游戏安全实验室游戏漏洞外挂分析

阅读目录

一键展开

实战篇——第二道习题及答案

发布于：2016-7-12 10:09 | 121600次阅读作者: 管理员 | 原作者: TP | 来自: 原创

2048 HOOK

题目：

开发实现2048游戏快速通关功能，通过注入方式实现外挂功能

习题答案：

1、实现思路

下面讲解几种思路及其实现方式，然后挑选一种进行实现：

1．第一种实现思路，利用inlineHook实现，属于最常见的功能实现方式，可利用Cydia Substrate 组件libsubstrate.so模块的MSHookFunction函数对Playground::addBoxAtIndexWithLevel方法进行Hook操作（前面Hook章节讲解了InlineHook实现，读者也可自实现InlineHook），通过新函数代替旧函数，把传入的第三个参数，即R2，修改为某个数再传入原函数执行。

2．第二种实现思路，采用导入表Hook的方法（前面Hook章节讲解了导入表Hook实现），对导入函数arc4random()进行Hook操作，然后利用_Unwind_Backtrace，_Unwind_GetIP以及dladdr函数得到调用者（caller）的信息，判断如果是Playground::addBoxAtIndex调用，则将返回值设成 0，如此便可每次生成值为2的Box。

3．第三种实现思路，采用异常Hook和导入表Hook的方式。与第二种类似，首先在Playground::addBoxAtIndex中的arc4random调用之前设置异常Hook，并计数。然后对arc4random函数设置导入表Hook，在新的arc4random函数replaced_arc4random中监控异常Hook运行的次数，每运行一次，replaced_arc4random的返回值为0，如此便能一直生成值为2的Box。

4．第四种实现思路，采用动态patch代码的方式进行。分析到Playground::addBoxAtIndexWithLevel的第三个参数只会进入Box::setCurrentLevel方法，那么只需要将“04 99”opcode修改为“0B 21”，修改前对应的代码如图1所示，修改后的代码如图2所示。

图1 修改前的代码

图2 修改后的代码

5．第五种实现思路，采用静态patch代码的方式进行。与第四种类似，但是这种方法不用自己写代码，只需要用十六进制编辑工具静态修改libcocos2dcpp.so的对应的opcode，然后保存好这个文件，将其放入Android手机中，替换/data/data/com.estoty.game2048/lib/libcocos2dcpp.so文件，然后启动游戏即可。

介绍完五种实现思路，选择第一种实现，其他思路读者有兴趣可以自行实现。

2、实现原理

第一种思路用到的两个关键的知识点，分别为：注入和inlineHook，2048游戏没有反调试和反注入，读者可以参考《Android平台Ptrace注入实现》和《Android平台inline hook实现》两篇文章，将核心功能模块以ptrace方式注入到游戏的进程中，然后再利用dlopen 打开libsubstrate.so，利用dlsym获取MSHookFunction函数，通过调用MSHookFunction函数实现InlineHook目标函数。