http://gslab.qq.com/article-53-1.html

背景介紹

隨著手遊的發展，Unity3D引擎逐漸成為主流的遊戲開發解決方案，傳統cocos的2D遊戲逐漸被取代，一些公司在Unity3D遊戲方面的產出也越來越多，如天天飛車，天天來戰，全民破壞神，全民偶像，全民突擊等遊戲。Unity3D遊戲的不斷產出，遊戲的安全性要求也越來越高，在此歸納一些逆向用到的方法和思路以及一些輔助性工具，做一些知識普及。

識別Unity遊戲

Android平臺的apk包可以直接解壓，看是否有./assets/bin/Data/Managed目錄，也可以檢視lib資料夾下面包含的一些so，如果有libmono,libunity等模組，基本可以確定是unity遊戲了。

Android平臺中C#編寫的主邏輯模組程式碼靜態編輯之後儲存於Assembly-CSharp.dll檔案中。因為unity的跨平臺，Android平臺是unity編譯的遊戲，那麼其對應的IOS平臺上也是unity編譯出來的。如果希望直接從IOS上面去看是否是unity遊戲，可以提取遊戲中的主模組檢視是否有unity之類的函式即可。

破解思路

下面列舉了一些破解版思路，如果能直接下斷點在函式頭修改暫存器可直接修改暫存器測試，遇到一些不能直接修改的，就用第二種方法，把修改後的Assembly-CSharp.dll注入到遊戲中，讓遊戲執行我們修改後的程式碼。另外也可以動靜態修改二進位制實現。

一、 修改unity遊戲邏輯程式碼編譯成彙編程式碼相關的值

（1）   修改傳進來的引數，即暫存器，一般是set之類的函式

（2）   彙編程式碼中儘量不修改記憶體，不修改opcode，能改暫存器直接改暫存器

二、 反編譯Assembly-CSharp.dll，直接修改unity的C#原始碼

（1）       修改函式返回值

（2）       直接刪除函式體，只剩下 ret 指令

（3）       在對應函式修改，對變數進行處理

（4）       在對應函式增加一些call處理，主動call

三、 分析原始碼直接修改程式碼

（1）   通過分析unity反編譯後的原始碼找到對應的彙編指令下斷點修改暫存器

（2）   通過直接靜態分析dll，直接修改IL碼的二進位制碼

四、 在載入dll的函式位置dump原來的dll程式碼，可繞過dll加密，修改原始碼

（1）       hook住mono_image_open_from_data_full函式，dump出dll可以，用IDA配合jdb掛起程序在那函式位置下斷點dump也可以，原始碼具體修改方案同“二”和“三”

常用工具

一、 IDA工具

可以進行動態除錯和靜態分析的工具，能在合適的位置下斷點，修改指定暫存器和編寫IDC指令碼配合分析，不多介紹

二、 ILSpy

反編譯和分析dll程式碼，可以交叉引用，可以以原始碼形式儲存反編譯的程式碼，提供程式碼給DirFind等字串搜尋定位工具定位程式碼位置

三、 .NET Reflector + Reflexil

反編譯和分析dll程式碼，彌補了ILSpy一些功能性的缺陷，可以分析出錯誤的CLR檔案頭，一些在ILSpy顯示不出的dll檔案，如果只是因為dll頭部被修改，放在.NET Reflector中是可以分析出的。Reflexil則是.NET Reflector的一款外掛，可以反編譯和回編譯IL碼，方便實用視覺化。

四、 Ilasm和ildasm

Ildasm可以反編譯dll，dump出反編譯後的il碼，而Ilasm則可以重打包il碼，利用命令ilasm /dll *.il 即可。

常用IL碼二進位制

（1）nop 二進位制是 0x00

（2）ldc.i4.0 二進位制是 0x16

（3）ldc.i4.1 二進位制是 0x17

（4）ret 二進位制是 0x2A

（5）ldc.r4 二進位制是 0x22 ，後面跟四個位元組

案例

案例一：在函式頭下斷點（全民反恐攻擊任意傷害）

利用ILSpy反編譯的unity遊戲原始碼，在裡面找到一個影響傷害的函式，發現裡面的傳參第一個引數就是傷害值，那麼我們利用斷點工具在FPlayerPawn::TakeDamage函式頭下斷點，然後修改r1暫存器，繼續執行就可以了。

案例二：利用IDA在函式頭下斷點（悟空降魔任意修改血量值）

利用ILSpy反編譯後的unity遊戲原始碼，在裡面找到一個影響血量設定的函式set_curHP，用IDA工具調到地址下斷點，修改r1暫存器值。

案例三：Reflector+Reflexil修改原始碼返回值後注入（全民偶像任意舞蹈滿分過關）

利用Reflector反編譯unity遊戲原始碼，找到CRhythmGamingCore::GetHitResult

函式，利用Reflexil外掛編輯IL碼把返回值修改成1，相當於直接返回“amazing”。然後儲存成新的dll檔案，並利用工具將模組注入到遊戲中。

修改後，反編譯結果如下：

案例四：Reflector+Reflexil刪除函式體後注入（全民突擊不限時）

利用Reflector反編譯unity遊戲原始碼，找到TaskGameTimeReached::OnUpdate函式，利用Reflexil外掛刪除函式體，變成下面的形式，注入到遊戲中即可。

案例五：Reflector+Reflexil call函式（全民破壞神技能無CD）

利用Reflector反編譯unity遊戲原始碼， 利用Reflexil在函式加一句話主動call函式，可以清空所有技能CD。

小結

Unity引擎遊戲從目前的情況來看，相對於cocos的遊戲還是不安全的，畢竟目前很多Unity遊戲都直接暴露了dll，儘管沒有暴露dll，也能直接dump出dll去反編譯分析，直接看到了原始碼。而unity遊戲既可以從彙編層入手也可以從原始碼入手，彙編層的話直接找到函式編譯後的地址然後下斷點就可以了；如果是修改原始碼的話則需要把回編譯的dll注入到mono載入dll的那個地方。