微信5.0 Android版飞机大战破解无敌模式手记
转载: http://www.blogjava.net/zh-weir/archive/2013/08/14/402821.html
微信5.0 Android版飞机大战破解无敌模式手记
最近微信出了5.0,新增了游戏中心,并内置了一个经典游戏《飞机大战》。游戏其实很简单,但由于可以和好友一起竞争排名,一时间受到大家的追捧,小伙伴们进入“全民打飞机”时代。
ios 版出来不久就被破解出了无敌模式。Android版出后好像一直风平浪静。周末无事,加之看雪zmworm版主邀请,于是花了一天的工夫研究了下。也出了个Android版的无敌模式增强版。具体来说就是无敌、双排子弹加无限炸弹。当然,这个不是重点,我们的重点当然是技术细节啦!
微信的游戏继承了Android版手机QQ游戏中心的思想,也采用插件动态加载方式。具体来说,就是插件及游戏以jar包形式存在,jar包中有classes.dex及其他资源文件,在运行时动态加载资源及classes.dex代码。这样的好处是灵活管理,易于扩展。以后更多的游戏只要上架到微信的服务器,用户就能在微信应用内部下载、安装、运行。具体原理可以参考我2011年的一篇文章《Android类动态加载技术》 。
当然,那篇文章讲的只是基本原理,而微信在代码动态加载方面则走得更远。针对插件的管理及安全,它有一套完整的框架,并自称为sandbox。由于代码有做混淆,加之代码量挺大,所以我仅算管中窥豹,看到的也只是冰山一角。与实际情况有所出入,还请见谅!
一、微信游戏插件的安全校验
其实说实话,微信在游戏插件的安全架构方面花了不少功夫。我能破解并不是利用微信在安全方面的漏洞,而是Android系统本身的安全漏洞。这个漏洞也就是我前段时间发的以为是bluebox上报google的漏洞,后来被证实不是。详情请看《Bluebox Security最新提报Android漏洞的初步探讨》 。
那微信是如何对游戏插件进行加载及安全校验的呢?
飞机大战的游戏插件以jar包的形式,放在微信apk的assets/preload文件夹下:
jar包中包括classex.dex、so本地库及drawable图片资源或者还有xml资源。微信处理插件加载的代码在com.tencent.mm.compatible.loader包中。加载插件资源的类叫做PluginResourceLoader,它是android.content.res.Resources的子类。
而最核心的加载类应该是PluginClassLoader。上面说的PluginResourceLoader也是它的成员变量。它似乎负责整个插件加载的各个环节调度。
Android动态加载类有一个弊端,就是dex文件必须释放为本地文件。这是dalvik虚拟机机制决定的。一直以为google或者dalvik会改,不过似乎到现在还没见改进。释放到本地缓存的dex是很容易受到攻击的,不过微信在这些细节上处理得还挺好,没有明显漏洞。这个后面再说。
PluginClassLoader会在微信安装后第一次启动时,扫描插件的情况,并将插件拷贝到自己应用data下面的app_dex文件夹下。接下来会对插件进行处理。将so库释放到app_lib文件夹下,将jar包中的classes.dex重命名释放到app_cache文件夹下。
在拷贝插件jar包的过程中,会对插件进行第一次校验——签名校验。关于签名校验的原理,可以参看我2011年的另一篇文章《Android APK 签名比对》 。微信的签名校验就是微信APK的签名需要和插件jar包的签名一致。这里我考虑过用bluebox上报的ANDROID-8219321漏洞绕过插件jar包的签名检测。经过一段时间的研究发现了它还有第二次校验。。。
由于是在拷贝之前进行签名校验,所以我考虑过拷贝完成后,直接替换app_dex和app_lib下的文件的方法。发现均不可行。继续分析发现了第二次校验——MD5校验。一开始看到jar包命名就很疑惑,文件名后面一串数字是干嘛的。想过是MD5码,没做验证。直到碰壁之后,才发现了这里的奥秘。后面这一串数字就是jar包的MD5值。插件加载的时候会去解析这个MD5值,并存起来。在加载运行的时候会对这个MD5值进行校验,如果缓存中的文件MD5值不同,会用重新释放apk中的插件覆盖。缓存中的dex应该也有类似的机制。这部分代码分析得不是很透彻,大概原理如此,有感兴趣的朋友可以继续深入。
MD5值作文件名+签名校验,以为着利用ANDROID-8219321漏洞的企图落空了。因为ANDROID-8219321漏洞的前提是apk中文件的文件名需要保持不变,这样才能通过重名文件绕过签名校验。然而只要我们改了插件jar包,MD5值就必须得变,从而导致文件名改变。因此此路不通了。(也许可以通过修改MD5校验和签名校验的smali绕过校验,无奈我暂时没找到具体MD5校验的代码,只能作罢)。
MD5值作文件名+插件签名校验,再加上安装APK本身的签名校验。三重校验保证了微信游戏的安全性。
因此我只能采用《Bluebox Security最新提报Android漏洞的初步探讨》 一文中所述的安全漏洞。此漏洞针对system/app和vendor/app下的apk只会校验manifest.xml文件签名。因此我可以任意修改插件jar包,在重新生成新包之后计算出新包的MD5值,并对新包进行重命名。对于插件的签名校验,则直接通过修改smali代码,屏蔽掉微信签名校验的函数功能,直接返回true:
这就是我们修改插件之后得以正常运行的理论基础及可行性保证。有了上面的理论,我们就可以开始修改游戏了!
