别看标题这么厉害... 其实就是通过 hook 的方式实现在运行时替换 Unity 游戏中的 Assembly-CSharp.dll
来实现代码注入的功能。
为什么要做到这个运行时替换呢?原因如下:
- 目标游戏安装包有一个多G,每次重新打包和安装耗时将十分巨大。
- 目标游戏是付费游戏,所以应该在底层对签名做了校验。即使没有也要以防万一(迷惑行为
步入正题。
使用 Xposed 使目标游戏执行我们的代码
Xposed 就不用说了... 很常见的一个工具。为了实现标题的功能,我们只需要简单地 hook 掉 ContextWrapper 的 attachBaseContext 方法,在目标游戏启动时根据拿到的 Context 去得到我们自己的插件的 apk 路径,然后再用 System.load 去加载我们自己的库
需要注意的是,System.load 的源码如下:
@CallerSensitive
public static void load(String filename) {
Runtime.getRuntime().load0(Reflection.getCallerClass(), filename);
}
也就是说 System.load 是根据调用者的 Class 来获取用于搜索动态库的 ClassLoader 的,而 Xposed 在加载我们的插件类时并没有根据 Context.getPackageContext 之类来创建 ClassLoader ,而是!直接!用 PathClassLoader!!因此我们插件类的 ClassLoader 里面并不会有 nativeLibraries 的搜索路径(一般是在 /data/data/包名/lib
)。因此!不能用 System.loadLibrary!!!
也正因为如此,我们如果直接加载我们的动态库,系统将无法自动找到 libsubstrate.so
,所以我们也需要把 libsubstrate.so
的加载放在 Java 层上来,并且要放在加载我们自己的动态库之前
下面是可爱的加载部分的代码w:
val nativeLibDir = context.packageManager.getApplicationInfo(CYMOE_PACKAGE_NAME, 0).nativeLibraryDir
File(nativeLibDir, "libsubstrate.so").absolutePath.run {
Log.v(T, "Loading Substrate library, path: $this")
System.load(this)
}
File(nativeLibDir, "libxxx.so").absolutePath.run {
Log.v(T, "Loading 我的 library, path: $this")
System.load(this)
}
完毕!接下来就来看看我们的 native 部分吧~
替换对方mono库的加载函数
众所周知,Unity 加载游戏代码是通过 mono 库(以前是 libmono.so
,现在我这个游戏里面是 libmonobdwgc-2.0.so
)来加载游戏中的 assets/bin/Data/Managed/Assembly-CSharp.dll
的。所以我们只需要 hook 掉 mono 库的对应方法就好啦~
问题来了:我们怎么获取到 mono 库的句柄?
我这边的方法是直接 hook 掉 dlopen 方法,在加载 mono 库时 hook,因为不知道为什么自己加载 mono 库和游戏真正加载的句柄不同... 按理来说一个进程打开的同一个动态库句柄应该是不变的。如果有知道的可以在下面的评论区给其他读者和我答疑解惑。
如何在 Android 高版本 hook dlopen 方法可以看 这篇文章。
问题又来了,mono 库加载 dll 的函数是谁呢?我最初尝试 hook fopen 并打印堆栈,看读取 apk 安装包的有哪些调用栈,不过实在是有太多了... 很难分析。没办法,最后偷了个懒,在 这里 找到了 mono 加载库的函数,也就是 mono_image_open_from_data_with_name
,我们只需要对传入这个函数的参数进行修改再调用原函数就好了。
注:由于我是把更改后的 Assembly-CSharp.dll
放在我自己软件的安装包里,所以还需要 Java 层额外向本地传一个 AAssetManager 来读取我自己软件的 Asset,大家也可以用其他方法,这里就不赘述。
上代码:
char assmbly_replacement[PATH_MAX];
AAsset *asset;
void* (*mono_image_open_from_data_with_name_old)(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name);
void* (*__loader_dlopen_old)(const char* filename, int flags, const void* caller_addr);
void* mono_image_open_from_data_with_name_fake(char *data, guint32 data_len, gboolean need_copy, void* status, gboolean refonly, const char *name) {
LOGI("image open: %s", name);
if (endsWith(name, "Assembly-CSharp.dll")) {
LOGI("Got Assembly-CSharp, replacing it");
do {
if (asset==nullptr) {
LOGE("Asset is null");
break;
}
off_t len = AAsset_getLength(asset);
if (len<0) {
LOGE("Length < 0");
break;
}
LOGI("File length: %lu\n", len);
char *file_data = new char[len];
if (AAsset_read(asset, file_data, len)<0) {
LOGE("Failed to read");
delete[] file_data;
break;
}
name = assmbly_replacement;
data = file_data;
data_len = len;
LOGI("Replaced successfully");
} while (false);
}
return mono_image_open_from_data_with_name_old(data, data_len, need_copy, status, refonly, name);
}
void* __loader_dlopen_fake(const char* filename, int flags, const void* caller_addr) {
void *handle = __loader_dlopen_old(filename, flags, caller_addr);
LOGI("dlopen: %s %d %p", filename, flags, handle);
if (endsWith(filename, "libmonobdwgc-2.0.so")) {
LOGI("Got you! libmono!");
void *mono_image_open_from_data_with_name = dlsym(handle, "mono_image_open_from_data_with_name");
HOOK_FUNCTION_DYNAMIC(mono_image_open_from_data_with_name);
}
return handle;
}
extern "C" JNIEXPORT JNICALL void Java_你_的_包名_类名_nativeSetReplacement(ARG_STATIC, jobject assetManagerObj, jstring path) {
if (path==nullptr) return;
AAssetManager *asset_manager = AAssetManager_fromJava(env, assetManagerObj);
asset = AAssetManager_open(AAssetManager_fromJava(env, assetManagerObj), "Assembly-CSharp.dll", AASSET_MODE_STREAMING);
const char* chars = env->GetStringUTFChars(path, NULL);
strncpy(assmbly_replacement, chars, PATH_MAX);
env->ReleaseStringUTFChars(path, chars);
}
顺带一提,上面代码的 assembly_replacement 也是需要 Java 层传过来。通过日志可以发现 mono_image_open_from_data_with_name 的 name 参数是 安装包路径/assets/bin/Data/.....
的形式,所以我们也需要(不一定?)把 name 改成我们自己的路径。最后再把 data 参数和 data_len 参数改一下就好。(p.s. 最初我忘了改 data_len 导致出了一堆问题...)
Java 层设置的函数如下:(说是 Java 实则是 Kotlin)
// attachBaseContext时
nativeSetReplacement(
context.createPackageContext(你自己的包名, 0).assets,
context.packageManager.getApplicationInfo(你自己的包名, 0).sourceDir
+ "/assets/Assembly-CSharp.dll"
)
.....
// native函数定义
@JvmStatic
external fun nativeSetReplacement(assetManager: AssetManager, path: String)
这样就整好了w。
结语
没有结语。总之是项目还没做完,就先不放在 GitHub 上面啦w
有兴趣或问题的可以联系我,Q:250851048
网友评论