一次完整的 Unity Mono 安卓游戏逆向:Frida Hook 绕过碰撞死亡判定

原创 已于 2025-12-28 13:09:01 修改 · 1.1k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#unity #android #游戏

于 2025-12-28 12:23:41 首次发布

Android安卓游戏Unity Mono 游戏逆向实战:从 APK 到 Hook libmono.so 绕过死亡判定

前言

最近在分析一款 极限摩托基于手机重力控制的 Unity 游戏
在这里插入图片描述

  • 通过手机 前后翻转控制角色
  • 人物只要 发生碰撞(翻车 / 头部触地)就会立即失败
  • 没有明显的数值判定,属于典型的 物理 + 碰撞触发死亡

本文完整记录了我 从 APK 分析 → 判断 Unity 架构 → Hook Mono Runtime → 精准拦截死亡函数 的全过程。

最终效果:

人物发生碰撞也不会死亡,游戏可正常继续运行。

一、实验环境

游戏截图


在这里插入图片描述

我使用的设备 & 工具版本

  • Android 10 真机(arm64)
  • Frida版本:17.5.2
  • Frida Server版本frida-server-17.5.1-android-arm64
  • Python版本:3.10.0
  • 手机不方便可以使用手机模拟器

Frida Server 启动

上传到手机:

adb push frida-server-17.5.1-android-arm64 /data/local/tmp/

adb shell chmod +x /data/local/tmp/frida-server-17.5.1-android-arm64

启动frida-server-17.5.1-android-arm64

adb shell /data/local/tmp/frida-server-17.5.1-android-arm64

二、从 APK 入手:判断游戏架构

1️⃣ 解包 APK

apktool d trial.apk

重点关注:

  • AndroidManifest.xml
  • lib/armeabi-v7a / lib/arm64-v8a
  • assets/

2️⃣ 查看 so 文件(关键判断点)

lib/arm64-v8a/ 目录下发现:

libmono.so
libu.so

同时:

  • ❌ 不存在 libil2cpp.so
  • ❌ 不存在 libunity.so(部分 Mono 游戏本来就没有)

✅ 结论

这是一个 Unity Mono 架构游戏(非 IL2CPP)

三、确认 C# 脚本存在

在:

assets/bin/Data/Managed/

中可以看到:

Assembly-CSharp.dll
UnityEngine.dll
Assembly-CSharp.dll 可以使用ILSpy工具打开,可以直接看到关键代码Bone::OnCollisionEnter,进行分析

在这里插入图片描述

说明:

  • 游戏逻辑由 C# 编写
  • 运行在 Mono VM
  • 实际执行发生在 libmono.so

四、为什么选择 Hook libmono.so

❌ 不直接修改 DLL 的原因

  • 需要重打包 APK
  • 可能触发签名 / 完整性校验
  • 不利于动态调试

✅ Hook Mono Runtime 的优势

  • 不修改 APK
  • 可实时观察 C# 函数调用
  • 能拦截 Unity 生命周期 / 碰撞函数

五、锁定关键函数:mono_runtime_invoke

Mono 执行模型简化图

Unity 物理 / 碰撞
        ↓
C# 脚本 (Update / OnCollisionEnter)
        ↓
IL Code
        ↓
mono_runtime_invoke
        ↓
Native 执行

所有 C# 方法最终都会经过 mono_runtime_invoke

这意味着:

Hook 一个函数,就能观察并控制所有 C# 方法调用。

六、附加进程并 Hook

1️⃣ 查找游戏 PID

adb shell ps -A | grep com.galapagossoft.trial

输出示例:

u0_a236   19480   ...   com.galapagossoft.trial

2️⃣ Frida Attach

frida -U -p 19480 -l mono_base.js

七、Hook 脚本(核心代码)

console.log("[*] mono_base.js loaded");

var mono = Process.findModuleByName("libmono.so");
if (!mono) {
    console.log("libmono.so not found");
    return;
}

var mono_method_get_name_ptr = mono.getExportByName("mono_method_get_name");
var mono_runtime_invoke_ptr = mono.getExportByName("mono_runtime_invoke");
var mono_method_get_class_ptr = mono.getExportByName("mono_method_get_class");
var mono_class_get_name_ptr = mono.getExportByName("mono_class_get_name");

var mono_method_get_name = new NativeFunction(
    mono_method_get_name_ptr, "pointer", ["pointer"]
);

var mono_method_get_class = new NativeFunction(
    mono_method_get_class_ptr, "pointer", ["pointer"]
);

var mono_class_get_name = new NativeFunction(
    mono_class_get_name_ptr, "pointer", ["pointer"]
);

var orig_mono_runtime_invoke = new NativeFunction(
    mono_runtime_invoke_ptr,
    "pointer",
    ["pointer", "pointer", "pointer", "pointer"]
);