二、飞机大战游戏破解
飞机大战这个游戏据说是腾讯一个程序员一周时间开发完成的作品。其实考虑到这个游戏的规模,除GUI和交互设计外,程序员一周时间应该也差不多了。没有太大出入。
此游戏采用的游戏引擎是libgdx。相信做过Android游戏的朋友对此款引擎不会陌生。如果在Android平台开源游戏引擎里,cocos2d当仁不让地排第一的话,那么libgdx也可以当仁不让地排第二了。cocos2d主要采用C++开发,而libgdx则主要采用java方式开发。学习成本低,开发周期短,是它的优势。当然它也是跨多平台的游戏引擎,运行效率方面稍有欠缺但也不错。因此广大的Android单机小游戏都是采用libgdx作为游戏引擎。
微信飞机大战的代码量不大,有兴趣的朋友可以研究下,移植成为一款独立的单机游戏应该也不难。下面我详细介绍下飞机大战游戏破解的技术细节。
第一步就是将飞机大战游戏的插件包从apk中释放出来。我们可以采用反编译APK的方式反编译这个插件包。修改smali代码之后,再打包回jar包文件。如果还有朋友对APK破解流程不熟悉的话,可以参考我以前的一篇文章《APK Crack》 。这里我们主要介绍游戏的架构及破解思路。
解压之后,smali部分其实可以分为两个包:com.badlogic.gdx和com.tencent.mm.plugin.shoot。前面一个是libgdx导入的jar包,这个不是我们关心的内容。我们的重点就在com.tencent.mm.plugin.shoot这个包中。
游戏主要有两个Activity:ShootMainUI和ShootFlashUI。它们都继承自com.badlogic.gdx.backends.android.AndroidApplication,这个类事实上继承自Android系统的Activity。它们一个是主加载界面,一个是我们停留时间最长的游戏界面。当然需要了解,但都不是重点,重点是我们游戏中的各种角色:
这些角色构成了整个游戏的演员,他们都继承自同一个类:GameSprite。相当于游戏引擎中精灵的概念。它们都有生命值、宽高、速度、类型、状态等属性。这些类的定义都在actor子包内。在游戏过程中会对每个精灵做碰撞检测,当你发现你的飞机爆炸时,就是碰撞检测在起作用。顺便说一下,libgdx引擎采用的物理引擎是C++版的box2d,性能非常不错。
好了,我们具体的破解特性,我会以任务的形式一个一个娓娓道来。下面我们接到的第一个任务就是“永久双子弹”!
任务1、永久双子弹!
在玩飞机大战时,双子弹意味着更大的威力。可以消灭更多的敌机,化险为夷。然而在实际游戏中我们只有吃到PROPS_DOUBLE之后才能拥有一段有限时间的双子弹状态。
双子弹属性属于HERO的,对应的类是Player和PlayerActor。Player继承自GameSprite,而PlayerActor则是libgdx中的actor类的概念。两个前者注重状态和属性,后者注重逻辑和动作。
Player在构造函数初始化时就会设置子弹类型:
我们只需要把BulletType从NORMAL改为DOUBLE就可以了。
PlayerActor会对子弹类型进行定时地检测,检测是会将双子弹还原为单子弹。应该是为了处理吃到PROPS_DOUBLE后,一段时间子弹还原的问题。所以我们一并改掉:
OK,双子弹破解任务完成!
任务2、炸弹无限!
炸弹是个好东西,威力无穷。关键时候全靠它清屏,消灭所有敌机!而且它还是刷分利器。当然,只有在它变为无限的时候,我们才能用它来刷分。
这里我试图修改Player的getBombNumber和setBombNumber方法,发现均不行。后来转变思路,只要在使用炸弹后炸弹数量不减少,就能实现无限炸弹的功能。经过代码追踪,最后定位到一处混淆代码处。将-0x1改为了0x0。
修改的结果,在吃到两个炸弹后使用炸弹不会减少炸弹数量。吃一个炸弹时,使用炸弹后炸弹按钮消失,因此无法做到无限。请记住一定要存到两个炸弹之后才能无限炸弹。无限炸弹破解任务完成!
任务3、开启无敌模式!
