最近在分析一款极限摩托基于手机重力控制的 Unity 游戏:
- 人物只要发生碰撞(翻车 / 头部触地)就会立即失败
- 没有明显的数值判定,属于典型的物理 + 碰撞触发死亡
本文完整记录了我从 APK 分析 → 判断 Unity 架构 → Hook Mono Runtime → 精准拦截死亡函数的全过程。
最终效果:
人物发生碰撞也不会死亡,游戏可正常继续运行。
游戏截图
我使用的设备 & 工具版本
- Android 10 真机(arm64)
- Frida版本
- Frida Server版本:
frida-server-17.5.1-android-arm64 - Python版本
- 手机不方便可以使用手机模拟器
Frida Server 启动
上传到手机:
adb push frida-server-17.5.1-android-arm64 /data/local/tmp/
adb shell chmod +x /data/local/tmp/frida-server-17.5.1-android-arm64
启动frida-server-17.5.1-android-arm64
adb shell /data/local/tmp/frida-server-17.5.1-android-arm64
1️⃣ 解包 APK
重点关注:
AndroidManifest.xmllib/armeabi-v7aassets/
2️⃣ 查看 so 文件(关键判断点)
在lib/arm64-v8a/目录下发现:
同时:
- ❌ 不存在
libunity.so(部分 Mono 游戏本来就没有)
✅ 结论
这是一个 Unity Mono 架构游戏(非 IL2CPP)
在:
中可以看到:
Assembly-CSharp.dllUnityEngine.dll
Assembly-CSharp.dll 可以使用ILSpy工具打开,可以直接看到关键代码Bone::OnCollisionEnter,进行分析。
说明:
❌ 不直接修改 DLL 的原因
✅ Hook Mono Runtime 的优势
五、锁定关键函数:mono_runtime_invoke
Mono 执行模型简化图
Unity 物理 / 碰撞 ↓C# 脚本 (Update / OnCollisionEnter) ↓IL Code ↓mono_runtime_invoke ↓Native 执行
所有 C# 方法最终都会经过mono_runtime_invoke
这意味着:
Hook 一个函数,就能观察并控制所有 C# 方法调用。
1️⃣ 查找游戏 PID
adb shell ps -A | grep com.galapagossoft.trial
输出示例:
u0_a236 19480 ... com.galapagossoft.trial
2️⃣ Frida Attach
frida -U -p19480 -l mono_base.js
console.log("[*] mono_base.js loaded");varmono = Process.findModuleByName("libmono.so");if (!mono) { console.log("libmono.so not found");return;}varmono_method_get_name_ptr = mono.getExportByName("mono_method_get_name");varmono_runtime_invoke_ptr = mono.getExportByName("mono_runtime_invoke");varmono_method_get_class_ptr = mono.getExportByName("mono_method_get_class");varmono_class_get_name_ptr = mono.getExportByName("mono_class_get_name");varmono_method_get_name =new NativeFunction( mono_method_get_name_ptr, "pointer", ["pointer"]);varmono_method_get_class =new NativeFunction( mono_method_get_class_ptr, "pointer", ["pointer"]);varmono_class_get_name =new NativeFunction( mono_class_get_name_ptr, "pointer", ["pointer"]);varorig_mono_runtime_invoke =new NativeFunction( mono_runtime_invoke_ptr,"pointer", ["pointer", "pointer", "pointer", "pointer"]);Interceptor.replace( mono_runtime_invoke_ptr,new NativeCallback(function (method, obj, params, exc) {varklass = mono_method_get_class(method);varclassName = mono_class_get_name(klass).readCString();varmethodName = mono_method_get_name(method).readCString();// 关键:拦截碰撞触发if (className === "Bone" && methodName === "OnCollisionEnter") { console.log("[BLOCK] " + className + "::" + methodName);return ptr(0); }return orig_mono_runtime_invoke(method, obj, params, exc); }, "pointer", ["pointer", "pointer", "pointer", "pointer"]));
1️⃣ 先打印观察调用
日志中依次出现:
Fork::UpdateFork::OnCollisionStayFailController::OnGUIBone::OnCollisionEnter
2️⃣ 排除错误目标
3️⃣ 真正的死亡触发点
这正好符合游戏机制:
人物因重力翻转发生碰撞 → 立即失败
成功拦截后:
✅无需修改 APK✅无需重打包✅精准绕过失败判定
本文完整展示了一条Unity Mono 游戏逆向的通用思路:
- 精准拦截
OnCollisionEnter实现逻辑绕过
理解引擎执行模型,比盲目改代码更重要。
这套方法同样适用于:
后续我会继续分享更多 Unity / Mono / Frida 实战分析。
看雪ID:我是jet
https://bbs.kanxue.com/user-home-1062757.htm
*本文为看雪论坛优秀文章,由 我是jet原创,转载请注明来自看雪社区
10个月宝宝每天需要喝多少奶粉?
