luac 格式分析与反编译
前言
测试某游戏时,游戏加载的是luac脚本:
- 文件格式 - 010editor官方bt只能识别luac52版本
- opcode对照表 - 这个游戏luac的opcode对照表也被重新排序,unluac需要找到lua vm的opcode对照表,才能反编译。
文章目录
- 前言
- luac51格式分析
- Luac文件格式
- 文件头格式
- 函数体
- luac.exe存储luac过程分析
- luac反编译
- 获取lua51 vm
- lua_execute函数
- 编译unluac
- luac
luac51格式分析
Luac文件格式
一个Luac文件包含两部分:文件头与函数体。
文件头格式
typedef struct {char signature[4]; //".lua"uchar version;uchar format;uchar endian;uchar size_int;uchar size_size_t;uchar size_Instruction;uchar size_lua_Number;uchar lua_num_valid;uchar luac_tail[0x6];
} GlobalHeader;
第一个字段**signature
**在lua.h头文件中有定义,它是LUA_SIGNATURE,取值为“\033Lua",其中,\033表示按键。LUA_SIGNATURE作为Luac文件开头的4字节,它是Luac的Magic Number,用来标识它为Luac字节码文件。Magic Number在各种二进制文件格式中比较常见,通过是特定文件的前几个字节,用来表示一种特定的文件格式。
version
字段表示Luac文件的格式版本,它的值对应于Lua编译的版本,对于5.2版本的Lua生成的Luac文件,它的值为0x52。
**format
**字段是文件的格式标识,取值0代表official,表示它是官方定义的文件格式。这个字段的值不为0,表示这是一份经过修改的Luac文件格式,可能无法被官方的Lua虚拟机正常加载。
**endian
**表示Luac使用的字节序。现在主流的计算机的字节序主要有小端序LittleEndian与大端序BigEndian。这个字段的取值为1的话表示为LittleEndian,为0则表示使用BigEndian。
**size_int
**字段表示int类型所占的字节大小。size_size_t字段表示size_t类型所占的字节大小。这两个字段的存在,是为了兼容各种PC机与移动设备的处理器,以及它们的32位与64位版本,因为在特定的处理器上,这两个数据类型所占的字节大小是不同的。
**size_Instruction
**字段表示Luac字节码的代码块中,一条指令的大小。目前,指令Instruction所占用的大小为固定的4字节,也就表示Luac使用等长的指令格式,这显然为存储与反编译Luac指令带来了便利。
**size_lua_Number
**字段标识lua_Number类型的数据大小。lua_Number表示Lua中的Number类型,它可以存放整型与浮点型。在Lua代码中,它使用LUA_NUMBER表示,它的大小取值大小取决于Lua中使用的浮点数据类型与大小,对于单精度浮点来说,LUA_NUMBER被定义为float,即32位大小,对于双精度浮点来说,它被定义为double,表示64位长度。目前,在macOS系统上编译的Lua,它的大小为64位长度。
**lua_num_valid
**字段通常为0,用来确定lua_Number类型能否正常的工作。
**luac_tail
**字段用来捕捉转换错误的数据。在Lua中它使用LUAC_TAIL表示,这是一段固定的字符串内容:"\x19\x93\r\n\x1a\n"。
在文件头后面,紧接着的是函数体部分。一个Luac文件中,位于最上面的是一个顶层的函数体,函数体中可以包含多个子函数,子函数可以是嵌套函数、也可以是闭包,它们由常量、代码指令、Upvalue、行号、局部变量等信息组成。
函数体
typedef struct {//headerProtoHeader header;//codeCode code;// constantsConstants constants;// functionsProtos protos;// upvalues//Upvaldescs upvaldescs;// string//SourceName src_name;// linesLines lines;// localsLocVars loc_vars;// upvalue namesUpValueNames names;
} Proto;
**ProtoHeader
**是Proto的头部分。它的定义如下:
typedef struct {uint32 linedefined;uint32 lastlinedefined;uchar numparams;uchar is_vararg;uchar maxstacksize;
} ProtoHeader;
**code
**lua vm操作码
constants
lua语句其实只是将标志符合关键字给去掉了
printf("Hello %s from %s on %s\n",os.getenv"USER" or "there",_VERSION,os.date())
这是一条lua语句,那么在luac文件中可见,可以推测出大概的lua语句
���printf����Hello %s from %s on %s
����os����getenv����USER����there� ���_VERSION����date
**protos
**下一个函数体,函数体是链式存储的
**lines
**该函数存在多少行lua语句
**loc_vars
**函数内部局部变量个数
**names
**函数内部局部变量名
luac.exe存储luac过程分析
luac的函数体在luac.exe中分main函数和一般函数,存储过程如下:
1、存储main函数头、代码、lua语句字符串进行存储
2、存储普通函数
2.1、存储普通函数体
2.2、遍历普通函数链表,直至结束
