功能
- 还原DLL文件(不包含代码),可用于提取MonoBehaviour和MonoScript
- 支持ELF, ELF64, Mach-O, PE, NSO和WASM格式
- 支持Unity 5.3 - 2020.2
- 生成IDA和Ghidra的脚本,帮助IDA和Ghidra更好的分析il2cpp文件
- 生成结构体头文件
- 支持从内存dump的libil2cpp.so文件以绕过保护
- 支持绕过简单的PE保护
下载地址:https://github.com/Perfare/Il2CppDumper。
Il2CppDumper 只有 Windows 版本,所以 macOS 系统只能在虚拟机中使用。
简单使用
命令格式:
Il2CppDumper.exe <executable-file> <global-metadata> <output-directory>打开 Windows 的命令行工具,cd 到 Il2CppDumper 的安装目录。输入目录不存在需要先手动创建,示例:
.\Il2CppDumper.exe \\Mac\Home\Downloads\dreamland\Payload\app1.app\app1 \\Mac\Home\Downloads\dreamland\Payload\app1.app\Data\Managed\Metadata\global-metadata.dat C:\Users\feng\Desktop\temp输出日志:
Initializing metadata...
Metadata Version: 24.1
Initializing il2cpp file...
Il2Cpp Version: 24.1
Searching...
CodeRegistration : 102865f08
MetadataRegistration : 1028b9d58
Dumping...
Done!
Generate struct...
Done!
Generate dummy dll...
Done!
Press any key to exit...在IDA还原符号
等待 Mach-O 文件反编译分析完成后,打开 IDA 中的 File - Script file,依次选择 Il2CppDumper 安装目录下的 ida.py 文件和使用命令导出的 script.json 文件。
最终效果:
