是时候，换个姿势关注TA
关注 功能升级，收割　TA 的最新动态
扫我下载最新九游APP
查看: 7591|回复: 6
Lv7略有小成
最后登录积分2025精华0帖子
Lv7略有小成, 经验 2025, 距离下一级还需 975 经验
本帖最后由
04:01 编辑
这是修改神庙逃亡类游戏的教程，其实全部游戏修改都差不多一样。。每个游戏修改只要输入你要修改的代码，然后替换就行啦，好了不多说直接上图说话吧运行烧饼修改器要手机先root，去下载百度一键root就行了，看了有帮助的就顶下
(106.84 KB, 下载次数: 73)
03:34 上传
点击文件名下载附件
首先从桌面打开烧饼修改器，从这里进入游戏。。。
(86.48 KB, 下载次数: 32)
03:37 上传
点击文件名下载附件
第二步暂停游戏，将得分和金币数输入烧饼的搜索框，一定要用联合搜索才行哦！ ...
(74.71 KB, 下载次数: 15)
03:41 上传
点击文件名下载附件
搜索到后点全选，如果没有出现这画面就是搜索出误，可能你输入的代码有错， ...
(75.51 KB, 下载次数: 2)
03:44 上传
点击文件名下载附件
然后输入你希望修改的任意数字。。。。
(112.57 KB, 下载次数: 35)
03:55 上传
点击文件名下载附件
修改成功后，继续游戏，过几秒就会出现神奇的事了。。。
Lv7略有小成
最后登录积分2025精华0帖子
Lv7略有小成, 经验 2025, 距离下一级还需 975 经验
{:3_45:}没人！？
Lv7略有小成
最后登录积分2025精华0帖子
Lv7略有小成, 经验 2025, 距离下一级还需 975 经验
这么辛苦上传的图片，会了顶下呗
Lv7略有小成
最后登录积分2025精华0帖子
Lv7略有小成, 经验 2025, 距离下一级还需 975 经验
这么就沉了？
Lv16炉火纯青
最后登录积分18576精华0帖子
Lv16炉火纯青, 经验 18576, 距离下一级还需 1424 经验
Lv1新手上路
最后登录积分0精华0帖子
Lv1新手上路, 经验 0, 距离下一级还需 200 经验
Lv2初学乍练
最后登录积分240精华0帖子
Lv2初学乍练, 经验 240, 距离下一级还需 160 经验
试过，没反应没成功
安卓平台下载
苹果平台下载为什么我用烧饼修改器改游戏时说‘客户端与服务器不同步’
不同步 是因为客户端的版本跟服务器的版本不一致导致的。更新一下就好。
目前还没有这种工具的
我现在知道了,只要你在电脑上改一下你的登录设置,不用设在不同电脑或者设备上登录时要输验证码的设置
那个游戏有加密，你换个修改器，活着下载16位进制器，修改数据，网上都有教程
答: 凤凰网是中国领先的综合门户网站，提供含文图音视频的全方位综合新闻资讯、深度访谈、观点 真相比眼泪重要，尊严比煽情重要，239条生命不该为你的秘密陪葬。
答: 论坛上的。
答: 论坛上的。
大家还关注
Copyright &
Corporation, All Rights Reserved
确定举报此问题
举报原因(必选)：
广告或垃圾信息
激进时政或意识形态话题
不雅词句或人身攻击
侵犯他人隐私
其它违法和不良信息
报告，这不是个问题
报告原因(必选)：
这不是个问题
这个问题分类似乎错了
这个不是我熟悉的地区
相关问答：123456789101112131415后使用快捷导航没有帐号？
查看: 71332|回复: 24
新人欢迎积分4 阅读权限255积分96934精华30UID50594帖子金钱218023 威望13
作为一个编鸡，我的目标是至少搞...
UID50594帖子威望13 多玩草10198 草
一、 烧饼安装教程：
——————————————
二、如何修改金币、属性等数值？
教程如下：
1、下载烧饼游戏修改工具（）（或者其他游戏修改工具）
22:28:26 上传
本次修改已【找你妹2】为例，其他游戏方法类似——
2、进入游戏，打开商城，如图，共有500金币。
22:28:26 上传
3、使用HOME打开烧饼工具，选择修改【找你妹2】
22:28:26 上传
4、输入500金币，点击搜索
22:28:26 上传
5、找到数值后，数值比较多，让我们点击继续搜索
22:28:26 上传
6、进入游戏，消耗掉200金币（随便购买道具）
22:28:27 上传
7、点击HOME键，切换到烧饼修改工具。输入300金币，点击搜索
22:28:27 上传
8、上下最后一个数值啦！这就是我们要修改的金币了！
然后，我们
①勾选这个数值
②修改数字，比如
③确定修改
22:28:27 上传
9、然后回到游戏即可。
10、虽然找你妹2会提示我们作弊了，但是没有关系。退出游戏重新进入即可。（大部分单机不会提醒）
22:28:27 上传
本帖最后由 、灵魂 于
20:50 编辑
［?在淌血 ］
新人欢迎积分1 阅读权限105积分125140精华0UID帖子金钱144171 威望205
［害人害己的家伙？］ ... ...
Lv.12, 积分 125140, 距离下一级还需 9860 积分
UID帖子威望205 多玩草460 草
新人欢迎积分0 阅读权限1积分16精华0UID帖子金钱5 威望0
UID帖子威望0 多玩草0 草
新人欢迎积分1 阅读权限1积分19精华0UID帖子金钱222 威望0
UID帖子威望0 多玩草0 草
连网的游戏能修改吗？
人头看淡丶不服来干
新人欢迎积分1 阅读权限80积分12907精华0UID帖子金钱34453 威望0
Lv.8, 积分 12907, 距离下一级还需 7093 积分
UID帖子威望0 多玩草80 草
這個和八門神氣是一樣的嗎？
專門吸人品！
新人欢迎积分0 阅读权限1积分1精华0UID帖子金钱6 威望0
UID帖子威望0 多玩草0 草
顶。。。。。
新人欢迎积分0 阅读权限1积分5精华0UID帖子金钱0 威望0
UID帖子威望0 多玩草0 草
谢谢楼主分享，非常有用。
新人欢迎积分1 阅读权限1积分68精华0UID帖子金钱306 威望0
UID帖子威望0 多玩草0 草
需要越狱不？
服务器：弗雷尔卓德
游戏ID：如若挽歌丶
她还没有牵手的人
　　晓可爱o''o
新人欢迎积分1 阅读权限99积分41884精华0UID帖子金钱49638 威望10
　　　　　　　　　　　　　　　　　　　　　　伤心旳乆别听慢歌
Lv.10, 积分 41884, 距离下一级还需 13116 积分
UID帖子威望10 多玩草484 草
不错的赶脚& && && && &
新人欢迎积分0 阅读权限30积分93精华0UID6437807帖子金钱121 威望0
Lv.3, 积分 93, 距离下一级还需 157 积分
UID6437807帖子威望0 多玩草10 草
请问我都照着步骤修改了，进入游戏，那个数值却没有更新呢？是单机的游戏
新人欢迎积分0 阅读权限1积分5精华0UID帖子金钱0 威望0
UID帖子威望0 多玩草0 草
ios1.7版本没有用，求教！！
新人欢迎积分0 阅读权限1积分5精华0UID帖子金钱0 威望0
UID帖子威望0 多玩草0 草
版主，冰雪奇缘1.7版本iOS无效
新人欢迎积分0 阅读权限1积分52精华0UID帖子金钱26 威望0
UID帖子威望0 多玩草0 草
感谢分享引用
新人欢迎积分0 阅读权限1积分7精华0UID帖子金钱36 威望0
UID帖子威望0 多玩草0 草
一定要越狱吗
新人欢迎积分0 阅读权限1积分7精华0UID帖子金钱2 威望0
UID帖子威望0 多玩草0 草
谢谢分享。。。。。。。。。。。。。
漂浮者勋章
漂浮者勋章
中级人缘勋章
中级人缘勋章
剑三功勋勋章
剑三功勋勋章
爱情守望者
爱情守望者
马年新春勋章
手机APP马年迎春，马上有钱！
元宝专属一阶勋章。已绝版
好丽友，一起走
贴图新苗勋章
贴图新苗勋章
YY论坛外管
YY论坛外管
5153活动勋章
我去5153探探路
贴图萌勋章
贴图萌勋章
YY知道达人
YY知道达人
风雨同舟勋章
一路有你，多玩更精彩
活动奖励勋章
活动奖励勋章
阳光热情勋章
阳光热情勋章
节日守望者
节日守望者
话题王小红花
话题王小红花
美图特工队
美图特工队
初级在线标兵
论坛在线时间达1000小时即可申请
需要金钱：1100
手机盒子客户端点击或扫描下载
