微信5.0 Android版飛機(jī)大戰(zhàn)破解無敵模式手記
最近微信出了5.0,新增了游戲中心,并內(nèi)置了一個(gè)經(jīng)典游戲《飛機(jī)大戰(zhàn)》。游戲其實(shí)很簡單,但由于可以和好友一起競爭排名,一時(shí)間受到大家的追捧,小伙伴們進(jìn)入“全民打飛機(jī)”時(shí)代。
ios 版出來不久就被破解出了無敵模式。Android版出后好像一直風(fēng)平浪靜。周末無事,加之看雪zmworm版主邀請,于是花了一天的工夫研究了下。也出了個(gè)Android版的無敵模式增強(qiáng)版。具體來說就是無敵、雙排子彈加無限炸彈。當(dāng)然,這個(gè)不是重點(diǎn),我們的重點(diǎn)當(dāng)然是技術(shù)細(xì)節(jié)啦!
微信的游戲繼承了Android版手機(jī)QQ游戲中心的思想,也采用插件動(dòng)態(tài)加載方式。具體來說,就是插件及游戲以jar包形式存在,jar包中有classes.dex及其他資源文件,在運(yùn)行時(shí)動(dòng)態(tài)加載資源及classes.dex代碼。這樣的好處是靈活管理,易于擴(kuò)展。以后更多的游戲只要上架到微信的服務(wù)器,用戶就能在微信應(yīng)用內(nèi)部下載、安裝、運(yùn)行。具體原理可以參考我2011年的一篇文章
《Android類動(dòng)態(tài)加載技術(shù)》 。
當(dāng)然,那篇文章講的只是基本原理,而微信在代碼動(dòng)態(tài)加載方面則走得更遠(yuǎn)。針對插件的管理及安全,它有一套完整的框架,并自稱為sandbox。由于代碼有做混淆,加之代碼量挺大,所以我僅算管中窺豹,看到的也只是冰山一角。與實(shí)際情況有所出入,還請見諒!
一、微信游戲插件的安全校驗(yàn)
那微信是如何對游戲插件進(jìn)行加載及安全校驗(yàn)的呢?
飛機(jī)大戰(zhàn)的游戲插件以jar包的形式,放在微信apk的assets/preload文件夾下:
jar包中包括classex.dex、so本地庫及drawable圖片資源或者還有xml資源。微信處理插件加載的代碼在com.tencent.mm.compatible.loader包中。加載插件資源的類叫做PluginResourceLoader,它是android.content.res.Resources的子類。
而最核心的加載類應(yīng)該是PluginClassLoader。上面說的PluginResourceLoader也是它的成員變量。它似乎負(fù)責(zé)整個(gè)插件加載的各個(gè)環(huán)節(jié)調(diào)度。
Android動(dòng)態(tài)加載類有一個(gè)弊端,就是dex文件必須釋放為本地文件。這是dalvik虛擬機(jī)機(jī)制決定的。一直以為google或者dalvik會改,不過似乎到現(xiàn)在還沒見改進(jìn)。釋放到本地緩存的dex是很容易受到攻擊的,不過微信在這些細(xì)節(jié)上處理得還挺好,沒有明顯漏洞。這個(gè)后面再說。
PluginClassLoader會在微信安裝后第一次啟動(dòng)時(shí),掃描插件的情況,并將插件拷貝到自己應(yīng)用data下面的app_dex文件夾下。接下來會對插件進(jìn)行處理。將so庫釋放到app_lib文件夾下,將jar包中的classes.dex重命名釋放到app_cache文件夾下。
在拷貝插件jar包的過程中,會對插件進(jìn)行第一次校驗(yàn)——簽名校驗(yàn)。關(guān)于簽名校驗(yàn)的原理,可以參看我2011年的另一篇文章
《Android APK 簽名比對》 。微信的簽名校驗(yàn)就是微信APK的簽名需要和插件jar包的簽名一致。這里我考慮過用bluebox上報(bào)的ANDROID-8219321漏洞繞過插件jar包的簽名檢測。經(jīng)過一段時(shí)間的研究發(fā)現(xiàn)了它還有第二次校驗(yàn)。。。
由于是在拷貝之前進(jìn)行簽名校驗(yàn),所以我考慮過拷貝完成后,直接替換app_dex和app_lib下的文件的方法。發(fā)現(xiàn)均不可行。繼續(xù)分析發(fā)現(xiàn)了第二次校驗(yàn)——MD5校驗(yàn)。一開始看到j(luò)ar包命名就很疑惑,文件名后面一串?dāng)?shù)字是干嘛的。想過是MD5碼,沒做驗(yàn)證。直到碰壁之后,才發(fā)現(xiàn)了這里的奧秘。后面這一串?dāng)?shù)字就是jar包的MD5值。插件加載的時(shí)候會去解析這個(gè)MD5值,并存起來。在加載運(yùn)行的時(shí)候會對這個(gè)MD5值進(jìn)行校驗(yàn),如果緩存中的文件MD5值不同,會用重新釋放apk中的插件覆蓋。緩存中的dex應(yīng)該也有類似的機(jī)制。這部分代碼分析得不是很透徹,大概原理如此,有感興趣的朋友可以繼續(xù)深入。
