【软件逆向】如何逆向Unity3D+il2cpp开发的安卓app【IDA Pro+il2CppDumper+DnSpy+AndroidKiller】

教程背景

课程作业要求使用反编译技术，在游戏中实现无碰撞。正常情况下碰撞后角色死亡，修改为直接穿过物体不死亡。

需要准备的软件

1. il2CppDumper。
2. DnSpy。
3. IDA Pro。
4. AndroidKiller。

一、使用il2CppDumper导出程序集

1. 将{my_game}.apk后缀修改为{my_game}.zip，使用解压工具解压至文件夹{my_game}。（my_game为apk的文件名，根据具体情况有所不同）
2. 在桌面新建一个input文件夹，和一个output文件夹。
3. 将{my_game}\lib\armeabi-v7a\libil2cpp.so和{my_game}\assets\bin\Data\Managed\Metadata\global-metadata.dat复制到桌面input文件夹。（其中armeabi-v7a根据apk平台不同有所差异，可能是arm64-v8a或其他）
   
4. 命令行运行il2CppDumper，其中<libil2cpp>表示input中的libil2cpp.so路径，<global-metadata>表示input中的global-metadata.dat的路径，<output>为output文件夹路径。

Il2CppDumper.exe <libil2cpp> <global-metadata> <output>

5. 执行成功后，output文件夹中文件如下图所示。
   

二、使用VS和DnSpy查看C#代码结构

1. 使用VS打开.\output\dump.cs，可以查看C#程序中的代码结构，以及函数或类的逻辑地址。可以看到其中不包含函数的具体实现也有八万多行，其中很多函数都是系统函数，不是我们需要关注的。
   
2. 将.\output\DummyDll\Assembly-CSharp.dll导入到DnSpy中，可以清晰的看到不同的class和函数。
   

三、定位需要修改的函数

1. 由于我们需要实现角色无碰撞，所以我们定位到PlayerController中的OnTriggerEnter2D和OnCollisionEnter2D函数，这两个函数用于处理与碰撞相关的逻辑。（根据需要实现的功能，定位到的函数和修改方式均有所差异）
   
2. 我们只需要在il2cpp.so中让OnTriggerEnter2D函数和OnCollisionEnter2D函数不处理任何逻辑，直接return即可。
3. 我们需要记住OnTriggerEnter2D的地址0x5E2A70和OnCollisionEnter2D的地址0x5E30C8，然后在IDA Pro中patch对应的十六进制代码。

四、使用IDA Pro修改十六进制代码

1. 使用IDA Pro打开libil2cpp.so，提示框全选是即可。
2. 分别跳转至0x5E2A70和0x5E30C8，修改对应的字节为BX LR（1E FF 2F E1），其中BX LR是ARM中return的汇编指令。
   
3. 保存patch后的libil2cpp.so为libil2cpp.so。

五、使用AndroidKiller打包运行

1. 使用AndroidKiller打开{my_game}.apk，打开后路径如下。
   
2. 在文件夹中打开对应路径，然后将第四步中patch好的libil2cpp.so复制到该路径下，替换同名文件。
   
3. 点击左上角的编译，然后点击安装，可以直接将修改版的app安装至已经用adb连接好的android设备。
   
4. 运行测试，无碰撞功能已经实现，角色穿过物体不会死亡。