Powered by关于烧饼游戏修改器的分析 - -Vi - 博客园
　　烧饼游戏修改器是一款元老级的游戏修改器，提供了精确搜索、模糊搜索、联合搜索、数据过滤、存储搜索与读取搜索等功能。主要实现搜索手机进程的内存数据并做相应修改。
　　本文中分析的版本为2.0.2(34)，SDK:8，TargetSDK：17，代码经过混淆，修改器基本使用方法为输入需要修改的数据进行查询，查询结果少则可直接修改，查询结果多则需要返回游戏，使想修改的数据发生变化后再次搜索，最后根据数据变化偏移找到需要修改的地址。输入想要修改成的数据即可修改。
　　本程序测试机为LG Nexus 5，版本为Android 4.4，运行程序前需先root手机。
　　系统环境：Java 1.8.0_92 ，Android Debug Bridge version 1.0.36
　　使用工具：AndroidKiller、JEB、Eclipse、IDA
二、详细分析
2.1 关于smali注入代码的说明
　　为了便于分析，本文中涉及向工程中注入smali代码并重新打包运行，对常用的注入代码做如下说明。其中使用到的寄存器vn要根据实际代码使用的寄存器个数来做相应修改。如图2-1中的run()中&.locals 5&申明使用了5个寄存器，即v0~v4，如果我们需要插入一条日志信息，为了不影响原来代码的执行，需要自己增加一个寄存器v5，先将&.locals 5&变成&.locals 6&，再用v5来保存日志信息。
图2-1 Smali代码中对寄存器的说明
2.1.1 log信息输出
const-string vn, "提示语"
invoke-static {vn}, Lcom/android/killer/L-&LogStr(Ljava/lang/S)V
图2-2 Log信息输出
2.1.2 打印字符型数据
const-string vn, "string数据"
invoke-static {vn, v1}, Landroid/util/L-&v(Ljava/lang/SLjava/lang/S)I
图2-3 打印字符数据
2.1.3 打印整型数据
const-string vn, "int数据"
invoke-static {v1}, Ljava/lang/I-&toString(I)Ljava/lang/S
move-result-object v(n+1)
invoke-static {vn, v(n+1)},Landroid/util/L-&v(Ljava/lang/SLjava/lang/S)I
图2-4 打印整型数据
2.1.4 打印boolean型数据
const-string vx, "boolean数据"
invoke-static {p1}, Ljava/lang/B-&toString(Z)Ljava/lang/S
move-result-object v(x+1)
invoke-static {vx, v(x+1)}, Landroid/util/L-&v(Ljava/lang/SLjava/lang/S)I
图2-5 打印boolean型数据
2.1.5 栈追踪
new-instance vn, Ljava/lang/E
const-string v(n+1),"这里是 trace"
invoke-direct{vn,v(n+1)},Ljava/lang/E-&&init&(Ljava/lang/S)V
invoke-virtual{v(n+1)},Ljava/lang/E-&printStackTrace()V
图2-6 栈追踪
2.1.6 toast输出
const-string v0, "这里是Toast输出"
const/4 v1, 0x1
invoke-static {p0, v0, v1}, Landroid/widget/T-&makeText(Landroid/content/CLjava/lang/CharSI)Landroid/widget/T
move-result-object v0
invoke-virtual {v0}, Landroid/widget/T-&show()V
图2-7 Toast输出
2.1.7 加载so库
const-string v0, "这里是Toast输出"
const/4 v1, 0x1
invoke-static {p0, v0, v1}, Landroid/widget/T-&makeText(Landroid/content/CLjava/lang/CharSI)Landroid/widget/T
move-result-object v0