MD5值作文件名+簽名校驗(yàn),以為著利用ANDROID-8219321漏洞的企圖落空了。因?yàn)锳NDROID-8219321漏洞的前提是apk中文件的文件名需要保持不變,這樣才能通過重名文件繞過簽名校驗(yàn)。然而只要我們改了插件jar包,MD5值就必須得變,從而導(dǎo)致文件名改變。因此此路不通了。(也許可以通過修改MD5校驗(yàn)和簽名校驗(yàn)的smali繞過校驗(yàn),無奈我暫時(shí)沒找到具體MD5校驗(yàn)的代碼,只能作罷)。
MD5值作文件名+插件簽名校驗(yàn),再加上安裝APK本身的簽名校驗(yàn)。三重校驗(yàn)保證了微信游戲的安全性。
因此我只能采用
《Bluebox Security最新提報(bào)Android漏洞的初步探討》 一文中所述的安全漏洞。此漏洞針對system/app和vendor/app下的apk只會校驗(yàn)manifest.xml文件簽名。因此我可以任意修改插件jar包,在重新生成新包之后計(jì)算出新包的MD5值,并對新包進(jìn)行重命名。對于插件的簽名校驗(yàn),則直接通過修改smali代碼,屏蔽掉微信簽名校驗(yàn)的函數(shù)功能,直接返回true:
這就是我們修改插件之后得以正常運(yùn)行的理論基礎(chǔ)及可行性保證。有了上面的理論,我們就可以開始修改游戲了!
二、飛機(jī)大戰(zhàn)游戲破解
飛機(jī)大戰(zhàn)這個(gè)游戲據(jù)說是騰訊一個(gè)程序員一周時(shí)間開發(fā)完成的作品。其實(shí)考慮到這個(gè)游戲的規(guī)模,除GUI和交互設(shè)計(jì)外,程序員一周時(shí)間應(yīng)該也差不多了。沒有太大出入。
此游戲采用的游戲引擎是libgdx。相信做過Android游戲的朋友對此款引擎不會陌生。如果在Android平臺開源游戲引擎里,cocos2d當(dāng)仁不讓地排第一的話,那么libgdx也可以當(dāng)仁不讓地排第二了。cocos2d主要采用C++開發(fā),而libgdx則主要采用java方式開發(fā)。學(xué)習(xí)成本低,開發(fā)周期短,是它的優(yōu)勢。當(dāng)然它也是跨多平臺的游戲引擎,運(yùn)行效率方面稍有欠缺但也不錯(cuò)。因此廣大的Android單機(jī)小游戲都是采用libgdx作為游戲引擎。
微信飛機(jī)大戰(zhàn)的代碼量不大,有興趣的朋友可以研究下,移植成為一款獨(dú)立的單機(jī)游戲應(yīng)該也不難。下面我詳細(xì)介紹下飛機(jī)大戰(zhàn)游戲破解的技術(shù)細(xì)節(jié)。
第一步就是將飛機(jī)大戰(zhàn)游戲的插件包從apk中釋放出來。我們可以采用反編譯APK的方式反編譯這個(gè)插件包。修改smali代碼之后,再打包回jar包文件。如果還有朋友對APK破解流程不熟悉的話,可以參考我以前的一篇文章
《APK Crack》 。這里我們主要介紹游戲的架構(gòu)及破解思路。
解壓之后,smali部分其實(shí)可以分為兩個(gè)包:com.badlogic.gdx和com.tencent.mm.plugin.shoot。前面一個(gè)是libgdx導(dǎo)入的jar包,這個(gè)不是我們關(guān)心的內(nèi)容。我們的重點(diǎn)就在com.tencent.mm.plugin.shoot這個(gè)包中。
游戲主要有兩個(gè)Activity:ShootMainUI和ShootFlashUI。它們都繼承自com.badlogic.gdx.backends.android.AndroidApplication,這個(gè)類事實(shí)上繼承自Android系統(tǒng)的Activity。它們一個(gè)是主加載界面,一個(gè)是我們停留時(shí)間最長的游戲界面。當(dāng)然需要了解,但都不是重點(diǎn),重點(diǎn)是我們游戲中的各種角色:
這些角色構(gòu)成了整個(gè)游戲的演員,他們都繼承自同一個(gè)類:GameSprite。相當(dāng)于游戲引擎中精靈的概念。它們都有生命值、寬高、速度、類型、狀態(tài)等屬性。這些類的定義都在actor子包內(nèi)。在游戲過程中會對每個(gè)精靈做碰撞檢測,當(dāng)你發(fā)現(xiàn)你的飛機(jī)爆炸時(shí),就是碰撞檢測在起作用。順便說一下,libgdx引擎采用的物理引擎是C++版的box2d,性能非常不錯(cuò)。
好了,我們具體的破解特性,我會以任務(wù)的形式一個(gè)一個(gè)娓娓道來。下面我們接到的第一個(gè)任務(wù)就是“永久雙子彈”!
