古いコードを再活性化するか、悪いアプリケーションに対して良いことをする方法

ハブラーで書くよりも頻繁にゲームをプレイすることを認めなければなりませんが、「リズミカルな」ジャンルには常に一定の弱点がありました。 かつて、私はAudiosurfが本当に好きでしたが、後にそれの異なるクローン、Beat Hazard、osuに出会いました。 その後、App StoreでDeemoとDuetに出会い、そこからたくさんの楽しい時間を過ごしました。



終わりのない眠れぬ夜、さまざまな場所で眠りについた半ば、私は自分の興味の輪の一部である小さなことに気づきました。 無料ダウンロード、おなじみの会社、ええ、それはたくさんの有料コンテンツがあることを意味します。 一方、彼らはおそらく無料で何かをするでしょう。 明らかな結論を出して、私はゲームをダウンロードしました...そして、処女の白い画面を見ました。



これ以上の議論は、コードを失ったり、更新を記録したパブリッシャーの過失を引き起こした感情を揺さぶるものではなく、わずかな絶望の状況で望んでいたものを手に入れることについてです。



説明を読んで、時にはそれでもやりがいのあることは、2つのニュースをもたらしました：

• iOS 9との互換性はありません。悪名高い白い画面が表示されます。
• ゲームはサポートされなくなり、8月にストアから削除されます。アプリ内購入はできません。

ゴージャス。 おそらく、プラットフォームがx86ではなく、ゲームがヒットしないなどの理由で、多くの人はこの後撤回するでしょう（ただし、後でメカニックが本当に好きでしたが）。 しかし、私は個人的なin辱を受け、翌朝、患者を診察することにしました。

活性化

最初のステップは見ることですが、モンスターは何かを記録していませんか？ sshで行って、 syslogモニタリングを開き、アプリケーションを実行します。 すぐに画面が次の形式のメッセージでいっぱいになります。

  bird [1792] <エラー>：設定エラー：<NSError：0x15df7ba0（BRCloudDocsErrorDomain：5）-{
     NSDescription = "URLにドキュメントがありません";
     NSFilePath = "/ private / var / mobile / Library / Mobile Documents / JZKSZCX743〜com〜square-enix〜tact / oks_savedata.bin";
     NSUnderlyingError = "<NSError：0x15df7b60（NSPOSIXErrorDomain：2）-{\ n NSDescription = \"そのようなファイルまたはディレクトリはありません\ "; \ n}>";
 }> 

おっと、ブルズアイ。 iOS 9はiCloudのおもちゃを壊し、何らかの理由で保存と設定のあるファイルは作成されず、起動は無限ループに入りました。 作成してみましょう。

  touch "/ private / var / mobile / Library / Mobile Documents / JZKSZCX743〜com〜square-enix〜tact / oks_savedata.bin" 

そして、これが0_oインターフェースです。 落ち着いた私はストーリーに登り、同時にヘッドフォンをつけました。 そこに私は見た：まだ何もない：（







ファイルが何らかの構造を持っている必要があることは理解できます。 ファイル名でさらに検索すると、次の2つの場所に移動します。

  find / private / var -name oks_savedata.bin
 /private/var/mobile/Containers/Data/Application/long-uuid/Documents/oks_savedata.bin
 / private / var / mobile / Library / Mobile Documents / JZKSZCX743〜com〜square-enix〜tact / oks_savedata.bin 

しかし、悲しいかな、最初のファイル自体は2番目のファイルなしでは作成されません。 もっと深くする必要があります。



アプリケーションをダンプし、ipaを解凍します（これは通常のzipです）。アプリケーションバンドルの内容を確認します。

• Info.plist
• PkgInfo
• ResourceRules.plist
• Shader.fsh
• Shader.vsh
• _CodeSignature
• archived-expanded-entitlements.xcent
• en.lproj
• わかりました
• oks_icon_a.png
• oks_sqex copy-Info.plist
• oks_sqex.entitlements
• pre_build.sh
• およびffdf8df97e7c9bcb7f42d1cc8ad09b08という形式の名前を持つ他の1,500個のファイル。

Info.plistのCFBundleExecutableによると、実行可能ファイルはoks、2つのアーキテクチャを備えたFAT binarです。

  jtool -h OK
ファットバイナリ、ビッグエンディアン、2アーキテクチャ：armv7、armv7s
 -archスイッチでこれらのアーキテクチャのいずれかを指定するか、ARCH環境変数をエクスポートします 

ほら、アームなし64。 まあ、私にとってこれはある意味でプラスです。iOSとそのチュートンの制限、さらにはアームの詳細さえ-紹介にもかかわらず、私のトピックではないからです。 私はここでめったに走りませんが、良い人生からではありません。 iCloudの標準セットのように、資格を確認します。



