Android逆向实例笔记—手游中的内购破解(火柴人联盟最新版1.9.2 BB弹 )

原创 于 2016-09-06 21:34:46 发布 · 3.8k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#破解 #Android逆向 #Smali #支付 #游戏

本文介绍了Android逆向工程在手游内购破解中的应用,以BB弹和火柴人联盟为例。通过搜索关键代码并进行修改,实现了内购的模拟成功,展示了破解思路和步骤,旨在学习交流。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

最近学到了一些内购的破解方式,就来试试手。然后找个了比较火爆的游戏BB弹,找个个没壳的就来练习。

这些东西都是大神写烂了的东西了,我这里只是写出我自己找不到方法的时候的思路。勿笑。


一、BB弹

BB弹的话比较简单,我们首先弄到模拟器上看看是什么支付。



我们发现支付宝和话费都可以。

那说明我们有很多种方法去破解内购了。我们的目的就是取消就为购买!


我们先用支付宝的




该图为引用的。


我们直接搜索0x1771




把它改为0x1771 -> :sswitch_0  就行了。


然后再来试试话费的,我们直接所搜索paysuccess




分别点进去看看


.class public interface abstract Lcn/egame/terminal/paysdk/EgamePayListener;
.super Ljava/lang/Object;
.source "EgamePayListener.java"


# virtual methods
.method public abstract payCancel(Ljava/util/Map;)V
    .annotation system Ldalvik/annotation/Signature;
        value = {
            "(",
            "Ljava/util/Map",
            "<",
            "Ljava/lang/String;",
            "Ljava/lang/String;",
            ">;)V"
        }
    .end annotation
.end method

.method public abstract payFailed(Ljava/util/Map;I)V
    .annotation system Ldalvik/annotation/Signature;
        value = {
            "(",
            "Ljava/util/Map",
            "<",
            "Ljava/lang/String;",
            "Ljava/lang/String;",
            ">;I)V"
        }
    .end annotation
.end method

.method public abstract paySuccess(Ljava/util/Map;)V
    .annotation system Ldalvik/annotation/Signature;
        value = {
            "(",
            "Ljava/util/Map",
            "<",
            "Ljava/lang/String;",
            "Ljava/lang/String;",
            ">;)V"
        }
    .end annotation
.end method

显然看不出太多的信息

第二处


.class Lcom/zplay/bbtan/plug/EgamePlug$2$1;
.super Ljava/lang/Object;
.source "EgamePlug.java"

# interfaces
.implements Lcn/egame/terminal/paysdk/EgamePayListener;


# annotations
.annotation system Ldalvik/annotation/EnclosingMethod;
    value = Lcom/zplay/bbtan/plug/EgamePlug$2;->run()V
.end annotation

.annotation system Ldalvik/annotation/InnerClass;
    accessFlags = 0x0
    name = null
.end annotation


# instance fields
.field final synthetic this$1:Lcom/zplay/bbtan/plug/EgamePlug$2;


# direct methods
.method constructor <init>(Lcom/zplay/bbtan/plug/EgamePlug$2;)V
    .locals 0

    .prologue
    .line 1
    iput-object p1, p0, Lcom/zplay/bbtan/plug/EgamePlug$2$1;->this$1:Lcom/zplay/bbtan/plug/EgamePlug$2;

    .line 79
    invoke-direct {p0}, Ljava/lang/Object;-><init>()V

    return-void
.end method


# virtual methods
.method public paySuccess(Ljava/util/Map;)V
    .locals 2
    .param p1, "params"    # Ljava/util/Map;

    .prologue
    .line 90
    sget-object v0, Lcom/dubo/android/JniMsgType;->RechargeFail:Lcom/dubo/android/JniMsgType;

    invoke-virtual {v0}, Lcom/dubo/android/JniMsgType;->ordinal()I

    move-result v0

    iget-object v1, p0, Lcom/zplay/bbtan/plug/EgamePlug$2$1;->this$1:Lcom/zplay/bbtan/plug/EgamePlug$2;