Interceptor.replace(
    mono_runtime_invoke_ptr,
    new NativeCallback(function (method, obj, params, exc) {

        var klass = mono_method_get_class(method);
        var className = mono_class_get_name(klass).readCString();
        var methodName = mono_method_get_name(method).readCString();

        // 关键:拦截碰撞触发
        if (className === "Bone" && methodName === "OnCollisionEnter") {
            console.log("[BLOCK] " + className + "::" + methodName);
            return ptr(0);
        }

        return orig_mono_runtime_invoke(method, obj, params, exc);

    }, "pointer", ["pointer", "pointer", "pointer", "pointer"])
);

八、分析过程与关键突破

1️⃣ 先打印观察调用

日志中依次出现:

Fork::Update
Fork::OnCollisionStay
FailController::OnGUI
Bone::OnCollisionEnter

2️⃣ 排除错误目标

  • FailController::OnGUI
    👉 只是 UI 显示失败画面,不是死亡原因

  • FailController::Start
    👉 失败后的初始化逻辑

3️⃣ 真正的死亡触发点

Bone::OnCollisionEnter

这正好符合游戏机制:

人物因重力翻转发生碰撞 → 立即失败

九、最终效果

成功拦截后:

  • 人物发生碰撞 不再死亡
  • 物理系统正常
  • 游戏流程可继续

无需修改 APK
无需重打包
精准绕过失败判定

十、总结

本文完整展示了一条 Unity Mono 游戏逆向的通用思路

  1. 从 APK 判断 Unity 架构
  2. 确认 Mono 而非 IL2CPP
  3. 锁定 libmono.so
  4. Hook mono_runtime_invoke
  5. 通过 Runtime 级分析定位关键 C# 方法
  6. 精准拦截 OnCollisionEnter 实现逻辑绕过

理解引擎执行模型,比盲目改代码更重要。

后记

这套方法同样适用于:

