背景介绍

随着手游的发展，Unity3D引擎逐渐成为主流的游戏开发解决方案，传统cocos的2D游戏逐渐被取代，一些公司在Unity3D游戏方面的产出也越来越多，如天天飞车，天天来战，全民破坏神，全民偶像，全民突击等游戏。Unity3D游戏的不断产出，游戏的安全性要求也越来越高，在此归纳一些逆向用到的方法和思路以及一些辅助性工具，做一些知识普及。

识别Unity游戏

Android平台的apk包可以直接解压，看是否有./assets/bin/Data/Managed目录，也可以查看lib文件夹下面包含的一些so，如果有libmono,libunity等模块，基本可以确定是unity游戏了。

Android平台中C#编写的主逻辑模块代码静态编辑之后存储于Assembly-CSharp.dll文件中。因为unity的跨平台，Android平台是unity编译的游戏，那么其对应的IOS平台上也是unity编译出来的。如果希望直接从IOS上面去看是否是unity游戏，可以提取游戏中的主模块查看是否有unity之类的函数即可。

破解思路

下面列举了一些破解版思路，如果能直接下断点在函数头修改寄存器可直接修改寄存器测试，遇到一些不能直接修改的，就用第二种方法，把修改后的Assembly-CSharp.dll注入到游戏中，让游戏执行我们修改后的代码。另外也可以动静态修改二进制实现。

一、 修改unity游戏逻辑代码编译成汇编代码相关的值

（1）   修改传进来的参数，即寄存器，一般是set之类的函数

（2）   汇编代码中尽量不修改内存，不修改opcode，能改寄存器直接改寄存器

二、 反编译Assembly-CSharp.dll，直接修改unity的C#源代码

（1）       修改函数返回值

（2）       直接删除函数体，只剩下 ret 指令

（3）       在对应函数修改，对变量进行处理

（4）       在对应函数增加一些call处理，主动call

三、 分析源码直接修改代码

（1）   通过分析unity反编译后的源码找到对应的汇编指令下断点修改寄存器

（2）   通过直接静态分析dll，直接修改IL码的二进制码

四、 在加载dll的函数位置dump原来的dll代码，可绕过dll加密，修改源代码

（1）       hook住mono_image_open_from_data_full函数，dump出dll可以，用IDA配合jdb挂起进程在那函数位置下断点dump也可以，源代码具体修改方案同“二”和“三”

常用工具

一、 IDA工具

可以进行动态调试和静态分析的工具，能在合适的位置下断点，修改指定寄存器和编写IDC脚本配合分析，不多介绍

二、 ILSpy

反编译和分析dll代码，可以交叉引用，可以以源码形式保存反编译的代码，提供代码给DirFind等字符串搜索定位工具定位代码位置

三、 .NET Reflector + Reflexil

反编译和分析dll代码，弥补了ILSpy一些功能性的缺陷，可以分析出错误的CLR文件头，一些在ILSpy显示不出的dll文件，如果只是因为dll头部被修改，放在.NET Reflector中是可以分析出的。Reflexil则是.NET Reflector的一款插件，可以反编译和回编译IL码，方便实用可视化。

四、 Ilasm和ildasm

Ildasm可以反编译dll，dump出反编译后的il码，而Ilasm则可以重打包il码，利用命令ilasm /dll *.il 即可。

常用IL码二进制

（1）nop 二进制是 0x00

（2）ldc.i4.0 二进制是 0x16

（3）ldc.i4.1 二进制是 0x17

（4）ret 二进制是 0x2A

（5）ldc.r4 二进制是 0x22 ，后面跟四个字节

案例

案例一：在函数头下断点（全民反恐攻击任意伤害）

利用ILSpy反编译的unity游戏源代码，在里面找到一个影响伤害的函数，发现里面的传参第一个参数就是伤害值，那么我们利用断点工具在FPlayerPawn::TakeDamage函数头下断点，然后修改r1寄存器，继续运行就可以了。

案例二：利用IDA在函数头下断点（悟空降魔任意修改血量值）

利用ILSpy反编译后的unity游戏源代码，在里面找到一个影响血量设置的函数set_curHP，用IDA工具调到地址下断点，修改r1寄存器值。

 案例三：Reflector+Reflexil修改源码返回值后注入（全民偶像任意舞蹈满分过关）

利用Reflector反编译unity游戏源代码，找到CRhythmGamingCore::GetHitResult

函数，利用Reflexil插件编辑IL码把返回值修改成1，相当于直接返回“amazing”。然后保存成新的dll文件，并利用工具将模块注入到游戏中。

修改后，反编译结果如下：

案例四：Reflector+Reflexil删除函数体后注入（全民突击不限时）

利用Reflector反编译unity游戏源代码，找到TaskGameTimeReached::OnUpdate函数，利用Reflexil插件删除函数体，变成下面的形式，注入到游戏中即可。

案例五：Reflector+Reflexil call函数（全民破坏神技能无CD）

利用Reflector反编译unity游戏源代码， 利用Reflexil在函数加一句话主动call函数，可以清空所有技能CD。

小结

Unity引擎游戏从目前的情况来看，相对于cocos的游戏还是不安全的，毕竟目前很多Unity游戏都直接暴露了dll，尽管没有暴露dll，也能直接dump出dll去反编译分析，直接看到了源码。而unity游戏既可以从汇编层入手也可以从源代码入手，汇编层的话直接找到函数编译后的地址然后下断点就可以了；如果是修改源码的话则需要把回编译的dll注入到mono加载dll的那个地方。

*转载请注明来自游戏安全实验室（https://gslab.qq.com）