v2版本参考：https://bbs.kanxue.com/thread-255356.htm

逆向思路

1. 先参考了一下V2的分析手法，Opendatabase那块是一样的。由此定位到设置key的地方。
2. 直接从内存中把Key拿出来，测试一下是可用的，ok，找对地方了。
3. 逆向分析key的来源，发现key其实就是一段MD5。找到求MD5的地方，找到输入参数。
4. 再往上找，发现这个输入参数是由PKCS5_PBKDF2_HMAC_SHA1生成的。
5. PKCS5_PBKDF2_HMAC_SHA1的输入参数是一个0x29字节的数组，前面9个字节是uid。 后面还有一段32位的数据。主要查看这段32位的数据哪里来的。
6. 一步一步往上跟，发现来自一个全局变量的offset为0x2e8的地方，地址固定。
7. 最后一步，监视该地址。看他什么时候设置的，最后发现是在userconfig里面的base64字符串解密之后的json字符串中的salt字段。

总结

v2版本:

1. cpuid(0) 获取cpu信息并格式化为字符串global_key, global_key用于打开DingTalk\\globalStorage\\storage.db。
2. 从storage.db中获取用户uid及相关user db目录，并对该uid求md5得到 key。

V3版本:

1. cpuid(0) 获取cpu信息并格式化为字符串global_key, global_key用于打开DingTalk\\globalStorage\\storage.db。
2. 从storage.db中获取用户uid 及 相关user db目录。

3. 读取DingTalk\\xxxxxxxx_v3\\user_config文件中的内容，Base64解密。

4. 读取其中的salt值，并将uid+salt字符串PKCS5_PBKDF2_HMAC_SHA1再加密一次得到一个32位数组，对该数组求MD5，得到key。

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！