同TTX更可爱的层次分析法游戏破解

最近的工作太忙，没啥时间写文章，今天遇到一点点的游戏，浅析。以中午的优势写这篇文章。

移动MM的游戏。前面我们已经写过非常多文章，没有看过的朋友，自行查找就可以，今天我们继续分析一个类似的游戏，只是使用多种方式来分析，同一时候。欢迎同学们自己补充新方式来扩展思路。

0x1:游戏试玩

打开游戏玩了会儿。近期这类游戏许多，也谈不上喜欢玩不喜欢玩。那么直接查看商城吧。

配合查看游戏反编译的文件夹结构：

能够简单推測游戏的内购是否为移动MM的。

然后配合我们自己简单查看下smali代码，确定内购支付方式为移动MM .

0x2:分析破解

确定了游戏的支付方式。我们就有目的性的去分析怎样来分析它的破解情况了。

在这里再次补充上：

移动MM的支付方式以及SDK的相关调用方法

http://wenku.it168.com/d_001271444.shtm

通过了解它的支付流程。来測试他在哪块地方存在被破解的可能，即欺骗支付。

在这篇文章中，已经有简单说明了，这里便不再反复：

http://www.52pojie.cn/thread-259909-1-1.html

然后。我们能够想到：

①.我们直接改动支付结果。用支付成功的方法替换支付失败

②.直接将推断支付是否成功的状态码锁定为支付成功

③.直接改动游戏金币

④.改动支付短信

0x3:第一种支付方式破解

还是上面说的。直接搜索寻找onBillingFinish。

这里所说依照第一种方式，有点牵强，只是，支付失败的话，这里的code也将改变，我们让他走订购成功的方法。即改动方法内的那个推断语句。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >

相应smali代码自行改动就可以。

0x4:另外一种锁定状态码破解

我们在追踪onBillingFinish方法上下文的时候。发现PurchaseCode.smali中的getStatusCode（）I方法以及MessageInfo.smali中的getPurchasecode()I方法，应该是用于定义支付码状态，即支付成功，支付失败，取消支付的。

在PurchaseCode.smali文件里。我们发现：

.field public static final WEAK_ORDER_OK:I = 0x3e9

这个是定义支付订单成功的状态码。一般在移动MM里面。多数都是这个。

所以。我们能够看到上面所说getStatusCode（）I方法和getPurchasecode()I方法都是返回值为int类型的。那么我们直接将其返回值改动为0x3e9。即数字1001。即代表支付成功。

我们保存改动。回编译。查看到，点击购买button。直接提示下图：

在无卡模式下測试的，一切正常。所以肯定了我们的改动时正确的，也不会扣费。

0x5:直接改动金币

通过OnBillingFinish()方法

我们进入到这个PopStar查看：

当然。这个类里面还有非常多方法，非常多支持破解的方法。如:

定义购买金币数量的，即购买成功后添加的数量。等等。。。

长话短说，咱们看到PopStar.nativeAddCoin方法后，确定是一个native方法，那么我们找到上文

System.loadLibrary("xinxin");

用IDA载入libxinxin.so,然后定位到nativeAddCoin方法.

如今大家多数用的大佬的那个IDA，带F5的，那么我们直接f5

查看到这里的方法，useGameCoin方法。打开这种方法查看:

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >

这里有我加的凝视，非常清晰的，看不明确的，F5一下也就知道了。

由于getIntegerForKey，返回值为R0。然后往下第二行代码，R0=R0+R6，所以我们关键是在这里改动R0，即金币数量

Hex查看一下二进制。这里为Thumb指令，那么我们能够操作局限性也非常高了。

所以。这里提供一个思路。大家能够寻找更加简便的方法。

即。BL getIntegerForKey，我们直接复制R0一个数值。然后在以下Adds R0,R0,R6这里，直接对R0逻辑左移一下。即LSL一下，将其数值变大。

由于第一个BL是4个字节，我们直接改动 00 00 09 20 。即Movs R0,R0 代表没有不论什么操作，09 20是将数字9赋值给R0

然后ADDs那一行，有两个字节。直接改为 00 04，即 LSLS R0，R0，#0x10

这样，我们即完毕了对金币数量的赋值。例如以下图：

然后，我们在16进制下改动，选用010Editor或UE，ctrl + g。进行地址跳转，寻找到我们在IDA改动的地址。依照上文改动。保存，替换，回编译。

凝视::  int a=9        ;                a=a<<0x10;         即金币锁定为589824

这里须要说明的是。这种方法何时被调用，即才干激活我们对金币的赋值呢？

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >

直接在IDA里面对这种方法按下ｘ键，查看调用，有5处。那么应该非常easy被激活。

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZ3VpZ3V6aTExMTA=/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/Center" >

红色标注的，是使用金币的道具。依照我们看到方法被调用的地方。这里被调用了。然后金币数量即我们定义的。

0x6:改动短信

这里不多说了，依据系统发送短信函数进行查找改动，替换短信内容，替换短信发送人就可以。

我直接使用hook的方式替换的，比較省事了。。

相关代码不难。看完我前面几篇hook java的文章的同学。应该非常easy可以写出来代码。这里不再多写。有兴趣，自己动手去。

文档和相关附件：

http://pan.baidu.com/s/1kTLwwDL