Cocos2d-x iOS游戏逆向分析实战

在移动游戏开发领域，Cocos2d-x 作为一款成熟的开源游戏引擎，被广泛应用于各类手游开发。然而，随着游戏安全需求的提升，对 Cocos2d-x 游戏的逆向分析也成为了安全研究人员和游戏开发者关注的重点。本文将深入剖析一个实际的 Cocos2d-x iOS 游戏逆向案例，分享完整的技术细节和实战经验。

一、目标分析：好友赛游戏

1.1 应用基本信息

应用名称：好友赛 (haoyousai)
Bundle ID：com.oedere.lid23
版本号：1.0 (Build 59)
目标平台：iOS 15.0+
CPU架构：arm64
游戏类型：棋牌类游戏

1.2 技术栈识别

通过静态分析和动态调试，我们识别出以下技术栈：

graph TDA[Cocos2d-x游戏引擎] --> B[JavaScriptCore脚本引擎]A --> C[OpenGL ES图形渲染]B --> D[JSC字节码预编译]B --> E[明文JS脚本]    F[游戏逻辑] --> G[房间管理]    F --> H[牌局处理]    F --> I[用户交互]

1.3 应用结构分析

haoyousai.app/├── haoyousai              # 主可执行文件 (15.9MB)├── Frameworks/           # 依赖框架├── script/              # 游戏脚本目录├── src/                 # 源代码目录├── res/                 # 资源文件├── project.json         # Cocos项目配置├── project.manifest     # 资源清单└── main.js             # 入口JS文件

二、逆向工具开发

cocos2dx_frida_toolkit.js

2.1 工具架构设计

我们开发了一个全面的 Frida 逆向分析工具，整体架构如下：

// 工具架构示意图class Cocos2dxFridaToolkit {// 1. 基础模块    - Helper Functions    - Configuration Manager    - Logger System// 2. 检测模块    - Cocos2dxDetector    - ScriptEngineDetector// 3. 分析模块    - LuaScriptAnalyzer    - JSScriptAnalyzer    - CocosGameAnalyzer// 4. 监控模块    - InputOutputMonitor    - PerformanceProfiler// 5. 控制模块    - ToolkitController    - RPC Exports}

2.2 关键技术实现

2.2.1 脚本引擎检测

class Cocos2dxDetector {// 检测Lua引擎detectLuaEngine() {const exports = ['luaL_loadbuffer', 'lua_pcall', 'lua_getglobal'];return this.findExportsInMainModule(exports);    }// 检测JavaScriptCoredetectJavaScriptCore() {const exports = ['JSEvaluateScript', 'JSObjectCallAsFunction'];return this.findExportsInMainModule(exports);    }// 检测SpiderMonkeydetectSpiderMonkey() {const exports = ['JS_EvaluateScript', 'JS_ExecuteScript'];return this.findExportsInMainModule(exports);    }// 检测Cocos JS绑定detectCocosBindings() {const patterns = ['jsb_', 'cocos2d::', 'ScriptingCore::'];return this.searchExportsByPattern(patterns);    }}

2.2.2 脚本拦截与解密

Lua脚本拦截：

class LuaScriptAnalyzer {    hookLuaFunctions() {// Hook luaL_loadbuffer 拦截Lua脚本加载        Interceptor.attach(Module.findExportByName(null, 'luaL_loadbuffer'), {            onEnter: function(args) {const buffer = args[1];  // 脚本缓冲区const size = args[2];    // 脚本大小const chunkname = args[3]; // 脚本名称// 提取并保存脚本this.scriptData = Memory.readByteArray(buffer, size);this.scriptName = Memory.readUtf8String(chunkname);            },            onLeave: function(retval) {if (this.scriptData) {this.saveLuaScript(this.scriptName, this.scriptData);                }            }        });    }}

JavaScript脚本拦截：

class JSScriptAnalyzer {    hookJavaScriptCore() {// Hook JSEvaluateScript 拦截JS执行        Interceptor.attach(Module.findExportByName('JavaScriptCore', 'JSEvaluateScript'), {            onEnter: function(args) {const script = args[1];  // JS脚本字符串const sourceURL = args[3]; // 源URL// 读取脚本内容const scriptStr = this.readJSString(script);const urlStr = this.readJSString(sourceURL);// 分析脚本内容this.analyzeJSScript(scriptStr, urlStr);            }        });    }// 读取JS字符串的辅助函数    readJSString(jsStringRef) {const size = this.JSStringGetMaximumUTF8CStringSize(jsStringRef);const buffer = Memory.alloc(size);this.JSStringGetUTF8CString(jsStringRef, buffer, size);return buffer.readUtf8String();    }}

