WebAssembly 逆向分析:如何反编译 Wasm 二进制文件,修改游戏里的“金币数量”?
标签: #WebAssembly #ReverseEngineering #Security #Wasm #GameHacking #CTF
🕵️♂️ 前言:Wasm 不是加密,只是二进制
WebAssembly 是一种基于堆栈虚拟机的二进制指令格式。它类似于汇编语言,但比 x86 汇编更抽象。
浏览器加载 .wasm 文件,编译为机器码运行。
逆向 Wasm 的两种核心思路:
- 静态分析:将
.wasm反汇编为.wat(WebAssembly Text) 或伪 C 代码,分析逻辑。 - 动态调试:利用浏览器开发者工具挂载断点,或直接修改
WebAssembly.Memory(线性内存)。
Wasm 加载与逆向流程 (Mermaid):
逆向攻击路径
Wasm 运行环境
1. 下载 game.wasm
解码
Imports (函数/内存)
读写
工具: wasm2wat
工具: Console
服务器
浏览器
Wasm 二进制
Wasm 模块
JS 胶水代码
实例化对象 (Instance)
线性内存 (ArrayBuffer)
可读汇编代码 (.wat)
直接修改数值
🛠️ 一、 兵器库:逆向工具准备
在开始之前,你需要准备以下工具:
- Chrome 浏览器:最强大的 Wasm 调试器。
- WABT (The WebAssembly Binary Toolkit):
wasm2wat: 将二进制转为人类可读的文本格式(S-表达式)。wat2wasm: 将修改后的文本重新编译为二进制。
- Ghidra (可选):安装 Wasm 插件后,可以生成伪 C 代码。
🔬 二、 实战第一步:捕获与反编译
假设我们正在玩一个网页小游戏,每次点击按钮,金币 +1。我们要把它改成 +1000。
1. 获取 Wasm 文件
打开 Chrome DevTools -> Network 面板,刷新页面,过滤 .wasm。找到 game.wasm 并下载。
2. 转化为可读代码 (WAT)
使用 wasm2wat 工具:
wasm2wat game.wasm -o game.wat 打开 game.wat,你会看到类似这样的代码:
(module(import"env""memory"(memory $0 1))(func $add_gold (param $p0 i32)(result i32)(local $l0 i32) local.get $p0 ;; 获取参数(当前金币) i32.const 1;; 加载常量 1 i32.add ;; 执行加法 local.set $l0 ;; 存入局部变量 local.get $l0 ;; 返回结果)(export"add_gold"(func $add_gold)))注:真实环境中的函数名通常被 stripped 掉了,只显示 func $f12,你需要根据上下文推断。
💉 三、 实战第二步:内存篡改 (Memory Hacking)
Wasm 的内存模型非常简单:它就是一个巨大的、线性的 JavaScript ArrayBuffer。
这意味着,JS 可以随意读写 Wasm 的内存!这是最简单的破解方式。
1. 定位内存对象
在 Chrome Console 中,寻找 Wasm 的实例对象。通常在全局变量或者 imports 对象中。
// 假设游戏把实例挂载到了 window.gameInstanceconst memBuffer = window.gameInstance.exports.memory.buffer;const memView =newInt32Array(memBuffer);2. 搜索数值 (CE 搜内存法)
就像使用 Cheat Engine 一样:
- 当前金币是 100。
- 在 Console 输入:
memView.forEach((v, i) => { if(v===100) console.log(i) })-> 得到索引1024。 - 玩游戏,金币变成 101。
- 检查索引
1024的值:memView[1024]-> 确实是 101。 - 找到地址了!
3. 修改数值
// 直接把金币改成 999999 memView[1024]=999999;页面上的金币瞬间暴涨。
🔨 四、 实战第三步:二进制补丁 (Binary Patching)
如果金币逻辑没有暴露在全局内存中,或者是纯栈操作,我们就需要修改代码本身(Patch)。
1. 修改 WAT 代码
回到刚才反编译的 game.wat 文件。
找到加法逻辑:
local.get $p0 i32.const 1;; <--- 这里是增加的数量 i32.add 我们将 1 修改为 1000:
local.get $p0 i32.const 1000;; <--- 修改为 1000 i32.add 2. 重编译为 Wasm
wat2wasm game.wat -o game_hacked.wasm 3. 替换运行 (浏览器端 Hook)
我们不能直接替换服务器文件,但我们可以通过 Chrome 的 Local Overrides 功能,或者写一个 TamperMonkey 脚本来拦截网络请求。
TamperMonkey 脚本思路:
const originalFetch = window.fetch; window.fetch=asyncfunction(url, options){if(url.includes('game.wasm')){// 拦截请求,返回我们修改过的二进制数据const response =awaitoriginalFetch('http://localhost:8000/game_hacked.wasm');return response;}returnoriginalFetch(url, options);};刷新网页,点击按钮,金币直接 +1000!
🛡️ 五、 防御:开发者如何保护 Wasm?
看到这里,你可能会觉得 Wasm 在裸奔。作为开发者,如何防御?
- Strip Symbols:发布时务必去除调试符号(函数名、变量名),让逆向者面对
$func1,$func2抓狂。 - 控制流平坦化 (Control Flow Flattening):使用 LLVM 的混淆插件(如 Obfuscator-LLVM),把清晰的
if-else变成复杂的switch跳转,破坏代码结构。 - 服务器校验:永远不要相信客户端。 像金币这种关键数据,Wasm 只能做展示,计算和存储必须在服务器端完成。
🎯 总结
Wasm 逆向正处于一个蓝海阶段。
它既不像 x86 汇编那样指令繁杂,也不像 JS 那样容易被混淆成乱码。
掌握了 wasm2wat 和线性内存的原理,你就能看穿网页中那些“高性能黑盒”背后的秘密。
Next Step:
找一个简单的在线 CTF 题目(WebAssembly 类),尝试不看 Writeup,使用 Chrome DevTools 的断点功能,追踪一个加密函数的输入输出,逆向出它的 Flag。
