逆向学习笔记 - Cocos2d Lua逆向提取资源

2024-04-08

全文 ≈ 1.2k字 | 预计阅读时长 6分钟

记一次半吊子逆向工程的…艰难过程

前言

在搞小游戏的过程中需要一些美术资源，从网上购买了一些不是很满意，所以准备对几个精品同类手游下手，捞一手美术资源。

下手

一个某大话私服手游，解压安装包：

├── AndroidManifest.xml
├── META-INF
│   ├── MANIFEST.MF
│   ├── SAMPLE.RSA
│   └── SAMPLE.SF
├── assets
│   └── res
├── classes.dex
├── lib
│   ├── arm64-v8a
│   ├── armeabi-v7a
│   └── x86
├── res
│   └── ...
└── resources.arsc

打开 lib 目录，下面三个目录对应不同 CPU 架构。

arm64-v8a
第 8 代 64 位 ARM 处理器，是以后的架构的趋势。
armeabiv-v7a
第 7 代及以上的 ARM 处理器，目前是主流架构。
x86 / x86_64
32 位架构，模拟器用的比较多

├── arm64-v8a
│   └── libcocos2dlua.so
├── armeabi-v7a
│   └── libcocos2dlua.so
└── x86
    └── libcocos2dlua.so

通过libcocos2dlua.so可以确定游戏引擎是 Cocos2d-Lua 。

如果有libmono.so,libil2cpp.so等文件，则可能是 Unity 。

res 目录一般是 Android 工程的 Icon、Logo 等文件（忽略）。assets/res 是我们要找的资源目录，随便挑一张图片文件打开是这样的：

通过文本编辑器打开内容是这样的：

打开多个文件发现头都是sm!fd9%3nX4@这几个字符，应该是 XXTEA 算法（这是 Sign，我们需要找到 Key 就可以进行解密资源）。

逆向方案

确定是 XXTEA 算法之后，有两种方式来获取 Key：

IDA
静态分析，或附加进程动态调试
Frida
注入 Hook 脚本获取

两种动态获取方式流程大致相同，其原理都是注入程序读取内存之后通过端口进行转发，但是 Frida 相比较容易一些。

准备工作：

安卓设备 / 模拟器（本文使用的 Mumu 模拟器）
游戏安装包（需要开启 debug 模式）

IDA

IDA 工具拖入 libcocos2dlua.so 等待分析完成，点击 View->Open Subviews->Strings 搜索xxtea，列表中_Z13xxtea_encryptPhjS_jPj、_Z13xxtea_decryptPhjS_jPj这俩就是 xxtea 加解密的函数。

跟进 _Z13xxtea_decryptPhjS_jPj ，找到 xxtea_decrypt 及调用函数。

伪代码中的 v8 就是 Key，这里被标记一段 128 bit 宽度的数据（xmmword，刚好 16 字节），继续跟进 g_xmmword_1220CF0 。

hex -> decimal -> ascii
0x67 -> 103 -> g
0x62 -> 98 -> b
0x34 -> 52 -> 4
0x73 -> 115 -> s
0x5A -> 90 -> Z
0x7A -> 122 -> z
0x6F -> 111 -> o
0x56 -> 86 -> V
0x2F -> 47 -> /
0x66 -> 102 -> f
0x50 -> 80 -> P
0x32 -> 50 -> 2
0x50 -> 80 -> P
0x29 -> 41 -> )
0x74 -> 116 -> t
0x33 -> 51 -> 3

gb4sZzoV/fP2P)t3 这一段就是我们要找的 Key 啦。

Frida

安装 Frida 环境

$ pip3 install frida
$ pip3 install frida-tools
$ frida --version
16.2.1

下载 Frida Server

https://github.com/frida/frida/releases

frida-server-16.2.1-android-x86_64.xz

模拟器开启 root 权限，打开 USB 调试模式。

$ cd /Applications/NemuPlayer.app/Contents/MacOS
$ ./adb push ./frida-server-16.2.1-android-x86_64 /data/adb/frida-server-16.2.1
$ ./adb forward tcp:27042 tcp:27042
$ ./adb root # 开启root权限
$ ./adb shell # 进入模拟器 adb shell