    # getter for: Lcom/zplay/bbtan/plug/EgamePlug$2;->this$0:Lcom/zplay/bbtan/plug/EgamePlug;
    invoke-static {v1}, Lcom/zplay/bbtan/plug/EgamePlug$2;->access$0(Lcom/zplay/bbtan/plug/EgamePlug$2;)Lcom/zplay/bbtan/plug/EgamePlug;

    move-result-object v1

    # getter for: Lcom/zplay/bbtan/plug/EgamePlug;->_sku:Ljava/lang/String;
    invoke-static {v1}, Lcom/zplay/bbtan/plug/EgamePlug;->access$1(Lcom/zplay/bbtan/plug/EgamePlug;)Ljava/lang/String;

    move-result-object v1

    invoke-static {v0, v1}, Lcom/dubo/android/PlatformMessage;->SendPlatformMessage(ILjava/lang/String;)V

    .line 91
    return-void
.end method

.method public payFailed(Ljava/util/Map;I)V
    .locals 2
    .param p1, "params"    # Ljava/util/Map;
    .param p2, "errorInt"    # I

    .prologue
    .line 86
    sget-object v0, Lcom/dubo/android/JniMsgType;->RechargeFail:Lcom/dubo/android/JniMsgType;

    invoke-virtual {v0}, Lcom/dubo/android/JniMsgType;->ordinal()I

    move-result v0

    iget-object v1, p0, Lcom/zplay/bbtan/plug/EgamePlug$2$1;->this$1:Lcom/zplay/bbtan/plug/EgamePlug$2;

    # getter for: Lcom/zplay/bbtan/plug/EgamePlug$2;->this$0:Lcom/zplay/bbtan/plug/EgamePlug;
    invoke-static {v1}, Lcom/zplay/bbtan/plug/EgamePlug$2;->access$0(Lcom/zplay/bbtan/plug/EgamePlug$2;)Lcom/zplay/bbtan/plug/EgamePlug;

    move-result-object v1

    # getter for: Lcom/zplay/bbtan/plug/EgamePlug;->_sku:Ljava/lang/String;
    invoke-static {v1}, Lcom/zplay/bbtan/plug/EgamePlug;->access$1(Lcom/zplay/bbtan/plug/EgamePlug;)Ljava/lang/String;

    move-result-object v1

    invoke-static {v0, v1}, Lcom/dubo/android/PlatformMessage;->SendPlatformMessage(ILjava/lang/String;)V

    .line 87
    return-void
.end method

.method public payCancel(Ljava/util/Map;)V
    .locals 2
    .param p1, "params"    # Ljava/util/Map;

    .prologue
    .line 82
    sget-object v0, Lcom/dubo/android/JniMsgType;->Recharge:Lcom/dubo/android/JniMsgType;

    invoke-virtual {v0}, Lcom/dubo/android/JniMsgType;->ordinal()I

    move-result v0

    iget-object v1, p0, Lcom/zplay/bbtan/plug/EgamePlug$2$1;->this$1:Lcom/zplay/bbtan/plug/EgamePlug$2;

    # getter for: Lcom/zplay/bbtan/plug/EgamePlug$2;->this$0:Lcom/zplay/bbtan/plug/EgamePlug;
    invoke-static {v1}, Lcom/zplay/bbtan/plug/EgamePlug$2;->access$0(Lcom/zplay/bbtan/plug/EgamePlug$2;)Lcom/zplay/bbtan/plug/EgamePlug;

    move-result-object v1

    # getter for: Lcom/zplay/bbtan/plug/EgamePlug;->_sku:Ljava/lang/String;
    invoke-static {v1}, Lcom/zplay/bbtan/plug/EgamePlug;->access$1(Lcom/zplay/bbtan/plug/EgamePlug;)Ljava/lang/String;

    move-result-object v1

    invoke-static {v0, v1}, Lcom/dubo/android/PlatformMessage;->SendPlatformMessage(ILjava/lang/String;)V

    .line 83
    return-void
.end method


这里就很关键了。这个看起来眼花的话,我们看看Java的




我们惊奇的发现,这几个成功,取消和失败的代码只有一处不同。


方法一:

那么我们就可以把取消的RechargeFail换成Recharge就OK了。


方法二:

