版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/BlueEffie/article/details/51964438
有个网友让我帮忙分析下《少年西游记》这款手游,分析过程和大家分享一下
0x00 先用WinHex看看少年西游记资源包package.was
粗略的分析可以把PackageWas的结构看成为这样:
┌─PackageWas
┊ ├─文件头
┊ ├─文件1
┊ ├─ ┊
┊ ├─文件n
详细的解构分析如下:
was文件头 32字节
| 12字节 | 文件标识 |
| 4字节 | 未知 |
| 4字节 | 未知 |
| 4字节 | 未知 |
| 4字节 | 子文件个数 |
| 4字节 | 未知 |
子块文件头 32字节
| 4字节 | 文件块偏移 |
| 4字节 | 当前文件数据长度 |
| 4字节 | 原始文件数据长度 |
| 4字节 | 压缩标志 值=1为压缩 |
| 4字节 | 加密标志 值=1为加密 |
| 4字节 | 未知标志 值默认为0 |
| 4字节 | 文件块长度 |
| 4字节 | 文件名长度 |
子块文件数据
| n字节 | 文件名 |
| 1字节 | 文件名结束标志 |
| 4字节 | 原始文件数据长度 |
| n字节 | 文件数据 |
0x01 在IDA中反汇编\lib\armeabi\libcocos2dlua.so文件,来分析它是怎样读取资源包数据的
主要看下图片中用红框标注的地方,逻辑其实很简单,关键是在对子文件数据的处理上 先是判断有没有用xxTea加密 然后判断有没有用zlib压缩
关于xxTea的key的寻找,可在IDA中 搜索SetXXTeaKey函数,然后查看该函数的引用位置就能找到key,可参考我的另一片文章 http://blog.csdn.net/blueeffie/article/details/51208285
0x02 分析完资源包结构和文件的解析处理后 那就直接上代码 解包吧(C# 代码片段)
//读取Was资源包文件
private void ReadPackageFile(FileInfo f)
{
UpdateText("开始解析资源包" + Path.GetFileName(f.FullName));
//使用委托开启异步,防止解析数据时界面假死
Func<bool> Analysis = new Func<bool>(() =>
{
return AnalysisPackageFile(f);
});
Analysis.BeginInvoke((isAnalysis) =>
{
this.BeginInvoke(new Action(() =>
{
if (Analysis.EndInvoke(isAnalysis))
{
UpdateText("开始导出资源包...");
OutPackageFile(f);
UpdateText("资源包导出完成!");
}
else
{
UpdateText("解析资源包失败!");
}
}), null);
}, null);
}
//分析Was资源包文件
private bool AnalysisPackageFile(FileInfo f)
{
byte[] bytes;
using (FileStream inStream = new FileStream(f.FullName, FileMode.Open, FileAccess.ReadWrite))
{
bytes = new byte[inStream.Length];
inStream.Read(bytes, 0, bytes.Length);
}
if (bytes != null && PacketUtil.IsWasFile(bytes))
{
try
{
int fileDataLength = 0;
for (int i = 32; i < bytes.Length; i += fileDataLength)
{
int Deviation = BitConverter.ToInt32(bytes, i); //获取当前文件块偏移
if (i == Deviation)
{
fileDataLength = BitConverter.ToInt32(bytes, i + 24); //获取当前文件块长度
byte[] fileByte = new byte[fileDataLength];
Array.Copy(bytes, i, fileByte, 0, fileDataLength);
WasData wasData = new WasData();
FileData fileData = wasData.intData(fileByte); //解析文件块
fileDataList.Add(fileData);
}
}
return true;
}
catch (Exception e)
{
UpdateText(e.ToString());
return false;
}
}
else
{
return false;
}
}
//导出包文件
private void OutPackageFile(FileInfo f)
{
for (int i = 0; i < fileDataList.Count; i++)
{
string path = Path.Combine(f.DirectoryName, Path.GetFileNameWithoutExtension(f.FullName) + "/" + fileDataList[i].name);
OutResFile(fileDataList[i].data, path);
}
fileDataList.Clear();
}
//输出文件
private void OutResFile(byte[] bytes, string path)
{
if (!Directory.Exists(Path.GetDirectoryName(path)))
{
Directory.CreateDirectory(Path.GetDirectoryName(path));
}
using (FileStream outStream = new FileStream(path, FileMode.OpenOrCreate, FileAccess.ReadWrite))
{
outStream.Write(bytes, 0, bytes.Length);
UpdateText("生成:" + path);
}
}
public FileData intData(byte[] bytes)
{
FileData fileData = new FileData();
FileHead fileHead = (FileHead)PacketUtil.BytesToStuct(bytes, typeof(FileHead));
fileData.name = GetFileName(bytes, fileHead);
fileData.data = GetFileData(bytes, fileHead);
return fileData;
}
private string GetFileName(byte[] bytes, FileHead fileHead)
{
byte[] nameByte = new byte[fileHead.FileNameLength];
Array.Copy(bytes, Marshal.SizeOf(fileHead), nameByte, 0, nameByte.Length);
return Encoding.Default.GetString(nameByte);
}
private byte[] GetFileData(byte[] bytes, FileHead fileHead)
{
byte[] dataByte = new byte[fileHead.CurrentFileLength - 4];
Array.Copy(bytes, fileHead.FileDataLength - dataByte.Length, dataByte, 0, dataByte.Length);
if (fileHead.EncryptFlag == 1) //需要解密
{
byte[] decryptByte = DecryptData(dataByte);
if (fileHead.CompressFlag == 1) //需要解压
{
return ZlibStream.UncompressBuffer(decryptByte);
}
else
{
return decryptByte;
}
}
else
{
if (fileHead.CompressFlag == 1) //需要解压
{
return ZlibStream.UncompressBuffer(dataByte);
}
else
{
return dataByte;
}
}
}
private byte[] DecryptData(byte[] bytes)
{
byte[] keyByte = Encoding.Default.GetBytes("27efb289-bc7f-3636-ae74-e747b1bea17c");
byte[] decryptByte = XXTea.Decrypt(bytes, keyByte);
return decryptByte;
}zilb库 我用的 http://dotnetzip.codeplex.com
0x03 注意 .\package\spine 中的PNG图片,它本身并不是png图片而是JFIF图片,可以用XnView看图软件直接打开,或是把下图红框的内容删除后可以直接打开查看
资源提取工具源码下载:
链接:http://pan.baidu.com/s/1slEQ54p 密码:6dag