すぐに考えが訪れましたが、それが必要かどうか。 ジェイルブレイク（再署名）せずにアプリケーションを後でデバイスに配置すると、iCloudは動作しなくなり、動作しない場合はすぐに切断される可能性があります。 同時に、突然動作し始めますか？ 言われた-完了： 資格を指定せずに自己署名証明書で再署名 （ codesign -f -s mycert oks ） すると同時に、iTunes経由でバックアップバックアップのためにInfo.plistにUIFileSharingEnabledプロパティを追加し（そして突然便利になる）、アプリケーションをipaにパックし、デバイスにインストールします。



ご想像のとおり、その後数分間満足してプレイしました。 ラズベリーがアプリ内購入によって残酷にカットされた最初の4つのレベルを通過する直前。 [ストア]セクションに移動すると、価格が高いだけでなく、価格も非常に高いことがわかります。 ローンチを修復したときにストアを壊したのは、本当にしたい場合でも機能しないからです。 その時までに、私はすでに元のIPAを削除していたので、ダウンロードしたくありませんでした。 私は思うが、まあまあ、私はすぐにinappsにパッチを適用し、終わりに対処します。

ジャンブ番号1を修正

Objective-Cクラスのリストを調べ、問題に関連するものを探します。



名前から判断すると、 SeqStory 、 SelStoryChap、またはSeqSelStoryの いずれかになります。 そして、すでに2年生で、幸運は私たちに微笑みます。



メンバーシップメソッドisUnlock / isHaveを優しくヒント：そこを見る必要があります。 私の代わりに有能な人がFlexパッチを書くか、 Mobile Cydia Substrateの短いライブラリを作成します。 しかし、セオの最も一般的な不十分さとして、私は入れませんでした、そして、私はフレックスを使いません。 メソッドスウィズル用の標準​​APIを使用して通常のダイナミックライブラリを作成することはできましたが、それは私には起こりませんでした。そして、役に立たないことが明らかになりました。 ファイルをIDAにロードし、メソッドに移動して、内容を構造体mov r0、＃1：bx lrに置き換えます。



デバイスの実行可能ファイルの外観を更新した後、isUnlockは「エピソードがゲームで利用可能かどうか」であり、「isHave」は購入ステータスであることがわかりました。 以前閉じたエピソードを開くと、レーキに乗っていることがわかります。





中身を確認する必要があります。 armは私にとって最も馴染みのあるアーキテクチャではないので、特に機能が短く、あまり時間をかけたくないので、必要なくアセンブラコードを使用しません。 コードisHave / isUnlockを見てください ：

char __cdecl -[SelStoryChap isHave](struct SelStoryChap *self, SEL a2) { return (self->flag >> 1) & 1; } char __cdecl -[SelStoryChap isUnlock](struct SelStoryChap *self, SEL a2) { return (self->flag >> 2) & 1; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

ええ、これらのメソッドは既に設定されている値のみを読み取ります。おそらくどこか別の場所で実際にチェックします。 XREF フラグを使用して、 フラグに書き込むメソッドを見つけます（以降、読みやすくするために名前を部分的に手動で追加します）。

 // SelStoryChap - (void)setStoryId:(int) void __cdecl -[SelStoryChap setStoryId:](struct SelStoryChap *self, SEL a2, int story_id) { self->storyId = story_id; self->flag &= 0xFFFFFF80; if ( checkStoryFlag1(self->storyId) ) self->flag |= 1u; if ( checkStoryFlag2(self->storyId) ) //  isHave self->flag |= 2u; if ( checkStoryFlag4(self->storyId) ) //  isUnlock self->flag |= 4u; ... }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

2番目のビットをチェックする必要があることを知って、 checkStoryFlag2の内容を見て、必要に応じて調整します。



何らかの種類の値テーブルがdword_7D84C （後でSHA-256ハッシュがあることがわかりました）に格納されており、現在のIDに対して新しく計算されたものがチェックされるようです。 その場合、章が開きます。 これはテストを削除する場所であり、考えない場所だと思います。 ユニットの無条件復帰はその仕事を果たし、私はすべての16章を通過しました:)。

ジャブ番号2を修正

このストーリーは、1つではないにしても完了できますが、





残りの24トラックはどこにありますか？ そうです、彼らは別々に購入されます。 ここで私はおもちゃが少し嫌いになり始めましたが、何も、前の手順は簡単すぎました、何か他のものがあるに違いありません。 しかし、私は再び幸運でした。 すぐに、setupSelMusicという便利な名前のメソッドの1つで、トラックを反復処理し、いくつかの関数を呼び出すコードが見つかりました：D

  v3 = 0; memset(self->ctrl_music_idx, 0, 0x200u); v1 = 0; self->music_max = 0; do { if ( sub_36C24(v1) ) self->ctrl_music_idx[v3++] = v1; ++v1; } while ( v1 != 128 ); self->music_max = v3;
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