我们可以把paySuccess和payCancel的函数名调换。也就说说,我们点了取消,却调用的是paySuccess里面的代码。OK。BB弹就简单的破解了。


二、火柴人联盟


破解BB弹之后,我本以为内购破解起来很简单。也很好玩,然后逛吾爱的时候,看到一篇破解火柴人的帖子。我也就去下了个官方版本去试试破解。(版本比帖子的高,帖子地址:http://www.52pojie.cn/thread-522841-1-1.html)


这不是重点,重点是。这个游戏在模拟器上打不开。我也不知道为什么,直接反编译。


发现了这个游戏的购买方式很多,移动,电信,联通,支付宝都有。然后还是按照之前破解BB弹的方式去破解。


却发现根本不行。把取消的RechargeFail换成Recharge,不行


把支付宝的代码换掉也不行。


于是认真参考了刚刚那个帖子,发现很多代码已经被原作者改了。那就只有自己研究了


这里就是重点了,我来说说我自己的思路。后来发现这个游戏坑爹的只能移动购买。


首先是住入口去看看

然后在这个函数去看看移动购买的函数。



然后点过去看看,发现信息不是太多。


.method private payInYidong()V
    .locals 6

    .prologue
    const/4 v1, 0x1

    .line 735
    sget v0, Lcom/DBGame/DiabloLOL/DiabloLOL;->sCMCC_OPEN:I

    if-nez v0, :cond_0

    .line 736
    const-string v0, "\u6b63\u5728\u5904\u7406,\u8bf7\u7a0d\u540e....."

    invoke-static {v0}, Lcom/DBGame/Common/BLHelper;->showShieldLayer(Ljava/lang/String;)V

    .line 738
    :cond_0
    iget-object v0, p0, Lcom/DBGame/DiabloLOL/DiabloLOL;->PAY_CODE_MM:[Ljava/lang/String;

    iget v2, p0, Lcom/DBGame/DiabloLOL/DiabloLOL;->mPayIndex:I

    aget-object v3, v0, v2

    const/4 v4, 0x0

    iget-object v5, p0, Lcom/DBGame/DiabloLOL/DiabloLOL;->payCallback:Lcn/cmgame/billing/api/GameInterface$IPayCallback;

    move-object v0, p0

    move v2, v1

    invoke-static/range {v0 .. v5}, Lcn/cmgame/billing/api/GameInterface;->doBilling(Landroid/content/Context;ZZLjava/lang/String;Ljava/lang/String;Lcn/cmgame/billing/api/GameInterface$IPayCallback;)V

    .line 739
    return-void
.end method

但是我们好像发现了payCallback这个东西。感觉又价值。我们搜索看看。




发现了两处,有用的是第一处的。

于是我们过去看看


这个时候我们就看出来了


package com.DBGame.DiabloLOL;

import cn.cmgame.billing.api.GameInterface.IPayCallback;
import com.DBGame.Common.BLHelper;

class DiabloLOL$4
  implements GameInterface.IPayCallback
{
  DiabloLOL$4(DiabloLOL paramDiabloLOL) {}
  
  public void onResult(int paramInt, String paramString, Object paramObject)
  {
    switch (paramInt)
    {
    default: 
      new StringBuilder().append("购买道具:[").append(this.this$0.PAY_NAME[DiabloLOL.access$800(this.this$0)]).append("] 取消!").toString();
    }
    for (;;)
    {
      BLHelper.closeShieldLayer();
      return;
      if (!"10".equals(paramObject.toString()))
      {
        new StringBuilder().append("购买道具:[").append(this.this$0.PAY_NAME[DiabloLOL.access$800(this.this$0)]).append("] 成功!").toString();
        BLHelper.purchaseComplete(this.this$0.PRO_ID_Str[DiabloLOL.access$800(this.this$0)], 1);
        continue;
        new StringBuilder().append("购买道具:[").append(this.this$0.PAY_NAME[DiabloLOL.access$800(this.this$0)]).append("] 失败!").toString();
      }
    }
  }
}


也就说packed-switch p1, :pswitch_data_0,然后pswitch_data_0就购买成功。




直接来个goto大发。OK了

教程就到这里了,本破解只为学习交流。


提供样本

BB弹:https://yunpan.cn/cMN8KD5h2IUg2  访问密码 9456

火柴人去官网下就是了

成本:

BB弹:https://yunpan.cn/cM4jkAt4u7m5n  访问密码 5c1b

火柴人:https://yunpan.cn/cMN89LIBLqjPq  访问密码 67a6

博客
自定义签到的步骤View
08-19 1394
引言涉及到一个签到的步骤view需求:以七天为周天,执行当天签到需要一个动画效果;签到前灰色,签到后变为绿色;每天加的分数不一定,第三天和第七天加的比较多,分数签到完成为橙色,有up标签。效果图: 分析首先是把该绘制的东西绘制到画布上,这点没什么好说,上一遍博客差不多说了怎么去绘制。先根据数据绘制出静态的东西。把未签到的东西全部绘制完毕。然后开始绘制动画。处理动...
博客
HrmonyOS 赋能套件介绍
11-02 708
HrmonyOS 赋能套件介绍
博客
HarmonyOS简
10-22 1548
文章为官方教程以及自己的部分理解,用于上下班的查看学习。官方视频教程地址:HarmonyOS应用开发者基础认证-华为开发者学堂 (huawei.com)
博客
裁员在家如何保持高效学习
10-01 795
这段时间裁员待在家里,进行了一些学习和盘点。针对自己的思考和方式,做了一些简单的总结,包括提升专注力,找到自己合适的方式,避免被外界打扰。
博客
被裁员后的感悟
09-30 505
离开也许是新的开始。不然从头来过。不管是自己,家庭。不管是意识还是技术,都应该有一个好好的总结和新的开始...
博客
Android每日一问笔记-Parcelable 为什么效率高于 Serializable?
08-27 863
基于https://www.wanandroid.com每日一问的笔记,做一些整理,方便自己进行查看和记忆。原文链接:https://www.wanandroid.com/wenda/show/9002为什么Parcelable的效率比Serializable高?可以从设计目的和实现原理两个方面分析设计目的Serializable是Java API,是一个通用的序列化机制,...
博客
Android每日一问笔记-对于SharedPreferences的优缺点?
08-16 1322
基于https://www.wanandroid.com每日一问的笔记,做一些整理,方便自己进行查看和记忆。原文链接:https://www.wanandroid.com/wenda/show/8656SharedPreferences,它是一个轻量级的存储类,特别适合用于保存软件配置参数优点:轻量级,以键值对的方式进行存储,使用方便,易于理解采用的是xml文件形式存储...
博客
Android每日一问笔记-哪些 Context调用 startActivity 需要设置NEW_TASK
08-05 639
基于https://www.wanandroid.com每日一问的笔记,做一些整理,方便自己进行查看和记忆。原文链接:https://www.wanandroid.com/wenda/show/8697以及nanchen的文章使用非 Activity 的 startActivity()的时候,都需要指定Intent.FLAG_ACTIVITY_NEW_TASK,如果没有指定,直...
博客
利用Retrofit+RxJava简单封装网络请求库
08-01 719
网络请求在移动端是极为常见和重要,随处可见。为此,为了避免到处使用增加内存和性能,以及方便使用和解耦,进行网络库的简单封装。特点解耦:对下面使用的网络请求框架和上层网络进行解耦。方便底层可以根据业务要求换更网络请求网络也不影响到上层业务逻辑。方便:对使用的场景极为方便,仅仅5行左右代码,即可完成一次网络请求以及数据处理。解放:解放繁琐的线程切换,错误处理和判断,数据处理,Json的转...
博客
Android每日一Looper.loop为什么不会阻塞掉UI线程?
07-27 806
基于https://www.wanandroid.com每日一问的笔记,做一些整理,方便自己进行查看和记忆。原文链接:https://www.wanandroid.com/wenda/show/8685Android中为什么主线程不会因为Looper.loop()里的死循环卡死?这里涉及线程,先说说说进程/线程进程:每个app运行时前首先创建一个进程,该进程是由Zygote fo...
博客
Android每日一问笔记-Handler简述
07-26 287
基于每日一问的笔记,做一些整理,方便自己进行查看和记忆。nanchen的文章Handler 的简单使用override fun onCreate(savedInstanceState: Bundle?) { super.onCreate(savedInstanceState) setContentView(R.layout.activity_main3) // ...
博客