2.3 性能优化与稳定性修复

在开发过程中，我们遇到了多个技术挑战并进行了优化：

2.3.1 超时崩溃问题修复

问题：原始实现中遍历所有模块导出和ObjC类，导致Frida超时。

解决方案：

// 优化前：遍历所有模块Process.enumerateModules().forEach(module => {module.enumerateExports().forEach(export => {// 处理每个导出    });});// 优化后：只扫描主模块const mainModule = Process.enumerateModules()[0];mainModule.enumerateExports().forEach(export => {// 只处理主模块导出});// 限制ObjC类遍历数量const maxHooksPerCategory = CONFIG.maxHooksPerCategory || 50;let hookCount = 0;for (let className in ObjC.classes) {if (hookCount >= maxHooksPerCategory) break;// 处理ObjC类    hookCount++;}

2.3.2 Hook稳定性修复

问题：尝试Hook数据符号地址导致崩溃。

解决方案：

function isExecutableAddress(address) {const range = Process.findRangeByAddress(address);return range && range.protection.includes('x');}function safeAttach(address, callbacks) {if (!isExecutableAddress(address)) {        logger.warn(`地址 ${address} 不可执行，跳过Hook`);return null;    }return Interceptor.attach(address, callbacks);}

2.3.3 ObjC桥接修复

问题：直接传递JS字符串给ObjC方法导致类型不匹配。

解决方案：

function nsStr(jsString) {// 使用NSString包装JS字符串return ObjC.classes.NSString.stringWithUTF8String_(jsString);}function createDir(path) {const fileManager = ObjC.classes.NSFileManager.defaultManager();const nsPath = nsStr(path);const errorPtr = Memory.alloc(Process.pointerSize);// 正确传递参数return fileManager.createDirectoryAtPath_withIntermediateDirectories_attributes_error_(        nsPath,1,  // YESNULL,        errorPtr    );}

三、原生Tweak开发：CardRecorder

3.1 设计思路

为了提供更稳定的游戏数据监控，我们开发了原生iOS Tweak，将关键功能从Frida脚本迁移到原生代码中。

3.2 核心实现

// CardRecorder.mm 核心代码分析// 1. JavaScriptCore C-API Hook__attribute__((constructor))staticvoidCardRecorderInit(void) {// 加载JavaScriptCore框架void *jscHandle = dlopen("/System/Library/Frameworks/JavaScriptCore.framework/JavaScriptCore", RTLD_NOW);// 获取JSEvaluateScript函数指针    JSEvaluateScript_t orig_JSEvaluateScript =         (JSEvaluateScript_t)dlsym(jscHandle, "JSEvaluateScript");// 使用MSHookFunction进行HookMSHookFunction(        (void *)orig_JSEvaluateScript,        (void *)hook_JSEvaluateScript,        (void **)&orig_JSEvaluateScript    );}// 2. Hook函数实现static JSValueRef hook_JSEvaluateScript(    JSContextRef ctx,    JSStringRef script,    JSObjectRef thisObject,    JSStringRef sourceURL,int startingLineNumber,    JSValueRef *exception){// 捕获JSContextif (ctx && !g_jsCtx) {        g_jsCtx = ctx;NSLog(@"[CardRecorder] 捕获JSContext: %p", ctx);    }// 检测游戏脚本if (!g_injected && script) {size_t maxSize = JSStringGetMaximumUTF8CStringSize(script);if (maxSize > 5000) {  // 只处理大型脚本char *buffer = (char *)malloc(maxSize);JSStringGetUTF8CString(script, buffer, maxSize);// 检测关键词"setRoomData"if (strstr(buffer, "setRoomData") != NULL) {NSLog(@"[CardRecorder] 检测到游戏脚本，准备注入监控代码");injectCardMonitor(ctx);            }free(buffer);        }    }// 调用原始函数return orig_JSEvaluateScript(ctx, script, thisObject, sourceURL, startingLineNumber, exception);}// 3. 监控代码注入staticvoidinjectCardMonitor(JSContextRef ctx) {constchar *monitorJS = "(function(){""  if(window.__cardHookInstalled) return;""  window.__cardHookInstalled = true;""  setInterval(function(){""    try {""      if(!iGame || !iGame.Data || !iGame.Data.roomData) return;""      var selfSeat = iGame.Data.getSelfSeatNo ? iGame.Data.getSelfSeatNo() : 0;""      var players = iGame.Data.roomData.players;""      var result = {self_seat: selfSeat, my_hold: [], players: []};""      players.forEach(function(p){""        if(p.seat_no === selfSeat){""          result.my_hold = (p.hold || []).filter(c => c > 0);""        }""        result.players.push({""          seat: p.seat_no,""          out: p.out || [],""          kou: p.kou || []""        });""      });""      window.__cardData = JSON.stringify(result);""    } catch(e){}""  }, 1000);""})();";// 在游戏JSContext中执行监控代码    JSStringRef jsStr = JSStringCreateWithUTF8CString(monitorJS);    JSValueRef exception = NULL;JSEvaluateScript(ctx, jsStr, NULL, NULL, 0, &exception);JSStringRelease(jsStr);}

