在用cocos-2dx lua框架开发游戏时，为了防止源码泄露常常用cocos自带的加密命令**cocos luacompile**去加密，本人从破解的角度去谈谈这样做存在的一些弊病。（本文示例是用mac去做，用windows的同学可能需要去安装一些相应的工具）
为了方便，去网上随意下载了cocos-lua开发的且有做luac加密的apk包，
第一步，在apk路径使用命令apktool d xxx.apk解包,获得解包的文件夹（apktool命令工具，[https://ibotpeaches.github.io/Apktool/][1]
第二步，找到文件夹下的luac脚本目录

随便打开一个luac文件，找到第一个字符串，记录下来，待会要用到，如图中的RY_QP_2016，
（为什么要找到它呢，cocos的加密命令的弊端就是，加密后它的key已经暴露出来了，RY_QP_2016就是，当然，光有key还不够）

第三步，找到文件夹下cocos的lib库

在该路径下执行命令，strings -a libcocos2dlua.so,解析出库中的字符串，cmd+f搜索RY_QP_2016定位，看到了什么，RY_QP_MBCLIENT_!2016字样的字符串，它就是密钥（这里剧透了哈，其实这个包加密的方式做的很简陋，所以很快能找到，就算复杂一些通过这个方法同样能找到，麻烦一点而已，原理是什么呢，在游戏包中luac加密后，需要AppDelegate::applicationDidFinishLaunching中的方法，调用engine->getLuaStack()->setXXTEAKeyAndSign(xx,xxx)方法，xx和xxx分别是luac的key和密钥,而so文件用strings命令能暴露出这些字符串，所以用key就能定位密钥）

有了密钥和key基本上就成了，最后一步，下载这个工具包[https://github.com/dengxiaochun/luac_decodeTool][2]，放在项目所在的src路径，修改shell脚本中相应的key和密钥后执行 ./decode.sh src命令

看到src中的.lua文件，就成功了

写这篇文章一方面想要给大家启示，这样加密的方式有问题，要破解他们都不用太复杂。后面有机会分享应对这种破解加密的方式。文章中有遗漏错误的地方，欢迎大家指正，谢谢~