm视频的解码对我而言就简单多了

使用vgmtoolbox解码.usm为.m2v和.hca

vgmtoolbox官方地址：0bdK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6L8%4g2J5j5$3g2X3L8%4u0Y4k6g2)9J5k6h3&6W2N6q4)9J5c8Y4m8J5L8$3A6W2j5%4c8K6i4K6u0r3N6X3N6E0N6r3!0G2L8r3u0G2P5q4)9J5c8R3`.`.

vgmtoolbox打开video demultiplexer

静静等待vgmtoolbox完成它的工作

vgmtoolbox解码完成

使用vgmstream转换.hca为.wav

vgmstream转换.hca为.wav

直接用potplayer播放（注意音轨数量，有的两条有的一条）

potplayer载入音频

potplayer选中两条音轨

如需合并音视频为一个文件，先用everything处理一下文件名

everything重命名.m2v文件

everything重命名.wav文件

再使用ffmpeg合并

1 2	`@REM` `单音轨` `FOR` `%%a IN (*.m2v) DO ffmpeg` `-i` `"%%a"` `-i` `"%%a_0.wav"` `-map` `0:v` `-map` `1:a` `-c copy` `"%%a.mov"`

1 2	`@REM` `双音轨` `FOR` `%%a IN (*.m2v) DO ffmpeg` `-i` `"%%a"` `-i` `"%%a_0.wav"` `-i` `"%%a_1.wav"` `-map` `0:v` `-map` `1:a` `-map` `2:a` `-c copy` `"%%a.mov"`

4.3 解码Table

这一部分其实说简单也不行说难也不行。

不能说它难是因为这就是一个加了长度前缀的protobuf，通过 08 0A 这种极具protobuf特点的字节可以看出。因此解码前只需删掉前4字节即可正常解码。

关于长度前缀详见protobuf官方文档：b13K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3M7X3!0@1L8$3u0#2k6W2)9J5k6h3c8W2N6W2)9J5c8Y4m8J5L8$3N6J5j5h3#2E0K9h3&6Y4i4K6u0V1k6%4g2A6k6r3g2K6i4K6u0r3k6h3&6U0L8$3c8A6L8X3N6Q4x3V1k6Q4x3U0y4D9k6h3&6Y4N6r3S2Q4x3X3c8@1P5i4m8W2M7H3`.`.

table文件sample

不能说它简单是由于游戏使用了HybridCLR，global-metadata.dat和DummyDLL中的类型信息都不全，暂时无法自动化地导出.proto用来解析，因此在这部分如果想要获得到.json需要人工去对照CheatEngine得到的mono信息猜出字段名，十分麻烦，故在此略过，直接使用python的 protod 包解码raw wire

1	`protod` `--file` `XXXXXXXX.bytes`

table文件sample解码
（找错别字环节）

结语

在这次实战中，遇到的最大阻力其实并不是易盾反作弊的保护，反而是HybridCLR的特殊指令集，导致解码Table时由于缺少.proto又不能通过DLL直接生成，需要手动一个个字段地猜，不是很优雅。希望之后有大佬能写出将HybridCLR指令集转换回IL指令集的工程，这样就可以开摆了嘻嘻（bushi

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2023-12-27 22:59 被iuwerury编辑，原因：修改细节

#调试逆向 #.NET平台

收藏・16

免费・3

支持

最新回复 (7)
淡然他徒弟雪币： 5392 活跃值： (5462) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 236 粉丝 114 关注私信	淡然他徒弟 1 2 楼 mark 2023-12-27 02:41 0
龙乎雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 3 关注私信	龙乎 3 楼我是将zygisk-il2cppdump重写一遍适配于windows平台，无奈dump出来的偏移地址都是不对的，大部分都是来自同一个地址，追了一下发现是NEP处理过，后面就没深究了 2023-12-27 09:46 0
Istaroth 雪币： 593 活跃值： (2593) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 31 粉丝 9 关注私信	Istaroth 4 楼 mark 2023-12-27 10:25 0
秋狝雪币： 5621 活跃值： (31896) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 5 楼感谢分享 2023-12-27 10:44 1
Ryanhn717 雪币： 199 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	Ryanhn717 6 楼学习了 2023-12-27 11:23 0
tzl 雪币： 367 活跃值： (1830) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 7 楼看着很NB,花里胡哨 2023-12-27 14:37 1
小旺不正经雪币： 498 活跃值： (47976) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 1 关注私信	小旺不正经 8 楼顶一下 2023-12-29 08:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

iuwerury

发帖

回帖

RANK

关注

私信

他的文章

[原创]少前2逆向经验分享 7314

关于我们

联系我们

企业服务

看雪公众号

最新回复 (7)
淡然他徒弟雪币： 5392 活跃值： (5462) 能力值： ( LV10，RANK：160 ) 在线值：发帖 23 回帖 236 粉丝 114 关注私信	淡然他徒弟 1 2 楼 mark 2023-12-27 02:41 0
龙乎雪币： 22 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 26 粉丝 3 关注私信	龙乎 3 楼我是将zygisk-il2cppdump重写一遍适配于windows平台，无奈dump出来的偏移地址都是不对的，大部分都是来自同一个地址，追了一下发现是NEP处理过，后面就没深究了 2023-12-27 09:46 0
Istaroth 雪币： 593 活跃值： (2593) 能力值： ( LV3，RANK：30 ) 在线值：发帖 2 回帖 31 粉丝 9 关注私信	Istaroth 4 楼 mark 2023-12-27 10:25 0
秋狝雪币： 5621 活跃值： (31896) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1569 粉丝 38 关注私信	秋狝 5 楼感谢分享 2023-12-27 10:44 1
Ryanhn717 雪币： 199 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 1 关注私信	Ryanhn717 6 楼学习了 2023-12-27 11:23 0
tzl 雪币： 367 活跃值： (1830) 能力值： ( LV9，RANK：410 ) 在线值：发帖 21 回帖 532 粉丝 0 关注私信	tzl 10 7 楼看着很NB,花里胡哨 2023-12-27 14:37 1
小旺不正经雪币： 498 活跃值： (47976) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 42 粉丝 1 关注私信	小旺不正经 8 楼顶一下 2023-12-29 08:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复