美文网首页
通过Xposed+Substrate实现非侵入性的Unity代码

通过Xposed+Substrate实现非侵入性的Unity代码

作者: Mivik | 来源:发表于2020-03-08 14:53 被阅读0次

    别看标题这么厉害... 其实就是通过 hook 的方式实现在运行时替换 Unity 游戏中的 Assembly-CSharp.dll 来实现代码注入的功能。

    为什么要做到这个运行时替换呢?原因如下:

    • 目标游戏安装包有一个多G,每次重新打包和安装耗时将十分巨大。
    • 目标游戏是付费游戏,所以应该在底层对签名做了校验。即使没有也要以防万一(迷惑行为

    步入正题。

    使用 Xposed 使目标游戏执行我们的代码

    Xposed 就不用说了... 很常见的一个工具。为了实现标题的功能,我们只需要简单地 hook 掉 ContextWrapper 的 attachBaseContext 方法,在目标游戏启动时根据拿到的 Context 去得到我们自己的插件的 apk 路径,然后再用 System.load 去加载我们自己的库

    需要注意的是,System.load 的源码如下:

    @CallerSensitive
    public static void load(String filename) {
        Runtime.getRuntime().load0(Reflection.getCallerClass(), filename);
    }
    

    也就是说 System.load 是根据调用者的 Class 来获取用于搜索动态库的 ClassLoader 的,而 Xposed 在加载我们的插件类时并没有根据 Context.getPackageContext 之类来创建 ClassLoader ,而是!直接!用 PathClassLoader!!因此我们插件类的 ClassLoader 里面并不会有 nativeLibraries 的搜索路径(一般是在 /data/data/包名/lib)。因此!不能用 System.loadLibrary!!!

    也正因为如此,我们如果直接加载我们的动态库,系统将无法自动找到 libsubstrate.so,所以我们也需要把 libsubstrate.so 的加载放在 Java 层上来,并且要放在加载我们自己的动态库之前

    下面是可爱的加载部分的代码w:

    val nativeLibDir = context.packageManager.getApplicationInfo(CYMOE_PACKAGE_NAME, 0).nativeLibraryDir
    File(nativeLibDir, "libsubstrate.so").absolutePath.run {
        Log.v(T, "Loading Substrate library, path: $this")
        System.load(this)
    }
    File(nativeLibDir, "libxxx.so").absolutePath.run {
        Log.v(T, "Loading 我的 library, path: $this")
        System.load(this)
    }
    

    完毕!接下来就来看看我们的 native 部分吧~

    替换对方mono库的加载函数

    众所周知,Unity 加载游戏代码是通过 mono 库(以前是 libmono.so,现在我这个游戏里面是 libmonobdwgc-2.0.so)来加载游戏中的 assets/bin/Data/Managed/Assembly-CSharp.dll 的。所以我们只需要 hook 掉 mono 库的对应方法就好啦~

    问题来了:我们怎么获取到 mono 库的句柄?

    我这边的方法是直接 hook 掉 dlopen 方法,在加载 mono 库时 hook,因为不知道为什么自己加载 mono 库和游戏真正加载的句柄不同... 按理来说一个进程打开的同一个动态库句柄应该是不变的。如果有知道的可以在下面的评论区给其他读者和我答疑解惑。

    如何在 Android 高版本 hook dlopen 方法可以看 这篇文章

    问题又来了,mono 库加载 dll 的函数是谁呢?我最初尝试 hook fopen 并打印堆栈,看读取 apk 安装包的有哪些调用栈,不过实在是有太多了... 很难分析。没办法,最后偷了个懒,在 这里 找到了 mono 加载库的函数,也就是 mono_image_open_from_data_with_name ,我们只需要对传入这个函数的参数进行修改再调用原函数就好了。

    注:由于我是把更改后的 Assembly-CSharp.dll 放在我自己软件的安装包里,所以还需要 Java 层额外向本地传一个 AAssetManager 来读取我自己软件的 Asset,大家也可以用其他方法,这里就不赘述。

    上代码:

    char assmbly_replacement[PATH_MAX];
    AAsset *asset;
    
    void* (*mono_image_open_from_data_with_name_old)(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name);
    void* (*__loader_dlopen_old)(const char* filename, int flags, const void* caller_addr);
    
    void* mono_image_open_from_data_with_name_fake(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name) {
        LOGI("image open: %s", name);
        if (endsWith(name, "Assembly-CSharp.dll")) {
            LOGI("Got Assembly-CSharp, replacing it");
            do {
                if (asset==nullptr) {
                    LOGE("Asset is null");
                    break;
                }
                off_t len = AAsset_getLength(asset);
                if (len<0) {
                    LOGE("Length < 0");
                    break;
                }
                LOGI("File length: %lu\n", len);
                char *file_data = new char[len];
                if (AAsset_read(asset, file_data, len)<0) {
                    LOGE("Failed to read");
                    delete[] file_data;
                    break;
                }
                name = assmbly_replacement;
                data = file_data;
                data_len = len;
                LOGI("Replaced successfully");
            } while (false);
        }
        return mono_image_open_from_data_with_name_old(data, data_len, need_copy, status, refonly, name);
    }
    
    void* __loader_dlopen_fake(const char* filename, int flags, const void* caller_addr) {
        void *handle = __loader_dlopen_old(filename, flags, caller_addr);
        LOGI("dlopen: %s %d %p", filename, flags, handle);
        if (endsWith(filename, "libmonobdwgc-2.0.so")) {
            LOGI("Got you! libmono!");
            void *mono_image_open_from_data_with_name = dlsym(handle, "mono_image_open_from_data_with_name");
            HOOK_FUNCTION_DYNAMIC(mono_image_open_from_data_with_name);
        }
        return handle;
    }
    
    extern "C" JNIEXPORT JNICALL void Java_你_的_包名_类名_nativeSetReplacement(ARG_STATIC, jobject assetManagerObj, jstring path) {
        if (path==nullptr) return;
        AAssetManager *asset_manager = AAssetManager_fromJava(env, assetManagerObj);
        asset = AAssetManager_open(AAssetManager_fromJava(env, assetManagerObj), "Assembly-CSharp.dll", AASSET_MODE_STREAMING);
        const char* chars  = env->GetStringUTFChars(path, NULL);
        strncpy(assmbly_replacement, chars, PATH_MAX);
        env->ReleaseStringUTFChars(path, chars);
    }
    

    顺带一提,上面代码的 assembly_replacement 也是需要 Java 层传过来。通过日志可以发现 mono_image_open_from_data_with_name 的 name 参数是 安装包路径/assets/bin/Data/..... 的形式,所以我们也需要(不一定?)把 name 改成我们自己的路径。最后再把 data 参数和 data_len 参数改一下就好。(p.s. 最初我忘了改 data_len 导致出了一堆问题...)

    Java 层设置的函数如下:(说是 Java 实则是 Kotlin)

    // attachBaseContext时
    nativeSetReplacement(
        context.createPackageContext(你自己的包名, 0).assets,
        context.packageManager.getApplicationInfo(你自己的包名, 0).sourceDir
                + "/assets/Assembly-CSharp.dll"
    )
    .....
    // native函数定义
    @JvmStatic
    external fun nativeSetReplacement(assetManager: AssetManager, path: String)
    

    这样就整好了w。

    结语

    没有结语。总之是项目还没做完,就先不放在 GitHub 上面啦w

    有兴趣或问题的可以联系我,Q:250851048

    相关文章

      网友评论

          本文标题:通过Xposed+Substrate实现非侵入性的Unity代码

          本文链接:https://www.haomeiwen.com/subject/ofsddhtx.html