Lua遊戲逆向及破解方法介紹

背景介紹

隨著手遊的發展，越來越多的Cocos-lua端遊開發者轉移到手遊平臺。Lua腳本編寫邏輯的手遊也是越來越多，如夢幻西遊、刀塔傳奇、開心消消樂、遊龍英雄、奇跡暖暖、疾風獵人、萬萬沒想到等手遊。隨著Lua手遊的增加，其安全性更值得關註，在此歸納一些常用的分析方法，同時介紹一些輔助工具。

識別Lua遊戲

Android平臺的apk包可以直接解壓，找到./lib目錄下的so邏輯模塊，一個個分析其so，尋找是否內嵌lua引擎（一般情況下，最大的so最有可能內嵌lua引擎）。如果有libcocos2dlua、libhellolua字樣，其內嵌lua引擎的可能性極大。

將可疑so拖入IDA，查看lua引擎字符串，找到如圖1所示的lua引擎內字符串，那該手遊基本就可以確定是內嵌了一個lua引擎，有極大可能是用lua編寫遊戲邏輯。

圖1. Lua引擎相關字符串

也可以配合留意下解壓出來的assets目錄下，是否包含腳本信息。這類信息一般是加密的（也有很多安全意識薄弱的是直接lua腳本明文存放的），但有個明顯特征是：有多個文件存放。如圖2和圖3所示，分別是兩款非常火熱的Lua手遊的assets目錄下的lua腳本信息。其中D手遊僅是對luac進行加密，而M手遊則是連名字也弄個哈希加密。

圖2. Lua手遊asserts下可疑腳本信息案例手遊D

圖3. Lua手遊asserts下可疑腳本信息案例手遊M

破解思路

Lua手遊的破解主要分成兩步，一步是能獲取遊戲lua腳本；第二步是替換lua腳本。核心是找到lua腳本，然後修改生效。不同安全級別的手遊，相應的lua腳本獲取時機點會有所不同。（本質是沿著Lua引擎加載lua腳本的整條加載鏈，如圖4所示，去不斷分析找到合適時機點dump和替換。）

另一類思路，是輔助工具常用的方法，比如叉叉的lua手遊輔助。只需要獲取遊戲lua腳本信息，然後無需替換，而是直接加載自身的一個lua腳本（該腳本和遊戲腳本在同一個命名空間，可直接修改遊戲腳本數據，調用函數）。

一、 直接assets資源可獲取lua腳本

這類比較初級，在assets目錄下可獲得lua或者luac源碼。

針對lua源碼類型，直接修改然後apktool重打包即可。

針對luac源碼類型（luac是lua編譯的lua字節碼文件，包含lua腳本所有信息，具體可搜索lua字節碼文件結構），可以使用unluac等開源項目/工具反編譯回lua源碼。然後修改直接替換回修改後的lua源碼文件即可（lua引擎加載腳本的時候，會識別luac magic number判斷是lua源碼還是luac，直接替換源碼下去是不會影響腳本加載執行的）。

二、 在luaL_loadbuffer函數處獲取

luaL_loadbuffer是一個走得比較頻繁的加載點。Cocos引擎的lua加載器為cocos2dx_lua_loader，如圖4所示，最終都是調用luaL_loadbuffer函數來加載。一般廠商會在這層上面對lua腳本進行解密，既是在luaL_loadbuffer函數獲取buff參數可得到解密後的lua腳本。修改邏輯後可以直接在這個點替換回去。

圖4. cocos2dx_lua_loader函數

三、 更底層的reader函數處獲取

lua引擎加載lua腳本最底層是到lua_reader函數。該函數負責最底層的腳本buff遍歷，因此在此處dump出來的lua腳本是最純正的lua腳本，所有加密都已經被去除（修改lua opcode或者引擎邏輯除外）。

不過這個點的獲取不到足夠的文件信息（文件名、buff index等），需要配合上層函數拼湊lua腳本。

常用工具

一、 IDA工具

可以進行動態調試和靜態分析的工具，能在合適的位置下斷點，修改指定寄存器和編寫IDC腳本配合分析（這裏可用來dump luac文件），不多介紹。

二、 ChunkSpy

用於解析lua字節碼文件結構，方便luac的學習與閱讀。

三、 unluac

Unluac是一個lua反編譯器開源項目，可將luac文件反編譯為lua代碼。針對夢幻西遊、刀塔傳奇等修改了lua opcode的手遊，在靜態分析確認還原opcode後，可修改這個項目打包出個對應版本的反編譯工具（直接修改OpcodeMap.java裏的map，改成對應遊戲修改後的Opcode即可）。

常用邏輯修改方法

（1）修改全局變量（全局配置之類的）

（2）update函數的調用邏輯修改（不update或者update多次）

（3）敵人類、主角類、武器類、技能的初始化過程，屬性修改

（4）一些過程處理函數的邏輯修改（如傷害計算、命中部位判定等）

實戰案例

案例一：修改全局變量（開心消消樂暴分）

在lua_reader函數可直接dump出遊戲lua源碼，在其/zoo/gamePlay/GamePlayConfig.lua文件中配置了遊戲分數獎勵等屬性，修改如圖5 所示為幾個特效額外得分即可輕松暴分。

圖5. 開心消消樂分數配置表

案例二：多次調用遊戲響應函數（刀塔傳奇快速戰鬥）

這裏給出叉叉的一個例子。叉叉針對刀塔傳奇有相應的輔助，其中快速戰鬥實現如圖6 所示：是通過HOOK了update函數（lua中函數名是指針，備份原先函數指針，直接重寫即可實現HOOK），在update函數尾調用10次tick實現。

圖6. 叉叉實現快速戰鬥

案例三：修改函數內部邏輯（開心消消樂增加步數）

在lua_reader函數可直接dump出遊戲lua源碼，如圖7 所示：MoveMode::useMove函數負責處理步數扣除，直接修改為增加10步即可實現步數增加功能。

圖7. 開心消消樂步數修改

小結

Lua手遊相對來說，還是不夠安全的。因為lua引擎不僅是開源的，而且相對python等腳本引擎更簡單。外掛作者在lua引擎底層如魚得水。上面介紹的分析破解思路，就是沿著lua引擎加載腳本的函數鏈進行分析，找到一個解密後的點dump出腳本，針對腳本進行詳細分析，嘗試構造攻擊點破解版遊戲實現外掛功能。

Lua遊戲逆向及破解方法介紹