macOS扫雷逆向破解

小长假闲的无聊，对macOS下的扫雷小程序进行了简单的逆向。

其中安全帽只有10个，用完了之后就需要在App Store进行购买，同时「高级」和「自定义」功能也需要在应用商店进行购买才可以玩。

最终的效果就是无限安全帽以及「高级」功能可用，「自定义」功能和「高级」功能破解手法一样，反汇编后的函数都紧挨着，就懒得去修改了，有兴趣的可以参照本文的套路进行自行修改。

总的来说，扫雷这个小游戏作为单机的应用程序可以归类为最最简单的入门级，破解手法就是连蒙带猜。当然，作为自己第一次完全独立的去尝试破解也着实花了一番气力。

工具准备

bbedit macOS下的一款编辑器，可以识别二进制的plist文件。如果不想使用这款工具，使用macOS自带的plutil命令也可以达到目的。

Hopper 跨平台的反汇编静态分析工具。

OK，这两个第三方工具已经可以了。

黑暗森林

先来看「安全帽」的破解思路。首先「安全帽」是作为汉字出现在菜单栏中的，在内部一定有一个对应的英文字符串，而这个字符串在代码中很可能就是相关的函数或者变量名字或者是名字的一部分。

使用bbedit打开/Applications/Minesweeper Deluxe.app/Contents/Resources/zh-Hans.lproj/MainMenu.nib文件。
打开之后是一个转换好的xml格式的文件。这个文件的具体格式可以参考下面这个文章：https://www.cclgroupltd.com/geek-post-nskeyedarchiver-files-what-are-they-and-how-can-i-use-them/

「cmd+f」搜索一下「安全帽」->「Find All」

可以看到「5个安全帽」对应的就是「buy5Robot」，好了，现在可以猜测与「安全帽」相关的符号在代码中跟「Robot」相关。

下一步就是使用Hopper打开扫雷程序，在Hopper中搜索Robot相关的符号。

可以看到有好多Robot相关的函数和变量，这里发现两个方法-[GameState robot]和-[GameState setRobot]，从名字可以推断是获取或者设置安全帽的方法。

在-[GameState robot]中设置断点，通过Hopper debug server进行动态调试。

发现rax中的返回值总是0（事先已经消耗光了默认的10个安全帽）。而且每次只要使用安全帽，都会进入到这个函数。通过Debug Console使用lldb临时设置一下rax的值，发现果然安全帽的数量被修改了。

使用Hopper修改0x000000010006381处的指令，修改为

mov al, 0x1
nop

这样和原来的指令一样，占3个字节。

这样修改完成后，每次按住Alt使用安全帽时获取的安全帽的数量总是返回1。
保存修改后的二进制文件，并且替换掉原来的二进制程序即可。

「高级」功能的破解也是类似，先找到跟「高级」相关的单词expert，然后在Hopper中搜索expert，找到方法-[minesweepermacAppDelegate startNewGameExpert:]
然后进行分析，修改0x00000001000589c6位置处的指令为

jne        -[minesweepermacAppDelegate startNewGameExpert:]+71

后续

可以参考网上其他公开的方法来破解。

本文只作记录逆向学习使用，破解完成后切勿公开，支持正版软件。