3、存储main函数行数、参数、参数名
#### 具体过程
分析luac.exe存储过程,很容易分析出luac的文件格式。
```cpp
int luaU_dump (lua_State* L, const Proto* f, lua_Writer w, void* data, int strip)
{DumpState D;D.L=L;D.writer=w;D.data=data;D.strip=strip;D.status=0;DumpHeader(&D);DumpFunction(f,NULL,&D);return D.status;
}
lua源码luac.c中,DumpHeader
存储了luac头格式,而在**DumpFunction
**则对函数体进行了存储。
static void DumpHeader(DumpState* D)
{char h[LUAC_HEADERSIZE];luaU_header(h);DumpBlock(h,LUAC_HEADERSIZE,D);
}
**DumpHeader
**存储了LUAC_HEADERSIZE(12)byte的头格式。
static void DumpConstants(const Proto* f, DumpState* D)
{int i,n=f->sizek;DumpInt(n,D);for (i=0; i<n; i++){const TValue* o=&f->k[i];DumpChar(ttype(o),D);switch (ttype(o)){case LUA_TNIL:break;case LUA_TBOOLEAN:DumpChar(bvalue(o),D);break;case LUA_TNUMBER:DumpNumber(nvalue(o),D);break;case LUA_TSTRING:DumpString(rawtsvalue(o),D);break;default:lua_assert(0); /* cannot happen */break;}}n=f->sizep;DumpInt(n,D);for (i=0; i<n; i++) DumpFunction(f->p[i],f->source,D);
}static void DumpDebug(const Proto* f, DumpState* D)
{int i,n;n= (D->strip) ? 0 : f->sizelineinfo;DumpVector(f->lineinfo,n,sizeof(int),D);n= (D->strip) ? 0 : f->sizelocvars;DumpInt(n,D);for (i=0; i<n; i++){DumpString(f->locvars[i].varname,D);DumpInt(f->locvars[i].startpc,D);DumpInt(f->locvars[i].endpc,D);}n= (D->strip) ? 0 : f->sizeupvalues;DumpInt(n,D);for (i=0; i<n; i++) DumpString(f->upvalues[i],D);
}static void DumpFunction(const Proto* f, const TString* p, DumpState* D)
{DumpString((f->source==p || D->strip) ? NULL : f->source,D);DumpInt(f->linedefined,D);DumpInt(f->lastlinedefined,D);DumpChar(f->nups,D);DumpChar(f->numparams,D);DumpChar(f->is_vararg,D);DumpChar(f->maxstacksize,D);DumpCode(f,D);DumpConstants(f,D);DumpDebug(f,D);
}
递归遍历存储函数体过程。
luac反编译
获取lua51 vm
$ git clone https://github.com/mkottman/AndroLua$ ndk-build
lua_execute函数
在lua vm中luac解释执行luac opcode的函数是luaV_execute,但是有些so会将lua_execute函数名隐藏,以下是通过lua_resume找到execute函数。
LUA_API int lua_resume (lua_State *L, int nargs) {int status;lua_lock(L);if (L->status != LUA_YIELD && (L->status != 0 || L->ci != L->base_ci))return resume_error(L, "cannot resume non-suspended coroutine");if (L->nCcalls >= LUAI_MAXCCALLS)return resume_error(L, "C stack overflow");luai_userstateresume(L, nargs);lua_assert(L->errfunc == 0);L->baseCcalls = ++L->nCcalls;status = luaD_rawrunprotected(L, resume, L->top - nargs);if (status != 0) { /* error? */L->status = cast_byte(status); /* mark thread as `dead' */luaD_seterrorobj(L, status, L->top);L->ci->top = L->top;}else {lua_assert(L->nCcalls == L->baseCcalls);status = L->status;}--L->nCcalls;lua_unlock(L);return status;}
lua_resume中调用luaD_rawrunprotected函数,将resum函数指针作为参数传入