  • Unity Mono 手游
  • 碰撞 / 判定 / 失败逻辑分析
  • 无源码、无符号环境下的动态逆向

后续我会继续分享更多 Unity / Mono / Frida 实战分析。

Unity iOS游戏加固实战指南
本博客聚焦游戏开发技巧、创业实战心得及大学热门课程干货。这里既有技术深度,也有思维广度,无论你是开发者、创业者还是高校学子,都能在这里找到适合自己的成长之路!
11-21 1545
手游 iOS 加固是针对 iOS 平台上游戏应用的一种安全措施,旨在保护游戏的代码和资源,防止逆向工程和破解。特别是对于使用 Unity 引擎开发的游戏,iOS 加固可以有效地增加逆向分析的难度,保护游戏的知识产权和用户数据。手游 iOS 加固是保护 Unity 游戏的重要手段,通过加密文件,显著提高了逆向分析的难度。虽然没有绝对的安全措施,但加固可以有效地延缓攻击者的破解进程,保护开发者的知识产权和用户的安全。对于开发者来说,实施 iOS 加固是维护游戏安全性的重要步骤。
Android逆向分析基础(二)
哆啦安全
06-22 3553
frida使用方法
Unity单机手游逆向破解思路(仅供学习参考,禁止用于非法行为)
热门推荐
qq_41595148的博客
10-29 1万+
本文简述了一种适用于Unity单机手游的破解思路,并以“生活模拟器”为例,演示了实际逆向破解的过程,首先利用ILSpy反编译游戏主逻辑的.dll文件为C#等价源码,分析修改的位置,然后使用ILDasm插件查看C#修改位置对应的IL指令的位置,生成.IL文件后,将确定的指令位置找到并修改需要的参数。再使用ILasm插件将编辑后的.IL文件重新编译为.dll文件。最后将生成的Assembly-CSharp.dll文件替换掉原apk中的Assembly-CSharp.dll文件,重新打包apk,完成破解。
【软件逆向】如何逆向Unity3D+il2cpp开发的安卓app【IDA Pro+il2CppDumper+DnSpy+AndroidKiller】
zhangjiuding的博客
11-04 1万+
【软件逆向】如何逆向Unity3D+il2cpp开发的安卓app【IDA Pro+il2CppDumper+DnSpy+AndroidKiller】
frida server android arm64
05-09
frida server android arm64 frida 相对应的server版本:(注意要跟frida的版本一致) 解压缩之后使用 Frida 分为客户端和服务端。 客户端:PC(控制端) 服务器:手机设备(被控制端) 客户端编写的 Python 代码,用于连接远程设备,提交要注入的 JS 代码到服务端,接受服务端发来的消息。 服务端中需要用 JS 代码注入到目标进程,操作内存数据,给客户端发送消息。
安卓逆向-修改APK-战斗直接胜利
BXA
04-15 3505
前言  很久没有总结过关于逆向编程的文章了,来写一篇实践分享给大家。主要来说说如何通过逆向修改APK来实现游戏进入后直接获得胜利领取奖励。为了学习发展就不分享游戏名称了。
安卓逆向学习--某简单游戏破解学习记录
windy_ll的博客
03-04 560
安卓逆向学习--某简单游戏破解学习记录一、环境以及所用到的工具二、破解思路三、相关链接 一、环境以及所用到的工具 真机:android 4.4.4 AndroidKiller JEB 二、破解思路 将该游戏拖进手机安装打开以后尝试打开商城充值,发现支付失 等字样,将该APK拖进AndroidKiller中,搜索支付失败字符串,发 现未找具体的支付实现方法,后面在游戏刚载入处发现移动MM支付...
Frida Hook的使用方法
哆啦安全
01-01 4924
一、Frida支持的功能及作用1 二、安装和搭建Python环境1 三、安装和搭建Frida环境2 1.安装pip2 2.安装frida2 3.验证frida是否安装成功3 4.卸载frida3 5.获取frida安装版本对应的frida-server版本3 6.验证frida是否能正常使用3 7.Frida JavaScript API的官网4 8.Ubuntu环境修改系统默认python版本为3.8.2(并更新)4...
游戏逆向工具分析及解决方案
FairGuard手游加固(企业官方博客)
05-31 2000
其注入原理是基于 ptrace 实现的,Frida 通过调用系统 ptrace 向游戏进程注入 frida-agent-xx.so 模块,通过这个模块与手机端安装的 frida-server 通讯,实现一系列分析与 hook 操作,如 hook 游戏中己方角色的攻击函数,实现“倍攻挂”等。以某游戏遇到的“内购破解”为例,破解者通过MT管理器去除游戏的签名校验,再搜索游戏支付渠道字符串进行定位,定位后用编辑功能篡改支付代码逻辑,最后进行重签名,就可实现无需付费即可购买游戏内的付费礼包。
看雪『Android安全』板块 2018 年优秀和精华帖分类索引
墨鱼菜鸡
07-11 1175
转载:https://bbs.pediy.com/thread-249602.htm [推荐]『Android安全』版2018年优秀和精华帖分类索引 文章筛选和评价仅代表个人观点,欢迎指正。 列表不定期更新,欢迎自荐~ 2018年 1.逆向技术基础 Frida操作手册-Android环境准备 Frida hook方便快捷,并且跨平台,可以学习一...
简单Unity3D类安卓游戏逆向思路
晓得哥的博客
02-26 8982
作者:dawu@知道创宇404实验室 时间:2019/02/25 0x00 前言 这是一篇游戏引发的简单技术文。 起因是个人很喜欢玩 google play 上的一些数字类型(角色攻击是线性增长,怪物指数变强,到后期越打不过,通过重生增强属性变强)的小游戏。但是这种游戏仍旧存在一定缺陷,前期资源不多,玩的太慢、玩的时间长了,就感觉没意思,就不想玩了,所以在玩到游戏中期的时候,往往都会去网上搜索XX...
