实现环境:Unity 5.4.6f3 (64-bit)
需求背景
刚完成一项任务:增加垃圾代码并调用,这个需求是为了出马甲包。
增加垃圾代码我们借助了一个第三方插件,叫Beebyte.Obfuscator,它实现了代码混淆,并且可以根据当前脚本内的函数创建一些“与之类似”无用函数。
垃圾代码好加,但是要调用就比较麻烦了。有以下几个问题:
- 垃圾代码是随机生成的,名字也是乱七八糟,不可能手写调用(并且垃圾代码是打包时直接注入到DLL的,根本没机会手写)
- 加入调用的目的是改变代码的执行(静态),因此反射这一秘法也被封印
综上,要完成需求只能采用“动态的静态方式”,是不是很凌乱……刚分析完需求我是一脸懵,不过后来想到了Obfuscator实现的方式:直接修改DLL里的IL代码,这里就祭出了Cecil神器。
调用方案
最核心的问题如何调用解决了,但并不是万事大吉,还有一些问题需要考虑:
- Obfuscator生成的垃圾函数是与真实函数相似的,那么其实可能含有一些逻辑,随便调用很可能会报错
- 垃圾函数的参数列表也是各式各样,安全调用需要费一番功夫
- 胡乱调用一些垃圾代码,即使不出错,性能上也会受到一定的影响
跟需求方讨论下来,调用不需要做的很复杂,于是出了一个简单的方案:
创建一个“无用”脚本,把要调用的垃圾代码都放在这里。里面要手写一批函数,作为模板让Obfuscator再随机创建一批垃圾代码。考虑到性能问题,这里的函数实现都很简单,没有复杂计算、没有Log输出、没有字符串处理。
而调用处,目前在GameManager中定义了一个函数,作为垃圾代码的调用入口,这样正式代码受到的影响最小。
注入实现
public static void FakeInject(string assemblyPath)
{
// 注入调用的方法(调用入口放在GameManager中)
MethodInfo inject = typeof(GameManager).GetMethod("FakeCall", BindingFlags.NonPublic | BindingFlags.Static);
using (FileStream stream = new FileStream(assemblyPath, FileMode.Open))
{
AssemblyDefinition assembly = AssemblyDefinition.ReadAssembly(stream);
// 只调用FakeMethods类里的Fake方法
TypeDefinition fakeDef = assembly.MainModule.GetType("FakeMethods");
// 相同参数要打出相同的包
Random.InitState(_options.sha1seed.GetHashCode());
foreach (var method in fakeDef.Methods)
{
// 特殊函数不能调用,比如.ctor
if (method.IsSpecialName || method.IsRuntimeSpecialName) continue;
if (Random.Range(0, 100) > 50)
{
InjectMethodCall(assembly, inject, method.GetElementMethod());
}
}
stream.Seek(0, SeekOrigin.Begin);
assembly.Write(stream);
}
}
public static void InjectMethodCall(AssemblyDefinition assembly, MethodInfo inject, MethodReference patchCall)
{
TypeDefinition injectType = assembly.MainModule.GetType(inject.DeclaringType.FullName);
foreach (MethodDefinition method in injectType.Methods)
{
if (method.Name == inject.Name)
{
InjectMethodCall(method, patchCall);
break;
}
}
}
private const string Void = "System.Void";
/// <summary>
/// 在目标函数的开头,注入函数调用(无参、静态)
/// </summary>
/// <param name="injectMethod">要注入的方法</param>
/// <param name="callMethod">被调用的方法</param>
private static void InjectMethodCall(MethodDefinition injectMethod, MethodReference callMethod)
{
Instruction firstIns = injectMethod.Body.Instructions.First();
ILProcessor worker = injectMethod.Body.GetILProcessor();
Instruction insert = worker.Create(OpCodes.Call, callMethod);
worker.InsertBefore(firstIns, insert);
if (callMethod.ReturnType.ToString() != Void)
{
worker.InsertAfter(insert, Instruction.Create(OpCodes.Pop));
}
}
有几个地方稍微说下
保存修改的DLL
我开始试了网上直接给AssemblyDefinition传路径的方式读写DLL,总是报错。报错的大意是,DLL被占用了无法修改。经过一番胡乱尝试只找到这一种可行方式:自己创建好文件流,用AssemblyDefinition.ReadAssembly读入信息,在注入操作完毕后,将文件指针指向文件头,然后覆盖写入。
有无返回值的差别
IL层面,如果不用函数返回值的话,需要在函数调用后面,将返回值出栈。这里就需要判断哪些函数有返回值,实在没想到啥好方法,只能用名字判断了……
注入时机
注入要在打包编译好DLL后执行,这里Unity提供了一个回调[PostProcessScene(2)],场景处理后可以执行我们的注入了。这里又有两个问题:
- 如果项目是多场景的,那么这个回调会多次走到,因此需要自己去重。
- 我的调用是依赖Obfuscator混淆结果的,因此需要在Obfuscator混淆结束后才执行,所以这里传入的优先级2。
[2019-7-16 修改]
实现环境:Unity 2018.4.1f1 (64-bit)
Unity2018好像多了一些库的引用,导致修改DLL后会出现找不到引用的报错,这里给出修改方案:
HashSet<string> extraAsmRefDirs = new HashSet<string>();
#if UNITY_2017_3_OR_NEWER
extraAsmRefDirs.UnionWith(AssemblyReferenceLocator.GetAssemblyReferenceDirectories());
#endif
DefaultAssemblyResolver assemblyResolver = new DefaultAssemblyResolver();
foreach (string path in extraAsmRefDirs)
assemblyResolver.AddSearchDirectory(path);
ReaderParameters readParams = new ReaderParameters
{
AssemblyResolver = assemblyResolver,
};
// 加载Assembly
AssemblyDefinition assembly = AssemblyDefinition.ReadAssembly(stream, readParams);
这里的代码替换上面加载程序集的地方:
AssemblyDefinition assembly = AssemblyDefinition.ReadAssembly(stream);