3.3 数据采集与存储

// 定时数据采集static void startCardPolling(void) {    dispatch_source_t timer = dispatch_source_create(        DISPATCH_SOURCE_TYPE_TIMER, 0, 0, g_queue);    dispatch_source_set_timer(timer,        dispatch_time(DISPATCH_TIME_NOW, 1 * NSEC_PER_SEC),1 * NSEC_PER_SEC, 0);    dispatch_source_set_event_handler(timer, ^{if (!g_jsCtx || !g_injected) return;// 读取游戏数据NSString *cardData = evalInGameJS(g_jsCtx, "window.__cardData || """);if (cardData && ![cardData isEqualToString:g_lastCardData]) {            g_lastCardData = cardData;// 保存到文件            [self appendCardLog:cardData];        }    });    dispatch_resume(timer);}// 文件存储- (void)appendCardLog:(NSString *)json {NSString *docPath = NSSearchPathForDirectoriesInDomains(NSDocumentDirectory, NSUserDomainMask, YES).firstObject;NSString *logPath = [docPath stringByAppendingPathComponent:@"card_log.json"];NSFileManager *fm = [NSFileManager defaultManager];if (![fm fileExistsAtPath:logPath]) {        [fm createFileAtPath:logPath contents:nil attributes:nil];    }NSFileHandle *fh = [NSFileHandle fileHandleForWritingAtPath:logPath];    [fh seekToEndOfFile];    [fh writeData:[[json stringByAppendingString:@"\n"] dataUsingEncoding:NSUTF8StringEncoding]];    [fh closeFile];}

四、动态分析结果

4.1 脚本捕获与分析

通过我们的工具，成功捕获了以下关键脚本：

4.1.1 JSC字节码文件

scripts/├── G212.jsc_1774770976633.bin    # 游戏模块212 (101KB)├── G30.jsc_1774770909867.bin     # 游戏模块30 (29KB)├── SYG30.jsc_1774770968778.bin   # 系统模块30 (49KB)└── SYHall.jsc_1774770963515.bin  # 大厅模块 (584KB)

4.1.2 明文JS脚本

scripts/├── js_1774770963709.js          # 主游戏逻辑 (1.7MB)├── js_1774770976843.js          # 游戏模块 (302KB)├── js_1774770968967.js          # 系统模块 (147KB)└── 多个小型配置脚本 (88B-2KB)

4.2 游戏架构解析

通过分析捕获的脚本，我们还原了游戏的架构：

// 游戏全局对象结构window.iGame = {Data: {roomData: {players: [{seat_no: number,      // 座位号hold: number[],       // 手牌out: number[],        // 出牌kou: number[]         // 扣牌            }],room_id: string,          // 房间IDgame_type: number         // 游戏类型        },getSelfSeatNo: function() {   // 获取自己座位号return number;        },setRoomData: function(data) { // 设置房间数据// 游戏状态更新        }    },UI: {// UI相关方法    },Network: {// 网络通信方法    }};

4.3 游戏状态监控

我们的工具能够实时监控游戏状态：

{"timestamp":"2026-03-29T21:00:00Z","self_seat":1,"my_hold":[11,12,13,14,15],"players":[{"seat":1,"out":[21,22],"kou":[]},{"seat":2,"out":[31],"kou":[41,42]},{"seat":3,"out":[],"kou":[51]},{"seat":4,"out":[61,62,63],"kou":[]}]}

