此文章的技术内容已过时,仅当做技术存档参考。腾讯的Unity游戏已不再mono.so中加密dll了,而是通过libtprt.so来hook了加载Assembly-CSharp.dll的地方进行解密,解密算法有点复杂,建议用ida动态dump
腾讯有很多用Unity做的手游,比如《XX飞车》《我叫XX2》《XX战神》《XX与勇士》等等,都对dll进行了加密,而且这些游戏对dll的加密方式是一样的
关于Assembly-CSharp.dll和Assembly-CSharp-firstpass.dll的加密原理参考Unity3D 游戏加密解密那些事
以Assembly-CSharp.dll为例,来分析一下TXUnity游戏解密dll的算法
0x00 把libmono.so文件拖入IDA中,在函数窗口中搜索mono_image_open_from_data_with_name这个方法
这时我们看到除了mono_image_open_from_data_with_name还有mono_image_open_from_data_with_name_0这个方法,mono_image_open_from_data_with_name是Mono本身就有的方法,而mono_image_open_from_data_with_name_0肯定是TX后加的,可以分别打开这2个方法看看
按Tab或F5 看看mono_image_open_from_data_with_name方法的伪代码,里面直接调用了mono_image_open_from_data_with_name_0这个方法
在看看mono_image_open_from_data_with_name_0方法的伪代码
能看到3个方法: sub_3D21CC,sub_3D20c8,sub_3D20B0,第一个是解密的方法,第二个忽略,第三个是mono_image_open_from_data_with_name原方法的逻辑
0x01 进入sub_3D21CC这个方法看看解密算法是怎样的
红框中的内容就是解密dll的核心算法,在看看汇编代码
0x02 经过上面的分析,我写了一个C#版的解密小工具,这里只贴出解密算法
//TX Assembly-CSharp.dll解密算法
private byte[] mono_image_encrypt(byte[] bytes)
{
if (bytes[0] == 0x4D && bytes[1] != 0x5A)
{
for (int i = 0; i < bytes.Length - 1; i++)
{
bytes[i + 1] = (byte)((bytes[i + 1] + 0x77) ^ 0x8D);
bytes[i + 1] = (byte)(((bytes[i + 1] ^ bytes[i]) + 0x3A) ^ 0x93);
}
}
return bytes;
}
解密后用对比工具看下,现在能看到了Dos头部信息
0x03 用.Net Reflector 打开解密后的dll
这里报了个错误,元数据头签名无效(关于.Net 文件格式和元数据等知识这里就不讲解了,感兴趣的话网上有很多资料)
关于元数据头中Signature的修复 腾讯是在mono_image_open_full中去检测这个值,可在IDA中搜索字符串“BSJB”来定位具体的位置
这里直接用CFF Explorer修复一下就好(快捷方便
),找到.Net 元数据头,在Signature的Value值中填入424A5342,修改后保存
在用对比工具比较一下,左边就是刚才修改后的,已经清晰的看到‘BSJB’签名了
这时在.Net Reflector 中就能看到dll的代码了
资源提取源码
链接:http://pan.baidu.com/s/1kVudWSB 密码:i58w