2. 程式人生 > >利用frida實現遊戲作弊

利用frida實現遊戲作弊

阿新 發佈:2018-12-05

前言

frida是一款輕量級hook框架,支援js、c,python,所以用它來除錯各種軟體非常便捷,不需要編譯,反覆注入等等

安裝

python環境

pip install frida frida-tools

原始碼地址 https://github.com/frida/frida
下載地址 https://github.com/frida/frida/releases
將frida-server push到手機中,並啟動

除錯

遊戲逆向

該遊戲時il2cpp的,獲取到遊戲函式偏移。

	public void UpdateGold(int addGold)
 
; // 0x1A05AC

編寫指令碼

啟動遊戲。發現存在反除錯,已經被attach了。
在這裡插入圖片描述
這是咋辦呢?正常情況下,如果是so注入的話,一般有這麼些思路:

  • 注入zygot程序,然後由zygot 進行fork,這樣所有app都被注入
  • 預載入程式時暫停(am start -D -n XXXXX啟動),然後ptrace注入,在detach
  • 修改原始碼,編譯過程複雜,耗時間

這裡frida支援預載入注入,編寫指令碼main.py

# -*- coding: utf-8 -*-
# @Author: saidyou
# @Date:   2018-07-10 01:51:54
 

# @Last Modified by:   saidyou
# @Last Modified time: 2018-12-05 10:24:10
# -*- coding: utf-8 -*-
import frida
import sys
import os
from struct import *
import traceback



package_name = 'com.ztgame.yyzy'
# package_name = 'com.sdg.woool.xuezu'
#send
js_name = 'yyzy.js'
is_launch = 1


pwd = sys.path[0]
 

script = None
session = None
protocal_list = []

def port_forward():
    os.system('adb forward tcp:27042 tcp:27042')
    os.system('adb forward tcp:27043 tcp:27043')

def get_js_code():
    buf = open(pwd+'\\'+js_name).read()
    return buf

def send_continue():
    script.post({"type": "continue"})    

def witch_pro_num(pro_num):
    for line in protocal_list:
        if line.find(pro_num)+1:
            print line[:-1]
            return line

def on_message(message, data):
    global lua_num
    try:
        if data  and len(data)>0:
            aaaa=''
        else:
            return
        if message['payload'].find('save')+1:
            open('e:\\'+message['payload'],'wb+').write(data)
        elif message['payload']=='send'  :
            # print type(data),len(data),`data`
            protocal_num = unpack('<H',data[:2])[0]
            pro_buf = witch_pro_num(hex(protocal_num))
            if pro_buf.find('pt_state_skill')+1:
                send_continue()

        elif message['payload'] == 'Assembly-CSharp.dll' :
            open('e:\\Assembly-CSharp.dll','wb').write(data)

        else :
            # print message['payload']
            file_type  = '.lua'
            if data[:4]=='\x1bLua':
                file_type = '.luac'

            full_path = 'e:\\lua\\'+message['payload'].replace('/','\\')+file_type
            full_dir = full_path[:full_path.rfind('\\')]

            if os.path.exists(full_dir) == False:
                os.system('mkdir '+full_dir)

            print full_path
            open(full_path,'wb+').write(data)

    except:
        traceback.print_exc()


def attach():
    global script
    global session
    device = frida.get_usb_device()
    session = device.attach(package_name)
    script = session.create_script(get_js_code())
    script.on('message', on_message)
    script.load()
    sys.stdin.read()

def launch():
    global script
    global session
    # local
    device = frida.get_usb_device()
    # remote
    #device = frida.get_device_manager().add_remote_device('192.168.123.20')
    p1 = device.spawn([package_name])
    session = device.attach(package_name)
    script = session.create_script(get_js_code())
    script.on('message', on_message)
    script.load()
    device.resume(p1)
    sys.stdin.read()

def main():
    reload(sys)
    sys.setdefaultencoding('utf-8')
    port_forward()
    if is_launch:
        launch()
    else:
        attach()

if __name__ == '__main__':
    main()

