最近工作太忙,没啥时间写文章,刚好今天遇到一个小游戏,简单分析下,趁着中午写下此文。
移动MM的游戏,前面我们已经写过很多文章,没有看过的朋友,自行查找即可,今天我们继续分析一个类似的游戏,不过使用多种方式来分析,同时,欢迎同学们自己补充新方式来扩展思路。
0x1:游戏试玩
打开游戏玩了会儿,最近这类游戏非常多,也谈不上喜欢玩不喜欢玩,那么直接查看商城吧。
配合查看游戏反编译的目录结构:
可以简单猜测游戏的内购是否为移动MM的。
然后配合我们自己简单查看下smali代码,确定内购支付方式为移动MM .
0x2:分析破解
确定了游戏的支付方式,我们就有目的性的去分析如何来分析它的破解情况了。
在这里再次补充上:
移动MM的支付方式以及SDK的相关调用方法
http://wenku.it168.com/d_001271444.shtm
通过了解它的支付流程,来测试他在哪块地方存在被破解的可能,即欺骗支付。
在这篇文章中,已经有简单说明了,这里便不再重复:
http://www.52pojie.cn/thread-259909-1-1.html
然后,我们可以想到:
①.我们直接修改支付结果,用支付成功的方法替换支付失败
②.直接将判断支付是否成功的状态码锁定为支付成功
③.直接修改游戏金币
④.修改支付短信
0x3:第一种支付方式破解
还是上面说的,直接搜索寻找onBillingFinish。
这里所说按照第一种方式,有点牵强,不过,支付失败的话,这里的code也将改变,我们让他走订购成功的方法,即修改方法内的那个判断语句。
对应smali代码自行修改即可。
0x4:第二种锁定状态码破解
我们在追踪onBillingFinish方法上下文的时候,发现PurchaseCode.smali中的getStatusCode()I方法以及MessageInfo.smali中的getPurchasecode()I方法,应该是用于定义支付码状态,即支付成功,支付失败,取消支付的。
在PurchaseCode.smali文件中,我们发现:
.field public static final WEAK_ORDER_OK:I = 0x3e9
这个是定义支付订单成功的状态码。一般在移动MM里面,多数都是这个。
所以,我们可以看到上面所说getStatusCode()I方法和getPurchasecode()I方法都是返回值为int类型的,那么我们直接将其返回值修改为0x3e9,即数字1001,即代表支付成功。
我们保存修改,回编译,查看到,点击购买按钮,直接提示下图:
在无卡模式下测试的,一切正常,所以肯定了我们的修改时正确的,也不会扣费。
0x5:直接修改金币
通过OnBillingFinish()方法
我们进入到这个PopStar查看:
当然,这个类里面还有很多方法,很多支持破解的方法,如:
定义购买金币数量的,即购买成功后增加的数量。等等。。。
长话短说,咱们看到PopStar.nativeAddCoin方法后,确定是一个native方法,那么我们找到上文
System.loadLibrary("xinxin");
用IDA加载libxinxin.so,然后定位到nativeAddCoin方法.
现在大家多数用的大佬的那个IDA,带F5的,那么我们直接f5
查看到这里的方法,useGameCoin方法。打开这个方法查看:
这里有我加的注释,很清晰的,看不明白的,F5一下也就知道了。
因为getIntegerForKey,返回值为R0,然后往下第二行代码,R0=R0+R6,所以我们关键是在这里修改R0,即金币数量
Hex查看一下二进制,这里为Thumb指令,那么我们可以操作局限性也很高了。
所以,这里提供一个思路,大家可以寻找更加简便的方法。
即,BL getIntegerForKey,我们直接复制R0一个数值,然后在下面Adds R0,R0,R6这里,直接对R0逻辑左移一下,即LSL一下,将其数值变大。
因为第一个BL是4个字节,我们直接修改 00 00 09 20 ,即Movs R0,R0 代表没有任何操作,09 20是将数字9赋值给R0
然后ADDs那一行,有两个字节,直接改为 00 04,即 LSLS R0,R0,#0x10
这样,我们即完成了对金币数量的赋值,如下图:
然后,我们在16进制下修改,选用010Editor或UE,ctrl + g,进行地址跳转,寻找到我们在IDA修改的地址,按照上文修改,保存,替换,回编译。
注释:: int a=9 ; a=a<<0x10; 即金币锁定为589824
这里需要说明的是,这个方法何时被调用,即才能激活我们对金币的赋值呢?
直接在IDA里面对这个方法按下x键,查看调用,有5处。那么应该很容易被激活。
红色标注的,是使用金币的道具,按照我们看到方法被调用的地方,这里被调用了,然后金币数量即我们定义的。
0x6:修改短信
这里不多说了,根据系统发送短信函数进行查找修改,替换短信内容,替换短信发送人即可。
我直接使用hook的方式替换的,比较省事了。。
相关代码不难,看完我前面几篇hook java的文章的同学,应该很容易能够写出来代码,这里不再多写,有兴趣,自己动手去。
文档和相关附件:
http://pan.baidu.com/s/1kTLwwDL