五、技术难点与解决方案

5.1 多脚本引擎支持

难点：Cocos2d-x支持多种脚本引擎（Lua、JavaScriptCore、SpiderMonkey）。

解决方案：

class ScriptEngineDetector {    detectAllEngines() {const engines = [];// 检测Luaif (this.detectLuaEngine()) {            engines.push({ type: 'lua', version: this.getLuaVersion() });        }// 检测JavaScriptCoreif (this.detectJavaScriptCore()) {            engines.push({ type: 'javascriptcore', version: this.getJSCVersion() });        }// 检测SpiderMonkeyif (this.detectSpiderMonkey()) {            engines.push({ type: 'spidermonkey', version: this.getSMVersion() });        }return engines;    }}

5.2 脚本加密与混淆

难点：游戏脚本可能被加密或混淆。

解决方案：

class ScriptDecryptor {    decryptScript(encryptedData, encryptionType) {        switch (encryptionType) {            case 'xor':return this.xorDecrypt(encryptedData, this.findXorKey());            case 'base64':return this.base64Decode(encryptedData);            case 'custom':return this.customDecrypt(encryptedData);            default:return encryptedData; // 可能未加密        }    }    xorDecrypt(data, key) {const decrypted = [];for (let i = 0; i < data.length; i++) {            decrypted.push(data[i] ^ key[i % key.length]);        }return Buffer.from(decrypted);    }    findXorKey() {// 通过模式识别或动态分析查找XOR密钥const commonPatterns = [            [0x73, 0x63, 0x72, 0x69, 0x70, 0x74], // "script"            [0x67, 0x61, 0x6D, 0x65],             // "game"            [0x63, 0x6F, 0x63, 0x6F, 0x73]        // "cocos"        ];// 尝试常见密钥for (const pattern of commonPatterns) {if (this.testXorKey(pattern)) {return pattern;            }        }// 动态分析查找return this.dynamicFindXorKey();    }}

5.3 性能与稳定性平衡

难点：Hook过多影响游戏性能，Hook过少无法获取足够信息。

解决方案：

class PerformanceOptimizer {constructor() {this.hookStats = {            totalHooks: 0,            activeHooks: 0,            performanceImpact: 0        };this.config = {            maxHooks: 200,            samplingRate: 0.1, // 10%采样率            enableLazyHook: true        };    }    shouldHookFunction(funcName, importance) {// 根据重要性决定是否Hookif (importance >= 0.8) return true; // 高重要性函数if (this.hookStats.totalHooks >= this.config.maxHooks) {return false; // 达到Hook上限        }// 使用采样率控制Hook数量if (Math.random() < this.config.samplingRate) {return true;        }return false;    }    lazyHook(address, callbacks, options = {}) {if (this.config.enableLazyHook && options.lazy) {// 延迟Hook，只在需要时激活return new LazyHook(address, callbacks);        } else {return Interceptor.attach(address, callbacks);        }    }}class LazyHook {constructor(address, callbacks) {this.address = address;this.callbacks = callbacks;this.active = false;this.interceptor = null;    }    activate() {if (!this.active) {this.interceptor = Interceptor.attach(this.address, this.callbacks);this.active = true;        }    }    deactivate() {if (this.active && this.interceptor) {this.interceptor.detach();this.active = false;        }    }}

六、实战应用场景

6.1 游戏逻辑分析

通过我们的工具，可以深入分析游戏的核心逻辑：

// 分析游戏状态机class GameStateAnalyzer {analyzeStateMachine() {const states = new Set();const transitions = [];// Hook状态切换函数Interceptor.attach(this.findFunction('changeGameState'), {onEnter: function(args) {const oldState = args[0];const newState = args[1];                states.add(oldState.toString());                states.add(newState.toString());                transitions.push({from: oldState.toString(),to: newState.toString(),timestamp: Date.now()                });            }        });return {states: Array.from(states),transitions: transitions,graph: this.generateStateGraph(transitions)        };    }}

6.2 网络协议分析

class NetworkProtocolAnalyzer {    analyzeNetworkProtocol() {// Hook网络发送函数        Interceptor.attach(Module.findExportByName(null, 'send'), {            onEnter: function(args) {const socket = args[0];const buffer = args[1];const length = args[2];const data = Memory.readByteArray(buffer, length);this.packet = {                    type: 'send',                    socket: socket,data: data,                    length: length,                    timestamp: Date.now()                };            },            onLeave: function(retval) {this.analyzePacket(this.packet);            }        });// Hook网络接收函数        Interceptor.attach(Module.findExportByName(null, 'recv'), {            onEnter: function(args) {const socket = args[0];const buffer = args[1];const length = args[2];this.socket = socket;this.buffer = buffer;this.length = length;            },            onLeave: function(retval) {if (retval > 0) {const data = Memory.readByteArray(this.buffer, retval);const packet = {                        type: 'recv',                        socket: this.socket,data: data,                        length: retval,                        timestamp: Date.now()                    };this.analyzePacket(packet);                }            }        });    }    analyzePacket(packet) {// 协议解析逻辑const header = packet.data.slice(0, 4);const body = packet.data.slice(4);        console.log(`[Network] ${packet.type} packet:`, {            length: packet.length,            header: header.toString('hex'),            bodyLength: body.length        });    }}

