攻克跨平台逆向难题:Il2CppDumper实现Windows、Linux与Mac结果一致性方案
项目地址: https://gitcode.com/gh_mirrors/il/Il2CppDumper Unity游戏逆向时,你是否遇到过Windows分析的函数偏移在Linux下完全失效?Mac平台导出的结构体定义与安卓端无法兼容?Il2CppDumper通过统一的元数据解析引擎和可配置的跨平台适配层,让多端逆向结果保持一致。本文将从格式支持、配置优化和实战案例三个维度,带你掌握跨平台逆向的核心解决方案。
跨平台格式支持架构
Il2CppDumper采用分层设计实现多平台兼容,核心模块位于Il2CppDumper/ExecutableFormats/目录,包含Windows、Linux、Mac、WebAssembly等主流平台的可执行文件解析器。
多格式解析体系
| 平台 | 可执行格式 | 实现类 | 核心结构体 |
|---|---|---|---|
| Windows | PE/PE64 | PE.cs | PEClass.cs中的SectionHeader |
| Linux | ELF32/ELF64 | Elf.cs、Elf64.cs | ElfClass.cs中的Elf64_Ehdr |
| Mac/iOS | Mach-O | Macho.cs、Macho64.cs | MachoClass.cs中的MachoSection64Bit |
| Web | WebAssembly | WebAssembly.cs | WebAssemblyClass.cs中的DataSection |
| Switch | NSO | NSO.cs | NSOClass.cs中的NSOHeader |
统一元数据处理
元数据解析层通过Metadata.cs实现跨平台统一,核心结构体定义在MetadataClass.cs中,包括:
- Il2CppGlobalMetadataHeader:元数据头部信息
- Il2CppTypeDefinition:类型定义
- Il2CppMethodDefinition:方法定义
- Il2CppFieldDefinition:字段定义
这一层确保无论何种平台,元数据的解析逻辑完全一致,为后续跨平台一致性奠定基础。
跨平台一致性配置优化
通过config.json配置文件和Config.cs中的配置类,可以精确控制逆向过程,解决不同平台特有的偏移计算、指针重定向等问题。
关键配置项解析
public class Config
{
public bool ForceIl2CppVersion { get; set; } = false; // 强制指定il2cpp版本
public double ForceVersion { get; set; } = 24.3; // 版本号,影响元数据解析逻辑
public bool ForceDump { get; set; } = false; // 强制视为内存dump文件处理
public bool NoRedirectedPointer { get; set; } = false; // 禁用指针重定向(部分设备dump需要)
}
跨平台适配策略
- 版本一致性:当不同平台使用相同Unity版本但解析结果差异时,设置
ForceIl2CppVersion: true并指定ForceVersion为目标版本号 - 内存dump处理:安卓/iOS平台的内存dump文件需启用
ForceDump: true - 指针重定向:某些设备(如32位ARM)的dump文件需设置
NoRedirectedPointer: true
实战案例:多平台函数偏移一致性
以PlayerMovement类的Update方法为例,展示如何通过配置确保Windows、Linux、Mac平台的函数偏移一致。
标准命令行用法
# 基础命令格式
Il2CppDumper.exe <executable-file> <global-metadata> <output-directory>
# Windows示例
Il2CppDumper.exe GameAssembly.dll global-metadata.dat output/win
# Linux示例
mono Il2CppDumper.exe libil2cpp.so global-metadata.dat output/linux
# Mac示例
mono Il2CppDumper.exe libil2cpp.dylib global-metadata.dat output/mac
配置文件优化
针对不同平台创建专用配置:
windows.config.json
{
"ForceIl2CppVersion": false,
"ForceDump": false,
"NoRedirectedPointer": false
}
android.config.json
{
"ForceIl2CppVersion": true,
"ForceVersion": 24.3,
"ForceDump": true,
"NoRedirectedPointer": true
}
使用指定配置文件运行:
Il2CppDumper.exe --config android.config.json libil2cpp.so global-metadata.dat output/android
输出结果验证
成功运行后,各平台输出目录将包含:
- DummyDll/:还原的DLL文件
- il2cpp.h:统一的结构体定义
- ida_with_struct.py:带结构体信息的IDA脚本
- ghidra.py:Ghidra分析脚本
通过对比不同平台输出的il2cpp.h中PlayerMovement_Update函数的偏移值,可验证跨平台一致性。
高级应用:跨平台逆向工具链集成
Il2CppDumper生成的文件可直接集成到主流逆向工具中,实现多平台分析流程统一。
IDA集成
- 加载对应平台的可执行文件
- 执行
File -> Script file,选择ida_with_struct.py - 脚本将自动应用il2cpp.h中的结构体定义
Ghidra集成
- 导入可执行文件后,打开Script Manager
- 加载ghidra.py或WebAssembly专用的ghidra_wasm.py
- 运行脚本完成符号和结构体导入
Binary Ninja集成
将Il2CppBinaryNinja/目录复制到Binary Ninja插件目录,重启后即可使用专用分析功能。
常见跨平台问题解决方案
元数据无效错误
错误信息:ERROR: Metadata file supplied is not valid metadata file.
解决方案:
- 确认
global-metadata.dat未被加密或混淆 - 对安卓平台,可尝试Zygisk-Il2CppDumper获取内存中的元数据
- 使用
--force-version参数指定正确的Unity版本
自动模式失败
错误信息:ERROR: Can't use auto mode to process file, try manual mode.
解决方案:
- 手动指定平台类型:
--platform android - 检查可执行文件是否为正确版本(PC平台通常是
GameAssembly.dll) - 尝试不同的ForceVersion值
总结与展望
通过Il2CppDumper的多平台解析引擎和灵活的配置系统,开发者可以实现Windows、Linux、Mac等多平台Unity游戏的一致逆向分析。核心要点包括:
- 利用统一的元数据解析层确保类型和方法信息一致
- 通过Config.cs配置适配不同平台特性
- 使用专用配置文件管理平台特定参数
- 集成IDA/Ghidra/Binary Ninja等工具实现跨平台分析流程统一
项目持续维护中,最新版本请参考README.md和README.zh-CN.md。未来将进一步增强WebAssembly支持和跨平台调试能力,为Unity逆向工程提供更强大的工具支持。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
