Axie Infinity
众所周知,阿蟹【Axie Infinity】是去年最火的一款GameFi游戏,由越南团队Sky Mavis开发,短短几个月内就红遍东南亚,最大市场在菲律宾,其次是越南、马来西亚、印尼与美国等。
去年6月,该游戏单日平均收入就和《王者荣耀》并列全球第一;去年7月近30日平均收入也有3.34亿美元,超过王者荣耀2.31亿美元,拿下宝座。
自疫情以来,东南亚经济深受打击,菲律宾有高达730万人失业,马来西亚失业率也创1993年以来高峰,失业族群更遍及各领域:大学应届毕业生、三轮车司机,以及到海外当移工赚钱的人士。当他们因封城或无法出国失去收入,能在线上赚钱的Axie自然成最好机会,让游戏迅速走红。
但随着潮水和泡沫的褪去,从去年12开始GameFi板块的全面暴跌,我们应该谨慎对待P2E链游,小小娱乐即可,切勿投入过多,毕竟风险巨大。
模拟器检测
阿蟹【Axie Infinity】官方提供的Android APK在PC端的Android模拟器上无法正常运行,相信我们大家已经发现了。以雷电模拟器为例,安装后运行,屏幕一片空白。
首先想到的是可能官方做了模拟器检测。
我们查看APK的lib目录,果然看到了【libemulator_check.so】这样明显用于模拟器检测的库。可见官方也是下了一定的工夫,在本机代码层做了检测,而不仅仅是在Java代码层来做检测,这样仅仅凭借Xposed之类的Java层Hook技术就很难搞定了。
但无论他的【libemulator_check.so】如何检测,哪怕他用了无数种检测手段,哪怕这个.so他再使用vmp加壳,但只要我想办法让他的Java代码不去调用【libemulator_check.so】不就行了吗?
一番研究和搜索,发现这个【libemulator_check.so】实际上来自一个开源项目:
https://github.com/happylishang/AntiFakerAndroidChecker
果然,使用【jadx】反编译后,我们看到它Java代码中调用了
EmulatorDetectUtil.isEmulator(context);
进行模拟器检测,于是我们通过【apktool】对其反编译后,修改smali代码,去掉这些调用,然后重新打包。
可是,悲剧的事情发生了,我们重新打包后APK无法运行了,哪怕是在正常的小米手机真机上也无法运行了,看来它除了做模拟器检测,还做了签名校验。
果不其然,我们在反编译的代码中发现他在【libglvnftpb.so】中做了签名校验的事情
不过对于签名校验的破解,我们有万能的大杀器:
当然我们也可以不重新打包他的APK,而是直接通过Xposed来Hook【 EmulatorDetectUtil.isEmulator()】
不过最后搞了一通,我们还是失败了,游戏在模拟上运行还是一片空白。
于是我们直接在反编译的代码中搜索【System.loadLibrary】看它究竟加载了哪些so
至此我们发现了【C0010.m9(485)】这个神奇的函数,这个函数来自于【libglvnftpb.so】的本机代码。
好家伙,我们发现他为数不多的Java代码居然调用了【C0010.m9】这个函数多达531次!原来他是把整个APK的Java代码部分所需要的字符串,全部压缩放到了【libglvnftpb.so】里,APP运行起来后,会通过System.loadLibrary(“glvnftpb”);
加载【libglvnftpb.so】,这个时候【libglvnftpb.so】会进行签名校验、模拟器检测等操作,自检通过以后,这些字符串才会释放到内存中,接下来调用【libglvnftpb.so】的【C0010.m9】方法,传递不同的数字以查表的方式获取正确的字符串。
那么如果仅仅是把【libglvnftpb.so】干掉,让它不加载【libglvnftpb.so】那是不行的,因为整个APP的Java代码到处都在依赖【libglvnftpb.so】的【C0010.m9】以获取必须的字符串。
解决思路
可以从两条路子下手:
- 先把原版【Axie Infinity】在Android真机上跑起来,然后借助frida,编写脚本,反复调用【C0010.m9】并枚举int参数,把其内部的所有字符串和int值的对应关系一一套出来,然后编写一个【libglvnftpb.so】替换它,当然我们自己编写的【libglvnftpb.so】不做任何检测动作,直接返回正确的字符串。当然,这还有很多细节需要处理。
- 收集老版本的APK,这点对于游戏APP逆向来说非常重要,如果你关注一个游戏APP,最好写个脚本从一开始就盯着官方的每一个新版本的发布,尽可能搜集多的老版本APK。因为官方和工作室做对抗,也是循序渐进的,在【Axie Infinity】较早的时候,不仅没有做模拟器检测和签名校验,甚至连其il2cpp代码都是未做混淆的,所有函数和变量一目了然,但是随着官方和工作室对抗了近一年之久,各种检测和混淆手段层出不穷。收集尽可能多的历史版本,我们可以对比两个连续的新旧版本之间的差异,比较容易的发现官方做了哪些改动。同理,解决模拟器检测的另一个思路就是,我们仍然使用老版本的Java代码,但整合新版本的unity文件,老版本用于启动unity环境的Java代码可是没有调用so做模拟器检测的,同时游戏类APP每个新版本的改动主要还是其中的unity文件,这样套用以后使得APP的Java代码不做模拟器检测,但是unity却是最新版本,可以正常游戏。当然这取决于APP的具体实现,好在【Axie Infinity】的检测逻辑基本都在so中,而游戏逻辑全在【libil2cpp.so】中,至于Java部分,新老版本变化不大,使得我们做新老套用成为可能。
修改版
由于时间精力有限以及其它一些原因,我们暂时不能详细给出修改阿蟹【Axie Infinity】模拟器检测的具体步骤和代码,所以目前先给出一个修改好的APK文件,并且会随着官方新版本的更新而更新,目前修改版的APK可以到这里下载(右侧的【Releases】处下载):
https://github.com/encoderlee/cracked_axie_infinity
运行效果
目前最新的1.1.3.3版本在雷电模拟器中运行的效果
一些好的开源项目
在实现了在雷电模拟器上运行以后,我们很容易在一台电脑上多开N个号,并且给每个客户端设置不同的代理,同时我们也可以借助以下开源项目,实现Android设备的自动化,从而实现一些自动化操作:
Android自动化测试工具:https://github.com/openatx/uiautomator2 网易开发的手游自动化测试工具:https://airtest.netease.com