最近的工作太忙,没啥时间写文章,今天遇到一点点的游戏,浅析。以中午的优势写这篇文章。
移动MM的游戏。前面我们已经写过非常多文章,没有看过的朋友,自行查找就可以,今天我们继续分析一个类似的游戏,只是使用多种方式来分析,同一时候。欢迎同学们自己补充新方式来扩展思路。
0x1:游戏试玩
打开游戏玩了会儿。近期这类游戏许多,也谈不上喜欢玩不喜欢玩。那么直接查看商城吧。
配合查看游戏反编译的文件夹结构:
能够简单推測游戏的内购是否为移动MM的。
然后配合我们自己简单查看下smali代码,确定内购支付方式为移动MM .
0x2:分析破解
确定了游戏的支付方式。我们就有目的性的去分析怎样来分析它的破解情况了。
在这里再次补充上:
移动MM的支付方式以及SDK的相关调用方法
http://wenku.it168.com/d_001271444.shtm
通过了解它的支付流程。来測试他在哪块地方存在被破解的可能,即欺骗支付。
在这篇文章中,已经有简单说明了,这里便不再反复:
http://www.52pojie.cn/thread-259909-1-1.html
然后。我们能够想到:
①.我们直接改动支付结果。用支付成功的方法替换支付失败
②.直接将推断支付是否成功的状态码锁定为支付成功
③.直接改动游戏金币
④.改动支付短信
0x3:第一种支付方式破解
还是上面说的。直接搜索寻找onBillingFinish。
这里所说依照第一种方式,有点牵强,只是,支付失败的话,这里的code也将改变,我们让他走订购成功的方法。即改动方法内的那个推断语句。
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >
相应smali代码自行改动就可以。
0x4:另外一种锁定状态码破解
我们在追踪onBillingFinish方法上下文的时候。发现PurchaseCode.smali中的getStatusCode()I方法以及MessageInfo.smali中的getPurchasecode()I方法,应该是用于定义支付码状态,即支付成功,支付失败,取消支付的。
在PurchaseCode.smali文件里。我们发现:
.field public static final WEAK_ORDER_OK:I = 0x3e9
这个是定义支付订单成功的状态码。一般在移动MM里面。多数都是这个。
所以。我们能够看到上面所说getStatusCode()I方法和getPurchasecode()I方法都是返回值为int类型的。那么我们直接将其返回值改动为0x3e9。即数字1001。即代表支付成功。
我们保存改动。回编译。查看到,点击购买button。直接提示下图:
在无卡模式下測试的,一切正常。所以肯定了我们的改动时正确的,也不会扣费。
0x5:直接改动金币
通过OnBillingFinish()方法
我们进入到这个PopStar查看:
当然。这个类里面还有非常多方法,非常多支持破解的方法。如:
定义购买金币数量的,即购买成功后添加的数量。等等。。。
长话短说,咱们看到PopStar.nativeAddCoin方法后,确定是一个native方法,那么我们找到上文
System.loadLibrary("xinxin");
用IDA载入libxinxin.so,然后定位到nativeAddCoin方法.
如今大家多数用的大佬的那个IDA,带F5的,那么我们直接f5
查看到这里的方法,useGameCoin方法。打开这种方法查看:
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >
这里有我加的凝视,非常清晰的,看不明确的,F5一下也就知道了。
由于getIntegerForKey,返回值为R0。然后往下第二行代码,R0=R0+R6,所以我们关键是在这里改动R0,即金币数量
Hex查看一下二进制。这里为Thumb指令,那么我们能够操作局限性也非常高了。
所以。这里提供一个思路。大家能够寻找更加简便的方法。
即。BL getIntegerForKey,我们直接复制R0一个数值。然后在以下Adds R0,R0,R6这里,直接对R0逻辑左移一下。即LSL一下,将其数值变大。
由于第一个BL是4个字节,我们直接改动 00 00 09 20 。即Movs R0,R0 代表没有不论什么操作,09 20是将数字9赋值给R0
然后ADDs那一行,有两个字节。直接改为 00 04,即 LSLS R0,R0,#0x10
这样,我们即完毕了对金币数量的赋值。例如以下图:
然后,我们在16进制下改动,选用010Editor或UE,ctrl + g。进行地址跳转,寻找到我们在IDA改动的地址。依照上文改动。保存,替换,回编译。
凝视:: int a=9 ; a=a<<0x10; 即金币锁定为589824
这里须要说明的是。这种方法何时被调用,即才干激活我们对金币的赋值呢?
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >
直接在IDA里面对这种方法按下x键,查看调用,有5处。那么应该非常easy被激活。
watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >
红色标注的,是使用金币的道具。依照我们看到方法被调用的地方。这里被调用了。然后金币数量即我们定义的。
0x6:改动短信
这里不多说了,依据系统发送短信函数进行查找改动,替换短信内容,替换短信发送人就可以。
我直接使用hook的方式替换的,比較省事了。。
相关代码不难。看完我前面几篇hook java的文章的同学。应该非常easy可以写出来代码。这里不再多写。有兴趣,自己动手去。
文档和相关附件:
http://pan.baidu.com/s/1kTLwwDL