Android每日一问笔记-View中的getContext一定返回的是Activity对象吗?
07-25 710
基于https://www.wanandroid.com每日一问的笔记,做一些整理,方便自己进行查看和记忆。原文链接:https://www.wanandroid.com/wenda/show/8626以及nanchen的文章不一定是那么,在什么场景下不是呢:除了自己手动传不是Activity的Context进去之外,还有一种情况,就是:当使用AppCompatAct...
博客
Android每日一问笔记-对于事件分发,嵌套滚动的了解
07-16 252
基于https://www.wanandroid.com每日一问的笔记,做一些整理,方便自己进行查看和记忆。原文链接:https://www.wanandroid.com/wenda/show/8463事件分发原理事件分发,其实就是一个责任链的变种,这个责任链,是一个设计模式。在Android中,当最顶层的View收到事件之后,会一级一级地往下传,在每一级View中,它们各自都...
博客
Android中JNI调用第三方so以及头文件方式
05-19 6855
layout: posttitle: Android中JNI调用第三方so以及头文件方式tags:Android开发soNDKJNIcategories:Android开发abbrlink: 7510date: 2019-05-19 21:05:57引言有时候我们在android开发JNI的时候,会涉及到引用第三方的so和头文件引用。现在网上也有相应的资料,但是还是...
博客
github发布和维护属于自己的基础工程远程库
03-24 379
layout: posttitle: github发布和维护属于自己的基础工程远程库tags:Android开发基础工程远程库categories:Android开发date: 2019-03-24 18:34:24引言自己动手搭建一个属于自己的远程基础仓库不管是开发新项目亦或者是自己写demo练练手之类的。都需要建立工程,然后开始拷贝工具类,然后在啪啦啪啦引用必须的...
博客
kotlin配合dagger2出现的问题
10-14 896
layout: posttitle: kotlin配合dagger2出现的问题tags:Android开发kotlindagger2categories:Android开发date: 2018-10-14 13:12:03最近没事玩玩kotlin,随便学习了一波dagger2,打配合使用下,但是出现了些问题,记录出来问题Unresolved reference:...
博客
一步步自定义一个封面选择框
05-29 1070
引言很多时候我们拍摄视频用户是竖屏拍摄,但是一个视频的封面需要一个16:9的图片,并且允许用户自己选择,于是做了一个简单的自定义View,进行展示封面选择。 - 先看看引入到项目的效果: 自定义View的准备首先来说自定义View就是进行绘制,绘制肯定会需要确定大小,位置以及绘制的内容。对应的既是 onMeasure()、onLayout()和onDraw() 来看一张自...
博客
Android动态图片选择的一种简单实现方式
01-20 2246
很久没有更新博客了,以后还是决定每个月来更新一遍。本次到来的是一个常用的场景,比如我们在发朋友圈的时候,我们可以选择多张照片,也可以删除之前选择的,但是最多一般会有个上限,达到上限之后一般添加的就消失了。这里给出一个简单的实现思路。效果图我们还是先看看效果图 首先是没有图片的时候 然后我们选择两张图片选可以点图片右上交的×删除一张最后是选...
博客
关于MediaRecorder中的setAudioEncoder和setOutputFormat
11-19 7161
很久没有更新博客了,最近实习一直挺忙的。最近做的项目有关使用了录音类MediaRecorder。其中有个setAudioEncoder设置编解码器和setOutputFormat和输出格式。不太明白这之间有什么约束,但是总觉得不可能是随便设置的但是Google怎么都搜不到这方面相关的,于是去稍微了解了下编码解码器的区别以及它的输出容器。这里自己记录下,也方便大家有个了解。MediaRecorder
博客
第三方登录之支付宝登录
08-26 5242
公司一个需求让做一个支付宝的第三方登录,注意,是登录不是支付。也很简单,这里我自己记录下大家没有说的问题。首先,支付宝登录和其他第三方登录不太一样,相比麻烦一点。一般第三方登录我们用shareSDK就好,但是支付宝不行。查看官方文档,大部分就是去讲什么支付,没有怎么说怎么登陆。而且官方文档还有少许错误首先是我们先请求后台,给我们一个验证信息,我这里使用的网络请求框架是android-async-
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值