拓森

3分钟接入ida mcp开始AI逆向(window)

Tue, 13 May 2025 00:00:00 GMT

安装ida mcp

版本要求(必须)

这里我使用ida9.0 + 3.11.0b4

注意: python老版本不行

安装

(不行的话使用这个python: & "D:\work\tools\IDA Professional 9.2\python311\python.exe" -m pip install)

安装完重启ida和vscode

ida的插件会出现MCP, 点击他

output输出:

就表示ida mcp server启动成功

安装vscode+cline

cline插件安装这个比较简单自行搞定:)

打开cline直接问他

进入cline, 点击这个小图标, 如果出现mcp servers, 就表示mcp 客户端已ok

测试

ida打开一个函数

cline里面直接问

因为行数大多了所以我选择给关键块添加注释, 点允许

完成! 剩下的交给自己去探索吧

📎 参考文章

https://github.com/mrexodia/ida-pro-mcp

https://mp.weixin.qq.com/s/WpqLIkehYGtEJU1ZBj42QA?scene=1&poc_token=HDXAImijfD4zsPdl5eHRQxwwfc5KiTtQh0bxYgpo

写了个找base64编码算法特征的ida脚本

Wed, 15 Oct 2025 00:00:00 GMT

遇到一个案例, FindCrypt插件找不出来, 因为他是对码表进行定位, 所以才写了一个基于特征的

目前只测试过少量案例

仓库地址

使用方法

ida -> file -> script file 选择find_base64.py

使用效果

写了个jni trace

Wed, 15 Oct 2025 00:00:00 GMT

配合ai写了一个简洁的jni trace, 核心思想是减少嗓音, 使得让容易获得自己想要的日志:)

仓库地址

使用方法

我这里是gadget

frida -FH 127.0.0.1:14728 -l simple_jnitrace.js -o jni.log

效果

unidbg还原pangle(字节旗下)算法

Mon, 14 Apr 2025 00:00:00 GMT

主要工具

ida9.1

静态分析, 主要用于理清大致的调用链条和代码执行逻辑

unidgb

动态调试: debug不用多说

trace read: 跟踪内存的读取, 主要用于看参数被那些地方读取

trace write: 跟踪内存写入, 主要用于监控返回值写入

trace code: trace 执行的日志, 具体的小算法还原主要靠他

010

方便分析trace后的汇编, 根据汇编还原具体的算法

目标函数

固定随机数

RandomFileIO

固定时间戳

UnixSyscallHandler

构造主动调用

输入输出

通过tracecode 0x03518 看下type = 0x3f2 也就是十进制的1010

traceWrite跟踪内存写入(根据结果反推)

ida 看下0xc960

按y 修改为JNIenv*

按n重命名下

看下3550函数, 无法f5, 按p

ida 看下0x3440

这个案例我们改用正推更简单, 从参数入手

正推入口

看下n1011的值, 这种直接通过trace code, w2 = 0x3f2

0x3f2的10进制就是1010,

也可以通过hook

那么走的sub_C8D0

byte_array和len被传入sub_3550

打印下入参看对不对

也可以断点后通过mx0查看

trace read一下看下谁读取了, 因为ida查看有混淆无法知道进入哪个函数了

ida 查看下 0x333c, 在函数sub_330C中,这个函数就是内存copy, 交叉引用下sub_36C8

看下sub_36C8, 断点查看入参mx1

参数1:0x10 长度

参数2:0x12359000 我们的参数

参数3:0x12359000 返回值

tracewrite 0x12359000 看看他是怎么被写入的

0x385C 开始写入

查看trace code

看下v42 的值是多少

v42 = 01010101a3e1eaf4 因为长度是unsigned int 4字节

第一个算法(异或):

第二个算法sub_4010

参数:

030105373d8e5640 8个字节

返回值:

debug断点查看入参:

参数1: s 就是随机数 01010101010101010101010101010101

x1 = 是第一个算法的结果: 030105373d8e5640

x2 是返回值

x3 是一个v11 判断是否等于0走不同的逻辑

python还原

rand hex = 01010101010101010101010101010101

param hex = 030105373d8e5640

flag= 0x20

返回result

函数标准开头

stp x29, x30, [sp, #-0x10]!

保存帧指针（x29）和返回地址（x30）

调整栈指针 sp 为当前函数分配栈帧

设置新的帧指针

监控result内存变化

我们现在知道每次result的地址都是: 0x12359000

在循环中断点这样子就可以知道我们的输入每轮的变化

监控sub4010 的参数和返回值

第一轮

第二轮

查看tracecode更快

第一轮是:01010101a3e1eaf4 ^ 020004369e6fbcb4 = 030105373d8e5640

第二轮是:1edc84501dc38389 ^ 0c00010101010101 = 12dc85511cc28288

020004369e6fbcb4 是输入的前8个字节

0c00010101010101 是输入的后8个字节

第一次4010的参数是030105373d8e5640(第一次异或的结果)

第一次4010的结果: 1edc84501dc38389

第二次4010的参数是12dc85511cc28288(第二次异或的结果)

第一次4010的结果: 851f3b5607004e62

python代码还原算法

输出结果与我们上面分析的能对上, 打完收工~

整体思路

1.根据ida来梳理代码的调用流程和大体算法

2.unidbg来动态调试和trace 出汇编代码, trace read跟踪参数, trace write跟踪结果, debug断点用来查看寄存器和参数等等, trace code用来查看汇编

3.根据汇编代码来还原小算法(因为ida的伪代码直接扣会出错, 浪费时间)

剩下的还有几个小算法没时间写了, 也是一样的思路还原算法… 主要是思路

(未完待续)

android unity 游戏逆向

Fri, 09 May 2025 00:00:00 GMT

主要逆向流程(IL2CPP打包)

