更新一下:
看到GameAssembly里导入了Plugins/x86_64/libnative.dll里的LZ4_decompress_safe_ext和Z4_compress_default_ext, 应该是在LZ4加解密外加了一层。
把ghidra反汇编的代码扔给LLM看,AI认为解压之前有一个CFB模式的加解密。
但是这个o3的代码真是看着头秃… 不会key还是动态读的吧。用Ollydbg下断点也不行,应该有某种anti debugger
直接LoadLibraryA libnative.dll 对assetbundle 每个字节为起始跑,无法解压
写DLL Proxy,直接转发原dll,程序也会卡住
x64dbg+ScrytheHide倒是可以下断点,不过现在看不出啥,就有几个compress decompress的触发
这下没思路了