iOS liapp bypass+Unity逆向+tweak开发

type

status

date

slug

summary

category

icon

password

朋友说想玩音游，让我来看看能不能逆向。游戏叫RhythmHive。第一件事就是先dump下来，没想到一开游戏就遭到迎头痛击。

在越狱的iPhone上直接报错有debugger，要强制退出。上网搜了个bypass给了两种解决方案。要么是直接把liapp的文件删了，要么用某些插件来避免检测。

删文件当然简单，但是删除之后弹窗依然存在。没有说具体的原因了，只是检测到安全性威胁。

从以上行为推测，liapp必然是集成在游戏的主可执行文件里了。不然删除那几个应该直接bypass了。先用appsdump2试试运气，如果直接dump下来的framework都没加密的话，可以直接开干。

果然，主程序加密没了。只有86kb，于是继续找，发现是Unity开发的，因为找到了UnityFramework。

直接拖进IDA，不出所料没有符号表。但是又看到了熟悉的il2cpp。再在目录里搜索一下，果然有globalmetadata，拖进010editor一看，也没加密。直接回复符号表。

报错不支持的版本。

有时候如果globalmetadata是加密的，那么也会出现这种结果，这里显然不是。看了一下il2cppdumper的issue，原来后面才加入31版本的支持，但release的不支持。31指的是中文版的unity。所以自己编译一下，再回复就可以了。

再用对应的python脚本在ida里恢复符号。搜一下liapp一搜一堆。

本来逆这种东西是很简单的事，搜一下字符串就应该出了。但是相关的字符串一个搜不到。去网上搜索了一下，原来liapp的所有字符串都是加密的。万幸的是，游戏开发者自己疏忽了一点。

先看integrity，这是完整性检查

断言失败junk ≠ 0导致程序退出。查找交叉引用，又是直接用的虚表索引调用的函数，反正就是怎么恶心怎么来。类名和方法名也是没意义的。

不过这里我就没细看了，我去看debuger那里了，那边会简单一点。完整性检查是一个类，类的方法去做工作，那边就是直接的函数。不过都差不多一样。可以看下面这个图，结构一致的。

然后再找一次交叉引用。

上面调用了f0urThlwO4XULZZZ4中的方法，而完整性检查叫f0urThlwO4XULZZZ3，更加肯定都是差不多的东西。随后又看到一堆乱七八糟的字符串，直接按照它的方式进行解密。

但每个字符串的加解密方法都不一样，但基本都是简单的异或和加减。只是数量太多。

先把上面这两个解出来，一个是ptrace，这里通过dlsym获取了ptrace的函数地址，从函数指针调用ptrace(31,0,0,0)，让ptrace附加自身来反调试，非常常见的一个做法。

然后我们刚才来的那个函数作为if的条件，如果是真进入里面，里面这个字符串解出来是个[%d]Debugging Detected，和弹窗的格式一样。弹窗的格式都是[数字]原因。

顺着找下来，弹窗的字符串构造方式也出来了。

那其实反调、检测debugger、弹窗、强制退出全都在这函数里了，再找一下交叉引用来到sub_232823C，这里面全是对乱七八糟的类的方法的调用，看都懒得看。既然要去掉反作弊，直接从根上去除：有地方调用直接去调用它的地方看。另外这样做的另一个原因是：删除掉liapp的文件后，不报错debug了，报错变成threat了，说明在更前面检测的threat。往上找两个调用于是找到了sub_2325410。