首页
社区
课程
招聘
[原创]【最新】Typora最新版的逆向过程分析
发表于: 2024-6-28 22:04 3055

[原创]【最新】Typora最新版的逆向过程分析

2024-6-28 22:04
3055

很少写教程,没写清楚的话请留言讨论

逆向分析准备

  1. 从typora的目录可以看出是electron开发的,
  2. 到resources目录中可以看到app.asar
  3. 使用asar命令进行解包,
  4. 解包后,出现atom.js,此js是加密的
  5. 存在一个main.node,用pe查看是dll

正式开始逆向

  1. IDA载入main.node,接着使用findcrypt搜索加密特征
  2. 出现3个加密特征,最后一个是aes的s逆盒信息
  3. 交叉引用最后一个,直接可以找到其调用处,
  4. 继续向上查找交叉引用,最终很容易定位这里,记录下代码偏移
  5. 先打开typora ,之后x64dbg附加主进程,然后就可以看到main.node模块
  6. 定位AES解密处,然后下断点,
  7. 重新运行调试,此时F9运行到断点处,最终确定key和iv
1
2
3
4
// key
0D 8E 84 1E B8 3A C8 10 62 08 F4 57 70 BC 39 B9 D8 B8 AB 60 B2 FB 46 13 28 4F B4 97 B6 8B 0C 6A
// iv
47 A9 1A C7 3C FA A5 AF 60 E1 E1 D5 43 01 E8 48

8.接着就可以随便找到工具,然后解密atom.js,
有了js代码,其他的都好说了,不过我发现有个问题,目前没解决

我无论使用什么工具,包括自己写的也是一样,我只要不去修改解密后的atom.js,然后原封不动的加密回去,typora可以正常运行,另外修改几个字符也能正常运行,而若是改动比较大,就直接报错,

动态调试,发现其解密后的内容前面多了一些乱码,且根据改动大小有所不同,所以猜测应该不是完整性校验,可能是typora使用的AES算法有bug吧,具体我没继续研究了,因为也没啥必要,

要是有知道的我也请教下,是不是typora的问题。

好了先写到这里,有新情况再写出来。

-


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (2)
雪    币: 144
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
2

patch公钥或者关键代码应该都可以做到不改变解密后的长度吧(个人用的后者的<16 bytes patch)

另外新版本就是iv不在data里+偷偷多塞了一个字节而已,应该不会导致同一个iv解密出乱码

最后于 2024-6-30 15:43 被Azuria编辑 ,原因:
2024-6-30 10:11
0
雪    币: 3653
活跃值: (1605)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
能不能hook了加载解密js的位置,替换为自定义js,绕过重打包
2024-6-30 10:41
0
游客
登录 | 注册 方可回帖
返回
//