任務(wù)1、永久雙子彈!
在玩飛機(jī)大戰(zhàn)時(shí),雙子彈意味著更大的威力。可以消滅更多的敵機(jī),化險(xiǎn)為夷。然而在實(shí)際游戲中我們只有吃到PROPS_DOUBLE之后才能擁有一段有限時(shí)間的雙子彈狀態(tài)。
雙子彈屬性屬于HERO的,對應(yīng)的類是Player和PlayerActor。Player繼承自GameSprite,而PlayerActor則是libgdx中的actor類的概念。兩個(gè)前者注重狀態(tài)和屬性,后者注重邏輯和動(dòng)作。
Player在構(gòu)造函數(shù)初始化時(shí)就會設(shè)置子彈類型:
我們只需要把BulletType從NORMAL改為DOUBLE就可以了。
PlayerActor會對子彈類型進(jìn)行定時(shí)地檢測,檢測是會將雙子彈還原為單子彈。應(yīng)該是為了處理吃到PROPS_DOUBLE后,一段時(shí)間子彈還原的問題。所以我們一并改掉:
OK,雙子彈破解任務(wù)完成!
任務(wù)2、炸彈無限!
炸彈是個(gè)好東西,威力無窮。關(guān)鍵時(shí)候全靠它清屏,消滅所有敵機(jī)!而且它還是刷分利器。當(dāng)然,只有在它變?yōu)闊o限的時(shí)候,我們才能用它來刷分。
這里我試圖修改Player的getBombNumber和setBombNumber方法,發(fā)現(xiàn)均不行。后來轉(zhuǎn)變思路,只要在使用炸彈后炸彈數(shù)量不減少,就能實(shí)現(xiàn)無限炸彈的功能。經(jīng)過代碼追蹤,最后定位到一處混淆代碼處。將-0x1改為了0x0。
修改的結(jié)果,在吃到兩個(gè)炸彈后使用炸彈不會減少炸彈數(shù)量。吃一個(gè)炸彈時(shí),使用炸彈后炸彈按鈕消失,因此無法做到無限。請記住一定要存到兩個(gè)炸彈之后才能無限炸彈。無限炸彈破解任務(wù)完成!
任務(wù)3、開啟無敵模式!
長生不死一直是我們?nèi)祟惖慕K極夢想,在游戲中也不例外。iphone版微信也是因?yàn)橛辛孙w機(jī)大戰(zhàn)無敵模式而被各大新聞?wù)军c(diǎn)競相轉(zhuǎn)載。讓我們Android版也無敵一下吧~
前面提到了GameSprite是所有角色的父類,在游戲用物理引擎做碰撞檢測后,會調(diào)用GameSprite類的hit方法。hit方法中將GameSprite的liftCount減一,如果減到0則將狀態(tài)設(shè)置為DEAD。
GameSprite的狀態(tài)有如下一些:
DEAD
EXPLODING
FLIGTHING
HITING
INVINCIBLE
在飛機(jī)正常的死亡過程中,是先HITING,再EXPLODING,再DEAD。FLIGTHING我不清楚干嘛的,INVINCIBLE應(yīng)該是無敵模式。但是在我的破解里,并沒有使用這個(gè)模式,而是強(qiáng)制在碰撞檢測結(jié)果中,把它列在了生死薄之外。至于INVINCIBLE的方式,大家可以試試能不能很好的維護(hù)這個(gè)狀態(tài)。
具體來說就是hit方法不管GameSprite是hero也好,enemy也罷,均一視同仁,生命值減一,或者死掉。然而我們可以通過修改smali代碼,將hero列在生死薄之外:
其中g(shù)oto_1標(biāo)簽跳轉(zhuǎn)到return-void。這樣我們的hero將永遠(yuǎn)不會被hit,因此也就無敵啦!