static void resume (lua_State *L, void *ud) {StkId firstArg = cast(StkId, ud);CallInfo *ci = L->ci;if (L->status == 0) { /* start coroutine? */lua_assert(ci == L->base_ci && firstArg > L->base);if (luaD_precall(L, firstArg - 1, LUA_MULTRET) != PCRLUA)return;}else { /* resuming from previous yield */lua_assert(L->status == LUA_YIELD);L->status = 0;if (!f_isLua(ci)) { /* `common' yield? *//* finish interrupted execution of `OP_CALL' */lua_assert(GET_OPCODE(*((ci-1)->savedpc - 1)) == OP_CALL ||GET_OPCODE(*((ci-1)->savedpc - 1)) == OP_TAILCALL);if (luaD_poscall(L, firstArg)) /* complete it... */L->top = L->ci->top; /* and correct top if not multiple results */}else /* yielded inside a hook: just continue its execution */L->base = L->ci->base;}luaV_execute(L, cast_int(L->ci - L->base_ci));}
resum函数中调用luaV_execute
void luaV_execute (lua_State *L, int nexeccalls) {...switch (GET_OPCODE(i)) {case OP_MOVE: {setobjs2s(L, ra, RB(i));continue;}case OP_LOADK: {setobj2s(L, ra, KBx(i));continue;}case OP_LOADBOOL: {setbvalue(ra, GETARG_B(i));if (GETARG_C(i)) pc++; /* skip next instruction (if C) */continue;}...}}
}
luaV_execute中存在38个switch case,然后再该游戏的lua vm中找到execute函数同样也是38个switch case,分析得到opcode对照表:
game orgin0 01 242 c3 d4 15 2 6 3 7 4 8 59 7 a 8b 6c ad be 9f e10 f11 1012 1113 12 14 1315 1416 1517 1618 1719 181a 191b 1a1c 1b1d 1c1e 1d1f 1e20 1f21 2022 2123 2224 2325 25
编译unluac
将分析出来的对照表覆盖到unluac的OpcodeMap.java中进行编译,生成unluac.jar
} else if(version == 0x51) {map = new Op[38];map[0] = Op.MOVE;map[36] = Op.LOADK;map[12] = Op.LOADBOOL;map[13] = Op.LOADNIL;map[1] = Op.GETUPVAL;map[2] = Op.GETGLOBAL;map[3] = Op.GETTABLE;map[4] = Op.SETGLOBAL;map[7] = Op.SETUPVAL;map[5] = Op.SETTABLE;map[8] = Op.NEWTABLE;map[9] = Op.SELF;map[10] = Op.ADD;map[11] = Op.SUB;map[6] = Op.MUL;map[14] = Op.DIV;map[15] = Op.MOD;map[16] = Op.POW;map[17] = Op.UNM;map[18] = Op.NOT;map[19] = Op.LEN;map[20] = Op.CONCAT;map[21] = Op.JMP;map[22] = Op.EQ;map[23] = Op.LT;map[24] = Op.LE;map[25] = Op.TEST;map[26] = Op.TESTSET;map[27] = Op.CALL;map[28] = Op.TAILCALL;map[29] = Op.RETURN;map[30] = Op.FORLOOP;map[31] = Op.FORPREP;map[32] = Op.TFORLOOP;map[33] = Op.SETLIST;map[34] = Op.CLOSE;map[35] = Op.CLOSURE;map[37] = Op.VARARG; } else if(version == 0x52) {
最后尝试反编译luac文件,成功!!!~~~
java -jar unluac.jar test.lua
010 editor模版:https://github.com/saidyou/unluc.git
luac
Note: 资料参考:
- **luac反编译工具 **:https://github.com/viruscamp/unluac
- lua52反编译分析博客 : https://github.com/feicong/lua_re
- lua51源码 : https://github.com/lua/lua/tree/v5_1
luac 格式分析与反编译相关推荐
- Android逆向分析(一) - 反编译看看手Q口令红包的实现原理
原文:http://blog.zhaiyifan.cn/2016/02/09/android-reverse-1/ 本系列文章是<Android软件安全与逆向分析>的实践笔记(一些工具的版 ...
