【漏洞分析】浅析android手游lua脚本的加密与解密（一）

主要用到的工具和环境：

1 win7系统一枚

2 quick-cocos2d-x的开发环境（弄一个开发环境方便学习，而且大部分lua手游都是用的cocos2d-x框架，还有一个好处，可以查看源码关键函数中的特征字符串，然后在IDA定位到关键函数，非常方便）

3 IDA6.8（分析so文件+动态调试so）

4 vs2015（编写解密代码）这里建议用vs2013来编译运行cocos2d-x，vs2015太多坑要填了…

5 AndroidKiller 1.3.1（反编译apk，其中apktool.exe是最新版）

6 luadec51（反编译luac）

7 luajit-decomp（反编译luaJIT）

等等…

1.lua脚本在手游中的现状

略。

2.lua、luac、luaJIT三种文件的关系

在学习lua手游过程中，本人遇到的lua文件大部分是这3种。其中lua是明文代码，直接用记事本就能打开，luac是lua编译后的字节码，文件头为0x1B 0x4C 0x75 0x61 0x51，lua虚拟机能够直接解析lua和luac脚本文件，而luaJIT是另一个lua的实现版本（不是原作者写的），JIT是指Just-In-Time（即时解析运行），luaJIT相比lua和luac更加高效，文件头是0x1B 0x4C 0x4A。

3.lua脚本的保护

一般有安全意识的游戏厂商都不会直接把lua源码脚本打包到APK中发布，所以一般对lua脚本的保护有下面3种：

3.1 普通的对称加密，在加载脚本之前解密

这种情况是指打包在APK中的lua代码是加密过的，程序在加载lua脚本时解密（关键函数luaL_loadbuffer ），解密后就能够获取lua源码。如果解密后获取的是luac字节码的话，也可以通过反编译得到lua源码，反编译主要用的工具有unluac和luadec51，后面会具体分析。

3.2 将lua脚本编译成luaJIT字节码并且加密打包

因为反编译的结果并不容易查看，所以这种情况能够较好的保护lua源码。这个情况主要是先解密后反编译，反编译主要是通过luajit-decomp项目，它能够将luajit字节码反编译成伪lua代码。

3.3 修改lua虚拟机中opcode的顺序

这种情况主要是修改lua虚拟机源码，再通过修改过的虚拟机将lua脚本编译成luac字节码，达到保护的目的。这种情况如果直接用上面的反编译工具是不能将luac反编译的，需要在程序中分析出相对应的opcode，然后修改lua项目的opcode的顺序并重新编译生成反编译工具，就能反编译了，后面会具体分析。

 一般上面的情况都会交叉遇到。

4.获取lua源码的一般方法

这里主要介绍4种方法，都会在第5节中用实例说明。

4.1 静态分析so解密方法

这种方法需要把解密的过程全部分析出来，比较费时费力，主要是通过ida定位到luaL_loadbuffer函数，然后往上回溯，分析出解密的过程。

4.2 动态调试：ida + idc + dump

这里主要通过ida动态调试so文件，然后是定位到luaL_loadbuffer地址，游戏会在启动的时候通过调用luaL_loadbuffer函数加载必要的lua脚本，通过在luaL_loadbuffer下断点 ，断下后就可以运行idc脚本将lua代码导出（程序调用一次luaL_loadbuffer加载一个lua脚本，不写idc脚本的话需要手动导N多遍…）。

4.3 hook so

跟4.2原理一样，就是通过hook函数luaL_loadbuffer地址，将代码保存，相比4.2的好处是有些lua脚本需要在玩游戏的过程中才加载，如果用了4.2的方法，游戏过程中 中断一次就需要手动运行一次idc脚本，而且往往每次只加载一个lua文件，如果是hook的话，就不需要那么麻烦，直接玩一遍游戏，全部lua脚本就已经保存好了。

4.4 分析lua虚拟机的opcode的顺序

这里主要是opcode的顺序被修改了，需要用ida定位到虚拟机执行luac字节码的地方，然后对比原来lua虚拟机的执行过程，获取修改后的opcode顺序，最后还原lua脚本。

5.三个游戏的lua脚本解密实例

好了，下面用3个例子来说明上面的情况。

5.1 54捕鱼

首先用AndroidKiller 加载，然后查看lib目录下的so文件，发现libcocos2dlua.so文件，基本可以确定是lua脚本编写的了。这里有个小技巧，当有很多so文件的时候，一般最大的文件是我们的目标（文件大是因为集成了lua引擎）。既然有lua引擎，肯定有lua脚本了，接着找lua脚本。资源文件和lua脚本文件都是在assets目录下。发现游戏的资源文件和配置文件都是明文，这里直接修改游戏的配置文件就可以作弊（比如修改升级炮台所需的金币和钻石，就可以达到快速升级炮台的目的），然后并没有发现类似lua脚本的文件。

顺手解压了一下res目录下的liveupdate_precompiled.zip，发现解压失败，看来是加密了（看名字就知道是更新游戏的代码）这里说明一下，一般遇到xxxx_precompiled.zip的这种文件，都是quick-cocos2d-x框架（quick简单来说就是对lua的拓展实现），在quick-cocos2d-x框架下可以用compile_scripts命令将lua文件加密打包成xxxx_precompiled.zip，游戏运行时再解密加载。注意，这种方式打包的lua脚本一般都会被编译成luaJIT，加载的关键函数是loadChunksFromZIP，可以在IDA中直接搜索该函数，如果找不到可以搜索字符串luaLoadChunksFromZIP来定位到函数

OK，了解了原理接下来开始动手分析，将libcocos2dlua.so拖到IDA中加载，函数中直接搜索loadChunksFromZIP，定位后F5。

一直向上回溯（交叉引用 ），来到下图，发现解密的密钥和签名，其中xiaoxian为密钥，XXFISH为签名

进去函数里面看看，其实会发现调用了XXTea算法，这里我们也可以直接分析loadChunksFromZIP函数的源码（所以配置一个cocos2d的开发环境还是非常有必要的）。查看源码里的lua_loadChunksFromZIP函数的原型：

接下来直接写解密函数（在cocos2d-x项目里面写的解密函数，很多工具直接可以调用）

解密后的文件如下：

这几个都是更新游戏的代码，是luajit的文件，所以接下来需要反编译。IDA中查看下lua版本和luajit版本，字符串分别搜索lua+空格和luajit+空格：

lua版本为5.1

luajit版本为2.1.0

未完待续！！！