invoke-virtual {v0}, Landroid/widget/T-&show()V
图2-8 加载so库
2.2 Java层代码分析
2.2.1 加载的so文件
　　用AndroidKiller打开该apk，得到反编译之后的工程，如图2-9。
图2-9 反编译之后的apk工程目录
　　查看AndroidMainfest.xml，如图2-10，可以看到应用程序包名为&org.sbtools.gamehack&，程序主活动为&MainActivity&，还可以看到服务名为&org.sbtools.gamehack.sesrvice.FlowServ&。
图2-10 AndroidMainfest.xml
　　找到MainActivity.smali，其中onCreate方法如图2-11，在做一些布局工作后调用了a()，a()方法如图2-12，其主要工作为启用Instrumentation，通过Instrumentation框架，可以在主程序启动之前，创建模拟的系统对象，如Context；控制应用程序的多个生命周期；发送UI事件给应用程序；在执行期间检查程序状态等。从AndroidMainfest.xml中可以知道Instrumentation对应的方法为org.sbtools.gamehack.GameInstrumention。在Instrumentation中启用了服务，如图2-13。
图2-11 MainActivity.onCreate()
图2-12 MainActivity.a()
&图2-13 启动服务
　　在FlowServ中，发现该方法加载了Libencode.so，而在该方法中我们可以找到decode被声明为native（图2-14），想必能用到这个decode的地方一定是关键之处，于是在工程里搜索decode，发现在/d/i.smali中用到了decode，而decode上面出现了两个可疑文件（图2-15）。在工程中注入代码打印出string v1，打开eclipse， 在DDMS中打印出如图2-16的信息，可知将路径&/data/data/org.sbtools.gamehack/files/hack&和&/data/data/
org.sbtools.gamehack/files/gamehack&作为参数传给了decode()，随后在该类的a方法中运行了hack文件（图2-17），运行之后将该文件删除（图2-15）。
图2-14 Native程序加载
图2-15 调用decode的地方
图2-16 获取的path
图2-17 给hack文件赋予root权限
　　这里的gamehack文件笔者未找到，IDA调试程序安装时显示Libdecode.so加载失败，因此按逻辑图2-7中的decode()执行失败，后面的hack文件不能执行，但以附加方式调试代码时候hack文件确实已经执行了，观察smali代码反应JEB翻译的java逻辑没有问题，猜测程序采用了一些反调试的手段，具体原因还待考究。
2.2.2 Socket消息传送
　　打开该程序，搜索界面和搜索结果界面如图2-18、图2-19，我们有多种方法来了解执行搜索时候java层的执行逻辑，比如在AndroidKiller中搜索字符串&搜索&，找到其ID，逐层分析其流程，或从搜索结果入手，搜索找到&共搜索到%ld个数值，请选择修改&出现的地方，然后利用再smali代码中添加栈回溯语句来查看栈调用顺序。
图2-18 搜索界面
图2-19 搜索结果页面
　　最后我们在ah类中找到程序对搜索消息的的设置（图2-20），最后发送的数据为&s [要搜索的数据] 标志位 0&，其中s表示正在进行搜索操作，当输入的搜索数据合法时，标志位为1。我们在这个方法中注入代码打印出发送的消息，发送的消息如图2-21所示。
图2-20 设置搜索消息
图2-21 发送的消息
　　那么现在问题来了，这些消息发送给了谁？又是谁来接收这些搜索指令呢？分析到这里，之前提到的hack文件的功能就可想而知了。
2.3 Hack文件分析
2.3.1 获取hack文件
　　那么这个hack文件具体做了些什么呢？为了进一步分析我们需要先提取该hack文件。打开adb shell，进入该文件所在目录，但是ls命令并未查看到，文件显然已经被删掉了。（图2-22）
图2-22 adb shell未查找到文件
　　此时我们有两种方法来找到该hack文件：
　　方法一：找到删除文件的smali代码，注释掉删除文件的代码，重新打包运行。之后用adb pull /data/data/org.sbtools.gamehack/files/hack D://命令将文件拷贝到本地计算机。注释掉的代码如图2-23、图2-24所示。
