WebAssembly 逆向分析：如何反编译 Wasm 二进制文件，修改游戏里的“金币数量”？

标签：#WebAssembly #ReverseEngineering #Security #Wasm #GameHacking #CTF

🕵️‍♂️ 前言：Wasm 不是加密，只是二进制

WebAssembly 是一种基于堆栈虚拟机的二进制指令格式。它类似于汇编语言，但比 x86 汇编更抽象。
浏览器加载.wasm文件，编译为机器码运行。

逆向 Wasm 的两种核心思路：

1. 静态分析：将.wasm反汇编为.wat(WebAssembly Text) 或伪 C 代码，分析逻辑。
2. 动态调试：利用浏览器开发者工具挂载断点，或直接修改WebAssembly.Memory（线性内存）。

Wasm 加载与逆向流程 (Mermaid):

🛠️ 一、 兵器库：逆向工具准备

在开始之前，你需要准备以下工具：

1. Chrome 浏览器：最强大的 Wasm 调试器。
2. WABT (The WebAssembly Binary Toolkit)：

• wasm2wat: 将二进制转为人类可读的文本格式（S-表达式）。
• wat2wasm: 将修改后的文本重新编译为二进制。

3. Ghidra(可选)：安装 Wasm 插件后，可以生成伪 C 代码。

🔬 二、 实战第一步：捕获与反编译

假设我们正在玩一个网页小游戏，每次点击按钮，金币 +1。我们要把它改成 +1000。

1. 获取 Wasm 文件

打开 Chrome DevTools ->Network面板，刷新页面，过滤.wasm。找到game.wasm并下载。

2. 转化为可读代码 (WAT)

使用wasm2wat工具：

wasm2wat game.wasm -o game.wat

打开game.wat，你会看到类似这样的代码：

(module(import"env""memory"(memory$01))(func$add_gold(param$p0 i32)(resulti32)(local$l0 i32)local.get $p0;; 获取参数（当前金币）i32.const1;; 加载常量 1i32.add;; 执行加法local.set $l0;; 存入局部变量local.get $l0;; 返回结果)(export"add_gold"(func$add_gold)))

注：真实环境中的函数名通常被 stripped 掉了，只显示func $f12，你需要根据上下文推断。

💉 三、 实战第二步：内存篡改 (Memory Hacking)

Wasm 的内存模型非常简单：它就是一个巨大的、线性的JavaScript ArrayBuffer。
这意味着，JS 可以随意读写 Wasm 的内存！这是最简单的破解方式。

1. 定位内存对象

在 Chrome Console 中，寻找 Wasm 的实例对象。通常在全局变量或者imports对象中。

// 假设游戏把实例挂载到了 window.gameInstanceconstmemBuffer=window.gameInstance.exports.memory.buffer;constmemView=newInt32Array(memBuffer);

2. 搜索数值 (CE 搜内存法)

就像使用 Cheat Engine 一样：

1. 当前金币是 100。
2. 在 Console 输入：memView.forEach((v, i) => { if(v===100) console.log(i) })-> 得到索引1024。
3. 玩游戏，金币变成 101。
4. 检查索引1024的值：memView[1024]-> 确实是 101。
5. 找到地址了！

3. 修改数值

// 直接把金币改成 999999memView[1024]=999999;

页面上的金币瞬间暴涨。

🔨 四、 实战第三步：二进制补丁 (Binary Patching)

如果金币逻辑没有暴露在全局内存中，或者是纯栈操作，我们就需要修改代码本身（Patch）。

1. 修改 WAT 代码

回到刚才反编译的game.wat文件。
找到加法逻辑：

local.get $p0 i32.const1;; <--- 这里是增加的数量i32.add

我们将1修改为1000：

local.get $p0 i32.const1000;; <--- 修改为 1000i32.add

2. 重编译为 Wasm

wat2wasm game.wat -o game_hacked.wasm

3. 替换运行 (浏览器端 Hook)

我们不能直接替换服务器文件，但我们可以通过 Chrome 的Local Overrides功能，或者写一个 TamperMonkey 脚本来拦截网络请求。

TamperMonkey 脚本思路：

constoriginalFetch=window.fetch;window.fetch=asyncfunction(url,options){if(url.includes('game.wasm')){// 拦截请求，返回我们修改过的二进制数据constresponse=awaitoriginalFetch('http://localhost:8000/game_hacked.wasm');returnresponse;}returnoriginalFetch(url,options);};

刷新网页，点击按钮，金币直接 +1000！

🛡️ 五、 防御：开发者如何保护 Wasm？

看到这里，你可能会觉得 Wasm 在裸奔。作为开发者，如何防御？

1. Strip Symbols：发布时务必去除调试符号（函数名、变量名），让逆向者面对$func1,$func2抓狂。
2. 控制流平坦化 (Control Flow Flattening)：使用 LLVM 的混淆插件（如 Obfuscator-LLVM），把清晰的if-else变成复杂的switch跳转，破坏代码结构。
3. 服务器校验：永远不要相信客户端。像金币这种关键数据，Wasm 只能做展示，计算和存储必须在服务器端完成。

🎯 总结

Wasm 逆向正处于一个蓝海阶段。
它既不像 x86 汇编那样指令繁杂，也不像 JS 那样容易被混淆成乱码。
掌握了wasm2wat和线性内存的原理，你就能看穿网页中那些“高性能黑盒”背后的秘密。

Next Step:
找一个简单的在线 CTF 题目（WebAssembly 类），尝试不看 Writeup，使用 Chrome DevTools 的断点功能，追踪一个加密函数的输入输出，逆向出它的 Flag。