D3CTF-REVER-D3MUG

0x1 下载工具

Il2CppDumper(https://github.com/Perfare/Il2CppDumper)

FridaContainer(https://github.com/deathmemory/FridaContainer)

AssetStudioGUI(https://github.com/Perfare/AssetStudio)

Cheat Engine和ceserver_android_arm64

0X2ILL2CppDumper 还原符号表

新建两个文件夹分别为input和output

把so文件和global-metadata放入input

global-metadata的路径assets\bin\Data\Managed\Metadata

然后新建一个bat里面输入 ..\Il2CppDumper.exe libil2cpp.so global-metadata.dat ..\output

点击bat运行

output中成功为如上图片

打开ida分析so文件，加载脚本

第一个选择output下的script文件

第二个选择il2cpp.h 一直等到还原结束

0x3分析函数和主要逻辑

打开output出来的字符串列表

ctrl+f 搜索D3CTF 查到关键地址

直接ctrl+x 查找引用

找到关键函数位置 ScoreScene_start 指向的红色位置为字符串D3CTF

进入其中的ScoreScene_get函数发现引用了d3mug中的get

查看d3mug的引用

发现GameManger_update 引用了 d3mug的update

再查找引用，发现是NoitHit 和NotMiss

hit函数中传入的可以看出是时间，判断出是游戏开始时右上角的时间

miss函数传入0 说明触发miss函数时传入0

0x4 查找音谱

加载apk解压下来的素材文件然后搜索beatmap 发现和音乐名字一样的文件导出音谱

0x5编写frida hook脚本

index.ts 中编辑hook脚本

var hitdata=[ ... ] //填入音谱
var count = 0;
function hook1(baseaddr:NativePointer){
    var GameManager__NoteHit = baseaddr.add(0x62b64c); //基址加上函数偏移地址
    var GameManager__update = baseaddr.add(0x62b4c0);
    var ScoreScene__get = baseaddr.add(0x62ee40);
    Interceptor.attach(GameManager__NoteHit,{
        onEnter:function(args){
            console.log("[H]",args[0],args[1],args[2],args[3]);
        }
    })
    Interceptor.attach(GameManager__update,{
        onEnter:function(args){
            args[0] = ptr(hitdata[count]);  //每次将音谱的时间传入
            count +=1;
            console.log("[U]",args[0],count);
        }
    })
    Interceptor.attach(ScoreScene__get,{
        onEnter:function(args){
            console.log("[R]FINAL RESULT");
        }
    })
}

export function main(){
    console.log('[.]Native hook');
    var baseAddr = Module.findBaseAddress("libil2cpp.so"); //获取基址
    hook1(baseAddr);
}
main();