长生不死一直是我们人类的终极梦想,在游戏中也不例外。iphone版微信也是因为有了飞机大战无敌模式而被各大新闻站点竞相转载。让我们Android版也无敌一下吧~
前面提到了GameSprite是所有角色的父类,在游戏用物理引擎做碰撞检测后,会调用GameSprite类的hit方法。hit方法中将GameSprite的liftCount减一,如果减到0则将状态设置为DEAD。
GameSprite的状态有如下一些:
DEAD
EXPLODING
FLIGTHING
HITING
INVINCIBLE
在飞机正常的死亡过程中,是先HITING,再EXPLODING,再DEAD。FLIGTHING我不清楚干嘛的,INVINCIBLE应该是无敌模式。但是在我的破解里,并没有使用这个模式,而是强制在碰撞检测结果中,把它列在了生死薄之外。至于INVINCIBLE的方式,大家可以试试能不能很好的维护这个状态。
具体来说就是hit方法不管GameSprite是hero也好,enemy也罢,均一视同仁,生命值减一,或者死掉。然而我们可以通过修改smali代码,将hero列在生死薄之外:
其中goto_1标签跳转到return-void。这样我们的hero将永远不会被hit,因此也就无敌啦!
任务4、独孤求败。。。
本以为完成任务3就大功告成了,谁知我们缺遇到了无敌的尴尬——死不了。。。死不了,意味着永远无法结束游戏,永远不会有机会上传自己的得分进入排行榜。哎,现在终于明白为什么独孤求败了。。。
基于此,我们得想个办法触发飞机非自然死亡。想来想去,我还是觉得让飞机自己决定自己的生死最合理。具体就是当飞机飞到屏幕最上方时触发死亡。因为一般情况,我们不会把飞机飞到屏幕最上方,所以误操作概率极低。
通过前面我们知道hero飞机的类就是Player。而Player中有一个函数更新飞机的坐标位置:updatePosition。所以我们可以在这个函数中进行我们想要的操作:
其中0x64就是我指定的y坐标下限100。当飞机坐标y在100以内时,我会把飞机的LiftCount设置为0,然后再将状态设置为EXPLODING。飞机就会爆炸死亡了~
OK,任务完成,打完收工!
三、一些扫尾工作
插件包修改完成后,我们通过apktool,将其打包回jar包。res资源包需要手动添加会jar包中。然后按照第一节所说的,生成jar报的MD5码,重命名jar包。
微信APK也需要按第一节的方法,将插件的签名校验屏蔽掉。编译出classes.dex,替换微信原始包中的classes.dex。
再将APK包中的飞机大战插件换为我们编译出来重命名的这个jar包。
OK,APK准备好了。
由于我利用的是《Bluebox Security最新提报Android漏洞的初步探讨》 一文中所述的安全漏洞,所以安装此APK的过程并不是菜鸟能玩的。。。简单来说,你需要root权限,并能将system分区mount为可写。
然后卸载你原本的微信。将这个apk放到/system/app/文件夹下。稍等片刻,你就是打飞机的高手了!
如需技术交流,请与我联系。新浪微博: @囧虎张建伟
转载请注明出处: http://www.blogjava.net/zh-weir/archive/2013/08/14/402821.html
附排行榜:
注:游戏作弊有一定的封号风险,请大家慎重使用。本帖只作技术交流,不用于其他任何商业目的。
补充说明(2013.8.15):
有朋友反馈,按照我文中的步骤一步步下来,生成apk push到system/app下,程序无法正常运行起来。强制退出。
请查看log,是否有类似如下错误:
Caused by: java.lang.UnsatisfiedLinkError: Couldn't load CrashMonitorForJni: findLibrary returned null .....
at com.tencent.mm.sdk.platformtools.CrashMonitorForJni.init(SourceFile:26)
at com.tencent.mm.sdk.platformtools.aq.(SourceFile:62)
导致这类错误的原因是有些手机将apk push到system/app下后,安装过程不会释放拷贝so库。
你需要手动将微信lib下对应你手机平台的so库拷贝到/data/data/com.tencent.mm/lib对应的文件夹下。
由于我的手机没这个问题,所以之前没有发现。特在此做补充说明。
补充说明2暨可安装版APK发布(2013.8.18):
本文发出后,得到广大网友的热烈响应。一些网友因本文对软件安全产生了极大兴趣。
许多朋友按照文中的方法破解成功,而也有不少朋友还有一些关键点没有突破。很高兴看到大家在论坛、微博、博客和邮件中与我交流,我也尽量答复大家技术相关的问题。但仍有不少朋友的问题没来得及答复,在此向你们表示歉意!
在大家的提问中,很多朋友希望我能直接提供APK,以供深入研究。之前由于安装步骤过于繁琐,所以一直没有发布APK。
好消息是在网友的不断提问和更多的信息提供之后,我发现最新的微信版本似乎将我文中提及的安全校验机制关闭掉了。因此,我们可以采用重签名的方法得到可以直接安装的APK。值得注意的是:1、插件jar包和APK包都需要签名,且签名一致;2、MD5校验似乎也失效,不用重命名插件包。
(我确信这在我之前破解的版本是不行的,严重怀疑微信是不是把内部debug的版本给放出来了。。。)
APK下载地址:点击下载 。
再次声明:本破解版游戏仅用作技术交流,严禁用于任何商业目的!违者后果自负!