图2-23 注释掉的代码1
图2-24 注释掉的代码2
　　方法二：linux系统中每一个进程都有一个/proc/[pid]目录，该目录下保存着有关该进程的各类信息，其中有个文件名为exe,这个文件是一个链接指向该进程的实际可执行文件。用命令ps |grep gamehack找到该进程ID为18912（图2-25），执行cd /proc/18912 进入到该进程信息目录，用ls &al会看到我们要找的文件。linux系统删除文件是使用了unlink这个函数，这个函数只会减少某个文件的硬连接数，当某个文件被打开后，并调用unlink删除该文件时，使用ls命令是不能查看到该文件了的，但这个文件实际上还是存在在磁盘上的，当使用该文件的进程结束时或者调用close关闭该文件描述符时，这个文件才真正的从磁盘上消失。因此，只要程序还在运行，该hack文件就不会被真正删除，将该文件拷贝到sdcard，再pull到计算机上（图2-26）。
图2-25 查看进程ID
图2-26 进入进程目录并提取文件
　　接下来就可以对该文件进行分析了。
2.3.2 hack文件分析
　　IDA加载提取出来的hack文件，查看导出表，只有一个start()，双击进入start()，F5之后如图2-27所示。
图2-27 start()启动函数
　　在我重命名为&_HackWhat&的函数中，实现了该程序中最核心的功能。首先建立起socket连接，接收来自远端的数据，并根据第一个数据来决定后续要执行的操作（图2-28）。前面我们已经得出，当执行数据搜索的时候用字母&s&来表示，直接分析case s的代码（图2-29），可以发现在_DataMemory()中对接收到的数据做了一些处理，提取出需要搜索的数值，接着在_SearchData中读取进程内存信息进行搜索。
图2-28 接收socket数据
图2-29 搜索数据
　　静态分析搜索部分的代码，可以看到程序首先用ptrace来attatch进程(图2-30)，接着打开了进程内存映射信息所在的文件&/proc/[PID]/maps&并读取相关信息进行保存(图2-30)。
图2-30 Ptrace进程
图2-31 读取内存映射信息
　　接下来程序读取进程内存信息&/proc/[PID]/mem&并保存。此处用于监测程序的内存映射信息是否发生变化。当在执行搜索操作时，程序实际上执行的为图所示的_SearchData函数，该函数在IDA中的偏移地址为。
图2-32 读取进程内存
图2-33 执行搜索
　　在该函数中，同样先ptrace进程，读取内存信息并和之前保存的做一个比较，校验内存是否发生变化，接着从内存信息中搜索我们要修改的数据（图2-35、图2-36），而此处的具体逻辑还待深究，此处未作进一步描述。
图2-34 读取内存信息
图2-35 搜索数据a
图2-36 搜索数据b
　　搜索完数据之后，执行图2-29中的_SendFindResult将搜索结果发送到远端，交给java层代码做接下来的处理。
　　如果搜索结果太多，需要我们返回游戏，手动使想要修改的数据发生变化，然后重新搜索(图2-37)。此时发送的消息为&f = [Data]& (图2-38)。Hack程序收到socket信息后会提取变化之后的数字，再次执行图2-33中的_SearchData函数，不过此时会读取刚才搜索数字8之后的内存，检测哪一个内存保存的数值变为了12，据此来锁定想要修改的数据所在的内存。接着执行修改操作。
图2-37 变化数据
图2-38 第二次搜索时向socket发送的数据
　　当点击修改之后，hack进程识别标志修改的字母&m&并执行如图2-39所示的操作流程。在对收到搜索命令做一系列提取等操作之后，ptrace注入进程并对相应内存地址的数据进行修改(图2-40)，最后将修改结果发送给java层进行处理。
图2-39 修改数据a
图2-40 修改数据b
2.3.3 用IDA进行动态分析
　　以上分析结合了静态分析和动态分析，用IDA对进程进行动态分析的步骤如下：
　　1)&&& 把IDA\dbgsrv目录下的android_server push到android中，命令：
　　　　adb&push&&android_server&/data/data/sv
　　2) & &adb shell进入该目录，为android_server赋755权限并以管理员权限运行。
cd /data/data/sv
chmod 755 android_server
./android_server
　　　　成功运行之后可以看到监听端口为23946。.