6.3 自动化测试框架

class AutomatedTestFramework {constructor() {this.testCases = [];this.results = [];    }addTestCase(name, setup, execute, verify) {this.testCases.push({name: name,setup: setup,execute: execute,verify: verify,status: 'pending'        });    }runTests() {console.log(`开始执行 ${this.testCases.length} 个测试用例`);this.testCases.forEach((testCase, index) => {console.log(`[${index + 1}/${this.testCases.length}] 执行测试: ${testCase.name}`);try {// 执行测试const context = testCase.setup();const result = testCase.execute(context);const passed = testCase.verify(result);                testCase.status = passed ? 'passed' : 'failed';                testCase.result = result;console.log(`  ✓ 测试 ${testCase.name}: ${passed ? '通过' : '失败'}`);            } catch (error) {                testCase.status = 'error';                testCase.error = error.message;console.log(`  ✗ 测试 ${testCase.name}: 错误 - ${error.message}`);            }        });return this.generateReport();    }generateReport() {const passed = this.testCases.filter(tc => tc.status === 'passed').length;const failed = this.testCases.filter(tc => tc.status === 'failed').length;const errors = this.testCases.filter(tc => tc.status === 'error').length;return {summary: {total: this.testCases.length,passed: passed,failed: failed,errors: errors,successRate: (passed / this.testCases.length * 100).toFixed(2) + '%'            },details: this.testCases.map(tc => ({name: tc.name,status: tc.status,result: tc.result,error: tc.error            }))        };    }}

七、安全防护建议

7.1 针对逆向分析的防护措施

基于我们的逆向经验，为游戏开发者提供以下防护建议：

// 1. 代码混淆class CodeObfuscator {    obfuscateJavaScript(code) {// 变量名混淆        code = this.renameVariables(code);// 控制流扁平化        code = this.flattenControlFlow(code);// 字符串加密        code = this.encryptStrings(code);// 死代码插入        code = this.insertDeadCode(code);return code;    }}// 2. 反调试检测class AntiDebugDetector {    checkDebuggers() {const checks = [this.checkFrida(),this.checkPtrace(),this.checkSysctl(),this.checkExceptionPorts()        ];return checks.some(check => check === true);    }    checkFrida() {// 检测Frida特征const fridaSignatures = ['frida-agent','gum-js-loop','libfrida'        ];const modules = Process.enumerateModules();return modules.some(module => {return fridaSignatures.some(sig =>                 module.name.includes(sig) || module.path.includes(sig)            );        });    }}// 3. 运行时完整性校验class IntegrityChecker {    verifyIntegrity() {// 校验代码段完整性const textSegment = Process.getModuleByName('haoyousai');const expectedHash = this.calculateHash(textSegment.base, textSegment.size);const actualHash = this.readStoredHash();if (expectedHash !== actualHash) {this.handleTamperingDetected();        }// 校验关键函数this.verifyCriticalFunctions();    }}

7.2 数据加密建议

// 使用强加密保护敏感数据class DataProtector {    encryptGameData(data, key) {// 使用AES-GCM加密const iv = crypto.randomBytes(12);const cipher = crypto.createCipheriv('aes-256-gcm', key, iv);const encrypted = Buffer.concat([            cipher.update(data),            cipher.final()        ]);const authTag = cipher.getAuthTag();return {            iv: iv.toString('hex'),data: encrypted.toString('hex'),            tag: authTag.toString('hex')        };    }    decryptGameData(encrypted, key) {const iv = Buffer.from(encrypted.iv, 'hex');const data = Buffer.from(encrypted.data, 'hex');const tag = Buffer.from(encrypted.tag, 'hex');const decipher = crypto.createDecipheriv('aes-256-gcm', key, iv);        decipher.setAuthTag(tag);return Buffer.concat([            decipher.update(data),            decipher.final()        ]);    }}