FPS游戏逆向安全之过检测
06-26
讲课主要形式是理论+实战。通过讲解,来加深您对于游戏检测的理解,并能够开拓您的思路,达到举一反三的作用。
视频教程- FPS 塔科夫 逆向安全开发设计与利用-其他
weixin_34542940的博客
05-28 1939
FPS 塔科夫 逆向安全开发设计与利用 精通windows下C,C++编...
基于unity3d游戏android版本逆向初探
N的专栏
10-31 5024
https://bbs.pediy.com/thread-212532.htm 【文章标题】: 基于unity3d游戏android版本逆向初探 【文章作者】: dreaman 【作者邮箱】: [email]dreaman_163@163.com[/email] 【作者主页】: https://github.com/dreamanlan 【软件名称】: 匿了 【软件大小】: 好几
GaussianMixtureMode
小白水手的博客
05-23 1367
概述 聚类算法大多数采用相似度来判断,而相似度又大多数采用欧式距离长短来衡量,而GMM采用了新的判断依据—–概率,即通过属于某一类的概率大小来判断最终的归属类别 GMM的基本思想就是:任意形状的概率分布都可以用多个高斯分布函数去近似,也就是GMM就是有多个单高斯密度分布组成的,每一个Gaussian叫”Component”,线性的加成在一起就组成了GMM概率密度 算法函数 n_compon...
视频教程-FPS游戏逆向与安全+UE4引擎基础详解-其他
weixin_33273430的博客
05-28 3380
FPS游戏逆向与安全+UE4引擎基础详解 想把自己的知识传播出去,让更多人学...
逆向unity3d手机游戏
WormholeStack
12-04 2479
最近玩了一个游戏,发现获取买装备需要获取星星,获取星星需要赢得比赛,那我要是想买齐所有装备,我就要赢很多场比赛,等我凑齐了装备我也就不想玩了。。。 所有我想上来就有星星!于是动手了! 此方法不适用于作用加固的app。当然加固就脱壳呗也比较简单,那要逆向工程还是要确定思路。 1.成果图: 2.破解思路: 直接利用apk导入AndroidKiller然后反编译签名认证,分析,判断当前的游戏Uni...
unity3d手游逆向
平凡者的专栏
07-10 5066
常用步骤 1 打开assets/bin/data/managed文件夹,把assembly-csharp.dll 解压 2 初步通过文件头判断是否有加解密 3 加密的话一般libmomo.so中会有解密函数,ida加载分析 mono_image_open_from_data_with_name 4 dnspy或者ilspy分析 5 定位关键点,用关键字 比如attack、damage、monster、skill、hp、Hero、role 6 回编译 assembly-csharp.dll,替换,重新打包(
opencv-mobile 和 ncnn-android 环境配置
最新发布
技术客的专栏
12-30 227
注意:Windows 路径中的反斜杠需要转义,使用。
逆向
03-26
### 逆向工程与反编译概述 逆向工程是一种通过对软件的目标代码进行分析,将其转化为更高级别的表示形式的过程。这一过程通常用于研究现有系统的内部结构、功能以及实现细节。在Java和Android领域,反编译工具被广泛应用于逆向工程中。 #### Java逆向工程中的Jad反编译工具 Jad是一款经典的Java反编译工具,能够将`.class`字节码文件转换为可读的`.java`源代码[^1]。虽然它可能无法完全恢复原始源代码,但它提供了足够的信息来帮助开发者理解已编译的Java程序逻辑。Jad支持多种反编译模式,并允许用户自定义规则以适应不同的需求。此外,其命令行接口和图形界面使得复杂代码的分析变得更加便捷。 #### Android逆向工程中的JEB反编译工具 针对Android应用的逆向工程,JEB是由PNF Software开发的一款专业级工具[^2]。相较于其他同类产品,JEB不仅具备强大的APK文件反编译能力,还能对Dalvik字节码执行高效而精准的操作。它的核心优势在于以下几个方面: - **广泛的平台兼容性**:除Android外,还支持ARM、MIPS等多种架构的二进制文件反汇编。 - **混淆代码解析**:内置模块能有效应对高度混淆的代码,提供分层重构机制以便于深入分析。 - **API集成支持**:允许通过编写Python或Java脚本来扩展功能并完成特定任务。 #### APK反编译流程及其意义 当涉及到具体的APK包时,可以通过一系列步骤提取其中的信息来进行全面的安全评估或者学习目的的研究工作[^3]。这些步骤一般包括但不限于获取资产目录(`assets`)内的资源数据;解密XML配置文档如`AndroidManifest.xml`定位应用程序启动点;最后利用上述提到的各种专用软件重现整个项目框架供进一步探讨。 ```bash # 使用apktool反编译APK示例 apktool d your_app.apk -o output_directory/ ``` 以上命令展示了如何借助开源工具ApkTool轻松拆卸目标安卓档案至易于探索的状态下。 ### 结论 无论是传统的桌面端还是现代移动端环境里头,恰当运用合适的反编译解决方案都是达成逆向工程项目成功不可或缺的一环。每种工具有各自专精之处,在实际应用场景当中应当依据具体需求做出明智的选择。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值