查看游戏包名

# cd /data/app
# ls -a
code_cache
com.mumu.acc-1
com.mumu.launcher-1
com.mumu.store-1
com.netease.mumu.cloner-1
www.cocos.game-1 # 这是我们要找的游戏

启动 Frida Server

1
2
3

# cd /data/adb
# chmod +x ./frida-server-16.2.1
# nohup ./frida-server-16.2.1 &

测试服务

$ frida-ps -U
 268  adbd
 976  android.process.acore
1069  android.process.media
1224  com.android.keychain
1247  com.android.providers.calendar
 763  com.android.systemui
 287  debuggerd
 288  debuggerd64
 290  drmserver
1360  frida-server-16.2.1 # 说明注入程序也成功启动

运行 Hook 脚本

const libName = "libcocos2dlua.so";
const funcName = "_Z13xxtea_decryptPhjS_jPj";
const ptr = Module.findExportByName(libName, funcName);
if (!ptr) {
    return;
}
Interceptor.attach(ptr, {
    onEnter: function (args) {
        console.log("Key:", Memory.readUtf8String(args[2])); // 这里为什么取第三个参数，另一种IDA方式会有解释。
    },
    onLeave: function (retval) {},
});

$ frida -U -f www.cocos.game -l ./key.js
     ____
    / _  |   Frida 16.2.1 - A world-class dynamic instrumentation toolkit
   | (_| |
    > _  |   Commands:
   /_/ |_|       help      -> Displays the help system
   . . . .       object?   -> Display information about 'object'
   . . . .       exit/quit -> Exit
   . . . .
   . . . .   More info at https://frida.re/docs/home/
   . . . .
   . . . .   Connected to Android Emulator 5554 (id=emulator-5554)
Spawned `www.cocos.game`. Resuming main thread!
[Android Emulator 5554::www.cocos.game ]-> Key: gb4sZzoV/fP2P)t3
Key: gb4sZzoV/fP2P)t3
Key: gb4sZzoV/fP2P)t3
Key: gb4sZzoV/fP2P)t3
Key: gb4sZzoV/fP2P)t3
...
Process terminated
[Android Emulator 5554::www.cocos.game ]->

Thank you for using Frida!

gb4sZzoV/fP2P)t3 这个就是动态获取的 Key。

解密资源

Cocos2d-x 关于 XXTEA 的 Lua 资源解密流程

CCLuaStack.cpp

int LuaStack::luaLoadBuffer(lua_State *L, const char *chunk, int chunkSize, const char *chunkName)
{
    int r = 0;

    if (_xxteaEnabled && strncmp(chunk, _xxteaSign, _xxteaSignLen) == 0)
    {
        // decrypt XXTEA
        xxtea_long len = 0;
        unsigned char* result = xxtea_decrypt((unsigned char*)chunk + _xxteaSignLen,
                                              (xxtea_long)chunkSize - _xxteaSignLen,
                                              (unsigned char*)_xxteaKey,
                                              (xxtea_long)_xxteaKeyLen,
                                              &len);
        unsigned char* content = result;
        xxtea_long contentSize = len;
        skipBOM((const char*&)content, (int&)contentSize);
        r = luaL_loadbuffer(L, (char*)content, contentSize, chunkName);
        free(result);
    }
    else
    {
        skipBOM(chunk, chunkSize);
        r = luaL_loadbuffer(L, chunk, chunkSize, chunkName);
    }

#if defined(COCOS2D_DEBUG) && COCOS2D_DEBUG > 0
    // ...
#endif
    return r;
}

根据逻辑可以推出，根据加密资源头部 Sign 来确定是否 XXTEA 加密，解密时把 Sign 忽略。实现如下：

func main() {
    sign := "sm!fd9%3nX4@"
    key := "gb4sZzoV/fP2P)t3"

    bs, err := os.ReadFile("../assets/9322.png")
    if err != nil {
        panic(err)
    }
    nbs := xxtea.Decrypt(bs[len(sign):], key)
    os.WriteFile("../assets/9322_dec.png", nbs, os.ModePerm)
}

Q&A

adb shell 提示 error: no devices/emulators found

1 2	$ ./adb kill-server $ ./adb start-server