- Android逆向分析(1) 反编译看看手Q口令红包的实现原理
前言 本篇文章是作者MarkZhai的逆向分析系列的第一篇,已授权发布,并计划之后该系列的更新会第一时间发布在本公号上,敬请关注! 原文 本系列文章是<Android软件安全与逆向分析>的 ...
- Objective-C基本分析法 反编译
以Hello World程序为例: 代码: #import <foundation/foundation.h>@interface SaySomething :NSObject- (voi ...
- Android逆向笔记-通过ApkTool源码分析未能反编译APK的原因
如下错误: 这里可以看到一个IO错误:Expected: 0x001c0001, got: 0x00000001 这里看下源码: 看下还有哪个个地方调用了他 下面来看下这个CHUNK)STRINGPO ...
- 【笔记】reko 0.10.2 反编译工具安装和使用记录|(2) 翻译 user‘s guide
Reko user's guide Reko是一个二进制可执行文件的反编译器.它接受输入的一个或多个二进制可执行文件,然后反编译成高级语言.它可以在GUI shell中被交互地使用,作为一个命令行项目 ...
- Android反编译工具与实践
版权声明 本文原创作者:谷哥的小弟 作者博客地址:http://blog.csdn.net/lfdfhl What is Android Android is a mobile operating s ...
- 浅析android手游lua脚本的加密与解密(番外篇之反编译的对抗)
前言 去年在看雪论坛写了一篇<浅析android手游lua脚本的加密与解密>的精华文章,今年写一篇番外篇,将一些lua反编译对抗的内容整合一起,并以3个实例作为说明(包括2018腾讯游 ...
- 『贝壳找房APP』反编译到底有多简单--反编译和调试实践
最近,在朋友圈看到有人发贝壳找房在Appstore上的下载排行榜,已进入前三.于是,我在应用宝上下载了贝壳release apk. 点击此处下载贝壳找房Apk 点击此处下载反编译debug包 Apk存 ...
- .net反编译工具Reflector使用详解
早就听说Reflector这个强大的类库分析与反编译工具,不过一直没有很好的利用起来.最近使用Reflector解决了一个实际开发问题,现将其总结出来. 需求导入:项目是一个GIS项目,在项目中使用到 ...
- python反编译luac_LuaJIT反编译总结
本文所指luajit,皆指luajit2.1.0-beta2版本. 一.背景 逆向apk时,得到luajit字节码文件,将反编译luajit的过程记录如下. 本文主要分析ljd反编译工具源码(http ...
最新文章
- 【ABAP】在线预览文档对象的开发实现
- MySQL锁机制和PHP锁机制
- 发布 项目_第十八期科创基金项目发布会圆满结束
- Oracle数据库的增删改操作介绍
- VS Code远程连接矩池云GPU主机
- 中国家禽细菌学诊断行业市场供需与战略研究报告
- Docker镜像源更改
- 实现子元素在父元素中水平垂直都居中笔记
- 如何在数据库中创建表
- Python pdf 转jpg/png工具
- 百度文库免费下载(附:分享一些有趣的网站,最后一个可以免飞下载百度文库)
- Oracle的学习视频
- OSChina 周二乱弹 —— 她根本就配不上我这么聪明的男人
- 源支付聚合免签支付系统
- “铜三铁四“来一套程序员内卷超车赛道-音视频开发
- 网页数据抓取-网页实时数据抓取软件
- 甜椒刷机助手(安卓一键刷机助手) v3.5.1.1 电脑版
- 3d渲染服务器系统,3d渲染云服务器
- 查看RocketMQ的broker启动部分源码分析总结
- 你是不是也,睡不着?