下载打开Il2CppDumper, 运行后依次选择global-metadata.dat , 然后选择libil2cpp.so , 成功的话它会dump出所需文件, 不成功则需要先dump出没加密的global-metadata.dat和libil2cpp.so

打开ida file → script file依次导入dump出来的ida_py3.py → 再导入scripts.json, 再导入 ida_py3.py → stringliteral.json 等待恢复符号表完成

可以使用Dnspy 导入 Assembly-Csharp.dll 文件分析类\结构\偏移地址等

使用ida静态分析具体的游戏实现逻辑

然后使用Frida或者frida-il2cpp-bridge 动态分析验证

以下一些概念解释

Assembly-CSharp.dll

对于mono打包游戏的主要脚本逻辑就在assets\bin\Data\Managed\Assembly-CSharp.dll

使用ILSPY或者dnspy即可直接反编译得到

但是现在大部分为了防止破解都使用IL2CPP来打包, 所以Assembly-CSharp.dll 只剩下结构信息, 真正的逻辑编译了c++, 放在libil2cpp.so 中

IL2CPP打包后关键的文件

global-metadata.dat

处于:\assets\bin\Data\Managed\Metadata

这个dat文件是 Unity 游戏引擎在使用 IL2CPP 脚本后端时生成的一个关键文件。

他包含了:

Il2cppDumper

用来解析global-metadata.dat, 解析出类、方法、字段、属性等结构信息。

他生成几个文件:

Assembly-Csharp.dll 这个dll只有结构, 方法, 变量, 没有具体逻辑

dump.cs (c# 风格的伪代码) 里面是原始代码的结构

script.json 文件：包含更结构化的数据，方便其他工具或脚本进行处理。

il2cpp.h C++ 头文件：定义了一些 IL2CPP 的内部数据结构和函数指针类型，分析so很有用

通过解析global-metadata.dat的信息来获取函数指针，并且通过偏移去查找so中的游戏逻辑

global-metadata.dat 解密

可以用010打开assets\bin\Data\Managed\global-metadata.dat 文件看看, 看下是不是AF 1B B1 FA开头, 不是的话一般都加密了

很多厂商会对这个文件进行加密, 所以要通过内存dump出未解密的global-metadata.dat文件, 一般使用这个项目

https://github.com/Perfare/Zygisk-Il2CppDumper

https://github.com/AndroidReverser-Test/frida-find-il2cpp-api(支持自动化地寻找il2cpp api)

魔改了游戏引擎的话可以参考

https://github.com/AndroidReverser-Test/il2cpp_class_dumper

还有这个, 不需要metadata文件支持dump

而且还支持trace, 方便定位关键位置

https://github.com/vfsfitvnm/frida-il2cpp-bridge

Il2CppHookScripts

其他思路

反射分析和修改游戏, 因为C# 支持反射, 无论是使用mono编译还是il2cpp编译，他都会支持“反射”

https://bbs.kanxue.com/thread-273616.htm#msg_header_h1_2

frida-il2cpp-bridge

很强大的逆向unity的工具

https://github.com/vfsfitvnm/frida-il2cpp-bridge/wiki/Snippets

实战frida-il2cpp-bridge

目标:

抓包发现请求和返回值都加密过, 并且base64无法直接解密, 目标是分析该加密算法

使用frida-il2cpp-bridge trace 网络请求

安装frida-il2cpp-bridge

版本:

frida-il2cpp-bridge 使用0.9.0(最新版我跑不起来)

项目结构:

只要建好下面2个文件即可, 其他的都是生成的

package.json

index.ts

trace class

可以hook 该类所有的函数

trace method

trace方法可以打印出入参

类名怎么来?

dnspy搜索得到

assembly 怎么来?

通过遍历所有的assemblies 来得到

打开一个终端

然后再打开个终端

trace UnityWebRequest结果:

=XQlhnDv2nju2mjs1GjnzWmywjjlw2zyzjINYYYNNNgNY4EaM9QTYVQbMVIZNQFbZZ=Z

CyberChef 无法直接base64解码, 说明经过处理

ida中直接搜base64

找到Base64Kit__Decode

分析伪代码

python还原算法

验证

实战Il2CppHookScripts

wiki: https://github.com/axhlzy/Il2CppHookScripts/wiki/API#bp

启动:

B ('ClassName')

hook 类所有的方法

提供几个常用的js(frida-il2cpp-bridge)

hook 多method

hook 修改返回值

hook 修改webviwe 设置debug模式/注入js/打印加载url

参考:

https://bbs.kanxue.com/thread-282821.htm

https://bbs.kanxue.com/thread-282653.htm

https://bbs.kanxue.com/thread-286222.htm

https://bbs.kanxue.com/thread-283275.htm

https://www.52pojie.cn/thread-1891741-1-1.html

aidl 封装sdk(aar)

Tue, 22 Oct 2024 00:00:00 GMT

把aidl调用封装成sdk, aar文件

客户端只需要引入aar, 直接调用api即可, 无需关注bindservice等内容

aidi服务端

这里代码中最好不要有中文注释, 怕出错: )

aidl:

service:

ApiImpl:

Androidmainifest.xml

服务端就完成了.

SDK

在项目中新建model→选择android library

复制aidl到main下面,build一下project

apiservice:

声明可见性:

gradle配置要加上这2个配置:

打包aar:

执行./gradlew assemble build→outputs→aar

客户端:

build.gradle: implementation fileTree(include: ['*.jar', '*.aar'], dir: 'libs')

复制aar文件到libs目录

初始化application:

调用api: