首页
社区
课程
招聘
“白度网盘加速软件”Speed逆向分析
发表于: 2023-6-25 08:50 6934

“白度网盘加速软件”Speed逆向分析

2023-6-25 08:50
6934

白度网盘加速Speed逆向分析Ⅰ. 面对的是什么Ⅱ. 解包Ⅲ. 获取点有用的东西

白度网盘加速Speed逆向分析


仅限于学习交流,切勿用于商业用途,若造成侵权,请联系作者处理。

软件供学习使用:链接:https://pan.baidu.com/s/1TX6U6JdhLuOA4zBMNhAPbg?pwd=irxi 提取码:irxi

Ⅰ. 面对的是什么

首先观察该软件的目录结构,如下:

image-20230624183318353

注意到chromev8等字样以及经典的Electron目录文件结构,基本上我们可以确定这个是一个使用Electron写的一款基于浏览器的软件。根据Electron开发的一些知识,我们知道其主要的逻辑在resources目录下的app.asar中。找到开发框架的过程还是比较简单。

Ⅱ. 解包

对于Electron,论坛上已经有非常成熟的文章,这里笔者简单赘述:


在笔者分析的一些Electron写的程序中,主要的反逆向的点主要在app.asar上。因为对于Electron的打包程序来说,该框架不会主动对代码进行加密,“打包”只是简单的将逻辑文件以及程序加载所需要的描述信息拼凑到一起,也就意味着,程序的主逻辑代码会在运行时完全暴露出来。

针对Electron框架的安全性问题,有人提出了运行时解密的思路(https://github.com/toyobayashi/electron-asar-encrypt-demo),主要想法还是“壳”的思想,将主要代码加密,然后将主程序入口放在解密例程上,程序运行时解密例程首先获得控制权对代码进行解密,之后来到主逻辑代码领空。Typora使用的这个就是这个思路。。

由于运行时解密,意味着在某个合适的位置我们完全可以从内存中dump出程序代码,或者直接在内存中修改代码影响程序逻辑,甚者我们可以复现解密逻辑进行解密,这只是时间上的问题。

其他的防御措施无外乎文件完整性系列的校验。

我们来看一下这款软件有没有防御措施。

image-20230625081421731

可见作者并没有在asar上进行加密处理,我们试着解包。

image-20230625081619981

image-20230625081646875

Ⅲ. 获取点有用的东西

非常容易的就拿到了他的代码。。。既然作者并没有打算保护的意思,那我们就尝试在软件上开个调试控制台试试。

image-20230625082045620

可以看到程序的主入口是background.js

image-20230625082313880

对代码进行简单的美化,直接找有没有webContents字样,找到一个比较合适的位置:

image-20230625083353565

添加调试控制台。

image-20230625083410644

将文件夹名称改为app.asar即可直接运行,效果如下:

image-20230625083521783

经调试,找到他的解析接口:

image-20230625083846282

image-20230625083908617

作者调用的应该是公开的网盘解析接口。代码只是加了简单的混淆,逻辑比较明显,不再赘述。

看来这篇笔记注定是个水文。



[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 3059
活跃值: (30876)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享
2023-6-25 09:04
2
雪    币: 29
活跃值: (5662)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
字体颜色略显阴间
2023-6-25 11:05
0
游客
登录 | 注册 方可回帖
返回
//