hook程式碼yyzy.js

/*
* @Author: saidyou
* @Date:   2018-11-27 10:41:42
* @Last Modified by:   saidyou
* @Last Modified time: 2018-12-04 19:43:31
*/


function get_func_by_offset(module_name,offset){
    module=Process.getModuleByName(module_name)
    addr=module.base.add(offset);
    return new NativePointer(addr.toString());
}
// UpdateGold 0x1A05AC
function attach_gold(so_path){
    func = get_func_by_offset("libil2cpp.so",0x1A05AC)
    console.log('[+] hook '+func.toString())
    Interceptor.attach(func, {
        onEnter: function (args) { 
            console.log('**********************')
            var1 = args[1].toInt32()
            args[1] = ptr(999)
            console.log('[!] modify UpdateGold from '+var1+' to 1000')
            console.log('[*] '+args[1].toString())
        },
        onLeave: function (retval) {

        }
    });
}

var is_matched = false;

function attach_matched(so_path){
    if(so_path.indexOf('libil2cpp.so')<0 || is_matched == true){
        return
    }
    is_matched = true
    console.log('[*] '+so_path)
    attach_gold(so_path)

}

function hook_dlopen(){
    // func = get_func_by_offset('libc.so','dlopen')//492d
    // func = Module.findExportByName("linker","dlopen") //33ed
    var func = get_func_by_offset('linker',0x2C31  )

    console.log('[+] dlopen '+ func.toString())
    Interceptor.attach(func, {
        onEnter: function (args) { 
            this.so_path =  Memory.readCString(args[0])
            console.log('[*] ')
        },
        onLeave: function (retval) {
            // console.log(this.so_path)
            attach_matched(this.so_path)
        }
    });
}


hook_dlopen()
// hook_open()

// addr = DebugSymbol.getFunctionByName('dlopen')
// console.log(addr)

這裡修改的時金幣,點選購買,金幣增加,完美作弊。

相關推薦

利用frida實現遊戲作弊

前言 frida是一款輕量級hook框架,支援js、c,python,所以用它來除錯各種軟體非常便捷,不需要編譯,反覆注入等等 安裝 python環境 pip install frida frida-tools 原始碼地址 https://github

Java利用Redis實現消息隊列

.get keys rpo throws max del 鍵值 先進先出 instance 應用場景 為什麽要用redis?二進制存儲、java序列化傳輸、IO連接數高、連接頻繁 一、序列化   這裏編寫了一個java序列化的工具,主要是將對象轉化為byte數組,和根

利用Tensorflow實現神經網絡模型

flow one 什麽 hold test ase tensor dom def 首先看一下神經網絡模型,一個比較簡單的兩層神經。 代碼如下: # 定義參數 n_hidden_1 = 256 #第一層神經元 n_hidden_2 = 128 #第

利用Sentinel實現Redis主從切換

edi nbsp ilo bind redis poc 自主 日誌 sent 利用Sentinel(哨兵)實現Redis集群的故障自主切換 首先部署redis主從集群,這裏忽略過程,主要看配置文件: master: bind 0.0.0.0 port 6801 log

利用FT232實現USB轉串口

可能性 olt documents generated ply pl2 繪制 很好 ner FT232B數據手冊:http://www.ftdichip.com/Support/Documents/DataSheets/ICs/DS_FT232BL_BQ.pdf 常用的US

[轉] 利用js實現 禁用瀏覽器後退

cti scrip style 瀏覽器中 文本框 所有 方案 att word [From] http://blog.csdn.net/zc474235918/article/details/53138553 現在很多的內部系統,一些界面,都是用戶手動點擊退出按鈕的。但

利用Selenium實現圖片文件上傳的兩種方式介紹

最簡 pfile 狀態 blog nbsp ftw fin send find 在實現UI自動化測試過程中,有一類需求是實現圖片上傳,這種需求根據開發的實現方式,UI的實現方式也會不同。 一、直接利用Selenium實現 這種方式是最簡單的一種實現方式,但是依賴於

