本帖最后由 skyun1314 于 2015-11-14 03:46 编辑
学习逆向知识已经1年多了一直没有实质性的进展,遇到过各种图片加密的游戏,想解密却一直无从下手,不会ida,不会动态调试,不会c语言,不会英文。所以一直不能突破。最近遇到大神指点,终于 解出一款加密图片,整理下 分析过程,和学到的知识,第一次发帖,请多多关照!!!
ak 打开软件 发现是cococs游戏,并且资源文件里面全是mp3,没有图片,拖入010里面发现没有模数,是被加密了! 并且文件命名是0到60 http://www.pd521.com/forum.php?mod=image&aid=1805&size=300x300&key=09fa0eeae69bf42d&nocache=yes&type=fixnone,想到肯定是在一个循环解密。
1 先想到hook fopen 函数 找到文件操作的地方肯定有解密代码,写了半天hook 发现 只能hook 到UserDefault.xml 资源文件全都hook 不到。
2 参考各路大牛的分析 知道, cocos2dx的图片资源加载, 是在Image::initWithImageData(const unsigned char * data, ssize_t dataLen) 函数, 按照函数名称顾名思义:用数据初始化Image, 好了, 在ida 给这个函数下个断点, 先看看这个传进来的datahttp://www.pd521.com/forum.php?mod=image&aid=1806&size=300x300&key=793a3d2a26472263&nocache=yes&type=fixnone而且这个地址的内容跟上面打开看到的完全不一样, 再再而且, 前4个字节就是png文件的魔数!.png 那也就是说, 图片文件是在被读入内存之后, 在被初始化之前就解密了; 那图片在哪里被读入? 还是参考大神们的 分析
cocos2dx Android的资源加载, 一般都是从 CCFileUtils-android.cpp文件
Data FileUtilsAndroid::getData(const std::string& filename, bool forString) 加密。 挂起ida 发现在AAsset_read 之后多了一个getfilename函数的调用,进到函数看一眼: 内存每4个字节位与一个数再存回去,最后uncompress 解压文件。 得了, 基本是解密函数无疑,然后再 uncompress 下断点 出现了png的魔数.pnghttp://www.pd521.com/forum.php?mod=image&aid=1807&size=300x300&key=22d9d4065fcdf5c4&nocache=yes&type=fixnone
知道解密算法了, 怎么把图还原出来?很简单, 照着这个函数写一个c函数, 读文件进内存, 调这个函数解密, 就可以了
第一次发帖,基本参考别人,代码很挫,请多多包涵。 |