チェックのコンテキストに基づいて、機能を4つの確認のセットとして解釈しました：トラックは許容範囲（0〜127）にあり、トラックはゲームのベースに存在し、トラックは購入され、少なくとも1つのレベルがゲームで利用可能です。



checkTrackStatusに条件なしでユニットを返すように強制する...困ったことになりました。 購入可能なトラックはストアに表示されなくなりましたが、ゲームメニューにも表示されませんでした。 ここで、しばらくの間、頭を骨折しました。最初はレベルが低すぎて、すべてが解錠しようとしていると考えていました。 しかし、私の中の合理主義者は、少し後で、各トラックには最大4つの難易度モードがあり、それぞれが前のトラックに対して十分に高いマークが得られたときに開くことを思い出しました。 つまり、この関数のlvl変数はプレイヤーのポイントとは関係なく、少なくとも1つの難易度モードの「開放性」を単純に決定します。 コードのさらなる研究により、これが確認されました。



えーと、診断は下されますが、私たちはどうしますか？ checkTrackPassedLevelにパッチを当てることができますが、パッセージに関係なく、すべてのトラックと難易度モードが利用可能になります。 このオプションは個人的にはあまりにも失礼なように思えたので、私の宗教家は初期化子を探すようになりました。 track_status_listに適切なXREFがなかったので 、私はすでにそのような愛されていないデバッガーを使いたいと思っていました。 最後の瞬間、私はアイデアを思いつきました。特定のテーブルで生成されたハッシュに至る場合、そこに何かを置くべきであり、ハッシュがどこにあるかはステータスです。 開発者が2つの異なる関数を使用して（この投稿の2、3の計算からでもコピーと貼り付けに関するすべてが明らかである）、計算することはほとんどありません。XREFloadEntryHashを調べました。 文字通り数分検索した後、このコンテンツで機能が見つかったと思います。

 int *__fastcall sub_xxxx(int track) { int *result; // r0@1 result = inRange(track, 0, 127); if ( result ) { performLoadHashForTrack(track); sub_36EC0(track, 1); result = dword_7D84C; unk_7D860[0] |= 1u; } return result; }
      
      

        
        
        
      

    
        
        
        
      
      

        
        
        
      

    
     

私の意見では、名前を変更せずに、これがトラックの購入/通過後に呼び出される一種のオープナーであることは明らかです。 いずれにせよ、これらの小さなものは単にそれについて叫びました-XREFに関する上記の[MyStoreObserver complete_sub：]は私に同意しました:)技術的な問題：おそらく便利な場所にこの関数の呼び出しを挿入することは、おそらく初めてアセンブラーが私にとって本当に役に立ちました。 checkTrackStatusでトラックのIDを直接チェックする最も簡単な方法でトリックが行われ、すべてが非常に良くなりました。

結論の代わりに

明らかに、そのような小さな変更は、何かのふりをすることはほとんどありません。 私は、はるかに厳しい、費用のかかる状況があることを知っています。 はい、たとえばここでも、ロシア語（テキストデータはUTF-16 LEエンコードの見かけ上単純な形式で保存され、一般にグラフィックデータはPNGで保存されます）またはiTunesライブラリからの動的な読み込みで独自のトラックを追加することができました。 さらに、後者の場合、ゲームリソースにはバイナリ構造だけでなく、それらを受信するためのソースファイルもありました。



それは可能ですが、それぞれの趣味には時間と想像力の両方に限界があり、私にとっては数時間を費やしました。 この記事の目的は、モバイルプラットフォームを恐れないようにすることです。モバイルプラットフォームには多くの制限がありますが、TEXTにバイトを動的に書き込むことはなく、ビッグブラザーと違いはありません。 他の人のコードを掘り下げることをheしないでください。それほど難しくはなく、時には非常に刺激的です（私のテキストのNFSに関する最近の一連の記事とは異なり、これはほとんど感じられません）。



PS最後になってくれてありがとう。

PPS販売終了前にディストリビューションを配布することは、法律上の理由から価値がないと思います。そして、なぜ、誰かにとってこれは実践する絶好の機会です。



免責事項：この記事では、ライセンス契約の違反、ハッキング、またはソフトウェアの不正使用を一切求めていません。 そのテキストは、純粋に教育および情報提供のために提示されています。