任務(wù)4、獨(dú)孤求敗。。。
本以為完成任務(wù)3就大功告成了,誰知我們?nèi)庇龅搅藷o敵的尷尬——死不了。。。死不了,意味著永遠(yuǎn)無法結(jié)束游戲,永遠(yuǎn)不會有機(jī)會上傳自己的得分進(jìn)入排行榜。哎,現(xiàn)在終于明白為什么獨(dú)孤求敗了。。。
基于此,我們得想個(gè)辦法觸發(fā)飛機(jī)非自然死亡。想來想去,我還是覺得讓飛機(jī)自己決定自己的生死最合理。具體就是當(dāng)飛機(jī)飛到屏幕最上方時(shí)觸發(fā)死亡。因?yàn)橐话闱闆r,我們不會把飛機(jī)飛到屏幕最上方,所以誤操作概率極低。
通過前面我們知道hero飛機(jī)的類就是Player。而Player中有一個(gè)函數(shù)更新飛機(jī)的坐標(biāo)位置:updatePosition。所以我們可以在這個(gè)函數(shù)中進(jìn)行我們想要的操作:
其中0x64就是我指定的y坐標(biāo)下限100。當(dāng)飛機(jī)坐標(biāo)y在100以內(nèi)時(shí),我會把飛機(jī)的LiftCount設(shè)置為0,然后再將狀態(tài)設(shè)置為EXPLODING。飛機(jī)就會爆炸死亡了~
OK,任務(wù)完成,打完收工!
三、一些掃尾工作
插件包修改完成后,我們通過apktool,將其打包回jar包。res資源包需要手動(dòng)添加會jar包中。然后按照第一節(jié)所說的,生成jar報(bào)的MD5碼,重命名jar包。
微信APK也需要按第一節(jié)的方法,將插件的簽名校驗(yàn)屏蔽掉。編譯出classes.dex,替換微信原始包中的classes.dex。
再將APK包中的飛機(jī)大戰(zhàn)插件換為我們編譯出來重命名的這個(gè)jar包。
OK,APK準(zhǔn)備好了。
然后卸載你原本的微信。將這個(gè)apk放到/system/app/文件夾下。稍等片刻,你就是打飛機(jī)的高手了!
如需技術(shù)交流,請與我聯(lián)系。新浪微博: @囧虎張建偉
附排行榜:
注:游戲作弊有一定的封號風(fēng)險(xiǎn),請大家慎重使用。本帖只作技術(shù)交流,不用于其他任何商業(yè)目的。
--------------------------------------------------------------補(bǔ)充說明(2013.8.15):
有朋友反饋,按照我文中的步驟一步步下來,生成apk push到system/app下,程序無法正常運(yùn)行起來。強(qiáng)制退出。
請查看log,是否有類似如下錯(cuò)誤:
Caused by: java.lang.UnsatisfiedLinkError: Couldn't load CrashMonitorForJni: findLibrary returned null .....
at com.tencent.mm.sdk.platformtools.CrashMonitorForJni.init(SourceFile:26)
at com.tencent.mm.sdk.platformtools.aq.<clinit>(SourceFile:62)
導(dǎo)致這類錯(cuò)誤的原因是有些手機(jī)將apk push到system/app下后,安裝過程不會釋放拷貝so庫。
你需要手動(dòng)將微信lib下對應(yīng)你手機(jī)平臺的so庫拷貝到/data/data/com.tencent.mm/lib對應(yīng)的文件夾下。
由于我的手機(jī)沒這個(gè)問題,所以之前沒有發(fā)現(xiàn)。特在此做補(bǔ)充說明。
----------------------------------------------------------------
補(bǔ)充說明2暨可安裝版APK發(fā)布(2013.8.18):本文發(fā)出后,得到廣大網(wǎng)友的熱烈響應(yīng)。一些網(wǎng)友因本文對軟件安全產(chǎn)生了極大興趣。許多朋友按照文中的方法破解成功,而也有不少朋友還有一些關(guān)鍵點(diǎn)沒有突破。很高興看到大家在論壇、微博、博客和郵件中與我交流,我也盡量答復(fù)大家技術(shù)相關(guān)的問題。但仍有不少朋友的問題沒來得及答復(fù),在此向你們表示歉意!在大家的提問中,很多朋友希望我能直接提供APK,以供深入研究。之前由于安裝步驟過于繁瑣,所以一直沒有發(fā)布APK。好消息是在網(wǎng)友的不斷提問和更多的信息提供之后,我發(fā)現(xiàn)最新的微信版本似乎將我文中提及的安全校驗(yàn)機(jī)制關(guān)閉掉了。因此,我們可以采用重簽名的方法得到可以直接安裝的APK。值得注意的是:1、插件jar包和APK包都需要簽名,且簽名一致;2、MD5校驗(yàn)似乎也失效,不用重命名插件包。(我確信這在我之前破解的版本是不行的,嚴(yán)重懷疑微信是不是把內(nèi)部debug的版本給放出來了。。。)APK下載地址:點(diǎn)擊下載 。
再次聲明:本破解版游戲僅用作技術(shù)交流,嚴(yán)禁用于任何商業(yè)目的!違者后果自負(fù)!