LN : JSON 利用C++實現JSON

ava cxf long auto chang exp sld ngxin chan Java%E7%A8%8B%E5%BA%8F%E5%91%98%E7%9A%84%E6%97%A5%E5%B8%B8%20%E2%80%94%E2%80%94%20Java%E7%B1%B

使用行為樹(Behavior Tree)實現遊戲AI

方便 不同 sequence 理解 and while 記錄 策略 積累 談到遊戲AI,很明顯智能體擁有的知識條目越多,便顯得更智能,但維護龐大數量的知識條目是個噩夢:使用有限狀態機(FSM),分層有限狀態機(HFSM),決策樹(Decision Tree)來實現遊戲AI總

利用GDAL實現影像的幾何校正

pad 傳感 ons 結構 turn 關聯 oat eve gre 一、概述 遙感影像和地理坐標進行關聯的方式一般有好幾種,一種是直接給出了仿射變換系數,即6個參數,左上角地理坐標,縱橫方向上的分辨率,以及旋轉系數。在這樣的情況下,求出某一像素點的地理坐標非常eas

php利用gd實現圖片的邊框

col spl tmp pic ora play 圖片 取圖 from 1 <?php 2 3 //實現兩張圖片合並 並內圖片有一定的邊框 4 5 $file = ‘image/qr_1047.png‘; 6 $logo = ‘image/log

利用shell實現判斷局域網內在線用戶有那些

利用shell實現判斷局域網內在線用戶有那些#!/bin/bash while true; do for I in {100..120};do ping -c 2 -w 2 192.168.0.$I &>/dev/null if [ $? -eq 0 ];then

利用jsonp實現跨域請求

get p地址 doc ajax請求 -s tar 原理 安全策略 都是   同源策略,它是由Netscape提出的一個著名的安全策略。現在所有支持JavaScript 的瀏覽器都會使用這個策略。所謂同源是指,域名,協議,端口相同。當一個瀏覽器的兩個tab頁中分別打開來 百

利用ListView實現類似物流詳情的進度顯示

class cnblogs bsp idt ges height eight 效果圖 進度顯示 實現效果圖: 一、UI實現 布局文件: 二、數據實現 利用ListView實現類似物流詳情的進度顯示

Nginx+Tomcat反向代理利用certbot實現https

per share 反向 oot 一段 new gree package cti 一、利用Let‘s Encrypt 免費生成HTTPS證書 1、下載安裝certbot(Let‘s Encrypt ) 2、利用certbot生成證書 3、配置nginx的https證書 安裝

利用Red Blob遊戲介紹A*算法

函數 map dijkstra wiki ear star 計算 ood 工作 轉自:http://gad.qq.com/program/translateview/7194337 在遊戲中,我們經常想要找到從一個位置到另一個位置的路徑。我們不只是想要找到最短距離,同時也

利用toggle實現背包

如圖所示 技術分享 ges com 界面 nor graphic 背包 圖片 1.先創建入如圖所示界面 2.在圖片下面創建一個選中狀態圖片 3.在normal圖片添加toggle組件,將子物體拖動到graphic裏 利用toggle實現背包

PHP利用P3P實現跨域

method php evaluate payment 接受 可能 contains strong rac 有別於js跨域、IFRAME跨域等的常用處理辦法,還可以利用P3P來實現跨域。 P3P是什麽 P3P(Platform for Privacy Preferenc

手機影音第十五天,利用service實現後臺播放音樂,在通知欄顯示當前音樂信息等

手機影音 第十五天 利用service實現後臺播放音樂 在通知欄顯示當前音樂信息。 代碼已經托管到碼雲上,有興趣的小夥伴可以下載看看 https://git.oschina.net/joy_yuan/MobilePlayer 先來一張目前的音樂播放器的效果圖,當播

Python 利用socket 實現 ssh 跳轉

socket python squid 1.場景描述:主機A主機B主機C10.13.170.76172.28.117.156(squid)10.95.113.131 主機A---->主機B(80)--->主機C(22), A通過B的80訪問主機C131 2.Python代碼;im