Arcaea 的一些破解记录

免责声明：本博文相关内容已涉及 lowiro 的实际利益。本博文内容仅用于个人软件安全研究与学习。请勿将博文内容用于商业或者非法用途，如果阁下愿意继续阅读，请您承诺将为自己的全部行为负责。

出处

本文基于Arcaea 3.7.0c（及以前的）（或许还会有以后的）版本，arm64-v8a

一些功能&快捷键：

咕

咕

咕

众所周知，gdb是一个功能强大的调试器，我们可以用它来调试native层的程序

首先，最好不要用Windows，坑太多了（如果你成功了请教教我）

我们可以用WSL+Ubuntu，以下内容皆基于此基础展开`

由于目标是aarch64架构，所以需要多架构的gdb（这也就是不用Windows的原因）。执行sudo apt install gdb-multiarch，随后执行gdb-multiarch以确定安装成功

gdbserver可以在Android NDK的prebuilt/android-arm64/gdbserver/目录下找到，也可以用我上传的版本（gdbserver 7.11 for arm64，来自NDK 19c for linux）

把gdbserver丢到/data/local/tmp/目录下，赋予777权限

手机端打开arc、usb调试开关

（adb可以用Windows上的）使用adb连接手机（有线/无线），输入adb forward tcp:23946 tcp:23946

进入shell（adb shell），切换root(su)

执行pid=`ps | grep moe | awk '{print $2}'`;echo $pid，得到的数字即为arc的PID（在一些设备上，ps要改为ps -A）

执行cat /proc/$pid/maps | grep cocos | grep '[0-9a-f]*' -o | sed -n '1,1p'，得到一个16进制数（形如7f68dcd000），把他丢python里，记为base_addr，这就是so文件的基址[需要验证]

执行/data/local/tmp/gdbserver :23946 --attach $pid，开启gdb服务端

一行版，用于开始程序后立刻attach：pkg="moe.low.arc";killall $pkg;am start -W $pkg/low.moe.AppActivity>/dev/null;pid=`pidof $pkg`;cat /proc/$pid/maps | grep cocos | grep '[0-9a-f]*' -o | sed -n '1,1p';/data/local/tmp/gdbserver :23946 --attach $pid

（注意：上述命令可能因环境不同而变化，请按需更改！）

打开gdb-multiarch，输入target remot localhost:23946，等待gdb加载（中途的分页按c以继续）

加载完成后，光标停留在(gdb)后面，此时可以输入指令

进程暂停时输入c以恢复进程运行，进程运行时输入Ctrl+C以暂停进程

在IDA找到你需要下断点的位置（形如0x1F3FF），记作offset，进入python，执行base_addr+offset，得到一个十进制数（形如547220276223），回到gdb输入b *547220276223（得到的十进制数）下断点

输入i reg可以查看寄存器的值，如果想查看含向量寄存器和浮点寄存器的值，则需要使用i all-reg

用ni替代n，用si替代s来步进

更多用法可参考其它教程，比如这篇

需要Xposed框架（作用域：Android系统），用于绕过签名、版本校验（可以直接安装签名错误或没有签名的apk）

下载地址：

咕

咕

警告：本表可能存在问题，如发现问题请提Issue

（原版来自西城飘雪的博客）