　　3) & &在windows控制台下转发window到模拟器或手机端口。
　　　　adb&forward&tcp:23946&tcp:23946
　　4)&&& 在IDA中选择android调试，在Debuggger 中的process options 的hostname 填上localhost。
　　5)&&& 在Debugger中的attach上选择对应的android程序即可。
　　这里由于hack文件运行之后被删除了& 因此需要注释掉删除文件的代码，重新编译运行之后才能attach上该进程。附加上该进程之后在IDA右侧的Modules窗格可以看到该文件基址为，从刚才IDA加载的我们导出的hack文件中可以看到start偏移地址为。两个地址相加即为该代码在elf文件中的实际地址，即，我们在IDA中找到这个地址并下断。接着运行程序点击搜索，可以发现程序执行了如图所示的流程，在寄存器窗格中可以查看到存放接收数据的地址，Hex窗格中可以看到该地址下存放的数据。（图2-41）
图2-41 IDA动态加载hack程序&&数据处理
　　调试到图2-42所示的过程中发现程序在读取内存信息。
图2-42 读取内存
　　搜索完数据之后对搜索结果进行处理，将处理之后的数据发送给远端（图2-43）。发送的信息如图2-44，其格式为&[内存地址]=[查找的数据]=[数据类型]&。
图2-43 处理搜索结果
图2-44 发送的数据
　　本文中分析的烧饼游戏修改器是一款经典的游戏修改器，之后时常出现的很多修改器和外挂都在其基础上衍生，对该游戏修改器进行分析能帮助学者素数掌握修改器和外挂的思路。通过这段时间的学习，收获如下：
　　1)&&& 掌握了逆向分析的大致流程和相关工具的使用；
　　2)&&& 对java语言有进一步了解；
　　3)&&& 熟悉了android框架及一些基础控件的使用；
　　4)&&& 熟悉了smali代码语法，能读懂smali代码，通过注入samli代码来调试程序；
　　5)&&& 掌握了IDA动态调试进程的方法；
　　6)&&& 对Native程序有了初步的认识。
　　该apk是笔者分析的第一个android程序，由于没有相关分析经验，以及对工具和相关编程语言不熟悉，导致前期花费了大量时间在android编程学习和java层代码的分析上，没有抓住程序的关键点。针对本文中的游戏修改器的分析，尚有许多待完善之处：
　　1)&&& 程序读取完内存之后执行搜索操作的时候用的什么方法或函数来搜索尚不确定；
　　2)&&& 本文只对综合搜索进行了分析，对于修改器中提供的其他功能，如模糊搜索、深度搜索、联合搜索、反加密等还未做进一步分析。
　　3)&&& 对JNI还需深入学习。
　　初次分析，难免有错误、不当和疏漏的地方，如有发现，还请指正，谢谢！
《Android 软件安全与逆向分析》
《游戏安全》
Android killer中的一些使用技巧:
Android killer方便搜苏哦资源ID的一个插件
关于ptrace：
xx助手之天天酷跑外挂详细分析:
ARM指令STMFD和LDMFD:当乐游戏中心5.0版全新发布
当前位置：
iOS版烧饼游戏修改器安装使用教程及常见问题解答
发表时间： 20:08:27
9 条评论 | 作者：
2.进入源找到【烧饼修改器】，点击安装；
3.主界面会会出现烧饼修改器应用图标，点击进入即可对游戏进行搜索。
爱电影、爱旅游、数码产品狂热分子，喜欢打酱油。
本周iPhone游戏推荐
爱电影、爱旅游、数码产品狂热分子，喜欢打酱油。...
人生在世，无非是让别人笑笑，也偶尔笑笑别人。...
寒风之中，我不禁打了一个冷颤。...
文艺风骚萌...
精选iPhone专题
Copyright (C) 2004- Downjoy. All Rights Reserved. 当乐公司 版权所有