技术教程破解资源

某国产“自主”操作系统专属 Electron 应用“移植”

整理:jimmy2025/1/4浏览2
简介某国产“自主”操作系统专属 Electron 应用“移植”2020-12-30_16-53.png (468.37 KB, 下载次数: 0)下载附件2021-1-10 13:12 上传最近在 Linux 相关群组内看到某个国产软件给某个国产系统提供了专版应用,这个专版应用在别的系统上都不可以正常运行

某国产“自主”操作系统专属 Electron 应用“移植”

某国产“自主”操作系统专属 Electron 应用“移植”

2020-12-30_16-53.png

最近在 Linux 相关群组内看到某个国产软件给某个国产系统提供了专版应用,这个专版应用在别的系统上都不可以正常运行,但是有老哥发现这个 xxxx 程序读取了 lsb-release, libyyosdevicea.so 和 os-release,在替换这三个文件成 yy 系统的文件之后,就可以直接登陆了...所以我就进行了分析和学习。

自主规避模式,将某操作系统的名字换成了 yy,而某国产软件的名字换成了 xxxx。请不要无端联想。

分析

首先先解压 deb 包,看到的是一个 Electron 程序的正常架构。

~/d/r/u/v2 > tree.├── control├── control.tar.gz├── data.tar.xz├── debian-binary├── md5sums├── opt│   └── apps│       └── com.xxxx│           ├── entries│           │   ├── applications│           │   │   └── com.xxxx.desktop│           │   ├── doc│           │   │   └── xxxx│           │   │       └── copyright│           │   ├── icons│           │   │   └── hicolor│           │   │       ├── 128x128│           │   │       │   └── apps│           │   │       │       └── xxxx.png│           │   │       ├── 16x16│           │   │       │   └── apps│           │   │       │       └── xxxx.png│           │   │       ├── 256x256│           │   │       │   └── apps│           │   │       │       └── xxxx.png│           │   │       ├── 48x48│           │   │       │   └── apps│           │   │       │       └── xxxx.png│           │   │       └── 64x64│           │   │           └── apps│           │   │               └── xxxx.png│           │   ├── lintian│           │   │   └── overrides│           │   │       └── xxxx│           │   └── pixmaps│           │       └── xxxx.png│           ├── files│           │   ├── blink_image_resources_200_percent.pak│           │   ├── content_resources_200_percent.pak│           │   ├── content_shell.pak│           │   ├── icudtl.dat│           │   ├── libffmpeg.so│           │   ├── libnode.so│           │   ├── LICENSES.chromium.html│           │   ├── locales│           │   │   ├── zh-CN.pak│           │   │   └── zh-TW.pak│           │   ├── natives_blob.bin│           │   ├── pdf_viewer_resources.pak│           │   ├── resources│           │   │   ├── app.asar│           │   │   ├── electron.asar│           │   │   ├── sae.dat│           │   │   └── wcs.node│           │   ├── snapshot_blob.bin│           │   ├── ui_resources_200_percent.pak│           │   ├── version│           │   ├── views_resources_200_percent.pak│           │   └── xxxx│           └── info├── postinst├── postrm├── sign└── usr    ├── lib    │   └── license    │       └── libyyosdevicea.so    └── share        └── doc            └── com.xxxx                ├── changelog.Debian.gz                └── copyright32 directories, 106 files

这里我们直入正题,看下 opt/apps/com.xxxx/files/ 的 xxxx 文件,发现这个文件有点大,IDA 分析不动...所以就先照着别的老哥说的,看下 opt/apps/com.xxxx/files/resources 下的 app.asar。这个文件直接用 asar e app.asar $解压到的目录 就解压开了。比较关键的是下面的函数,应该是通过 node.js 的 module 进行生成 token,然后将这个 token 塞入 http 请求的头部,然后服务器进行特殊校验就可以判断是否允许通过了。

function getToken() {    let pathname = path.dirname(__dirname);        let wcs = require(path.join(pathname, './wcs.node'));        let kp = path.join(pathname, 'sae.dat');        let buf = wcs.get_cc_data(1, kp);        return buf.toString('ascii');}function bindToken(session) {        session.webRequest.onBeforeSendHeaders(                { urls: urlFilters },                (details, callback) => {                        if (details.url.indexOf('/cgi-bin/mmwebxxxx-bin/webxxxxnewloginpage') > -1) {                                details.requestHeaders['extspam'] = getToken();                                details.requestHeaders['client-version'] = app.getVersion();                        }                }        );}

那么现在就去分析下 wcs.node 了。看了下 wcs.node 的 strings 结果,发现没有什么关键的字符串,并且在 lld 的结果中没有发现 libyyosdevicea.so,猜测用了 dlopen 进行动态加载,所以查了下 dlopen 的交叉引用

Direction        Type        Address        TextDown        p        sub_7B180+31        call    _dlopenDown        p        sub_800D0+C5        call    _dlopen

然后再看了下 sub_800D0 的引用,发现字符串似乎被加密了

.text:0000000000080189                 lea     rdi, weird_str.text:0000000000080190                 mov     esi, 2          ; mode.text:0000000000080195                 call    _dlopen

查了下 weird_str 的交叉引用,看来就是 xor 了下字符串

.text:00000000000845EC                 mov     [rsp+var_8], 0.text:00000000000845F5                 lea     rax, weird_str.text:00000000000845FC                 nop     dword ptr [rax+00h].text:0000000000084600.text:0000000000084600 loc_84600:                              ; CODE XREF: sub_844D0+146↓j.text:0000000000084600                 mov     rcx, [rsp+var_8].text:0000000000084605                 xor     byte ptr [rcx+rax], 17h.text:0000000000084609                 add     rcx, 1.text:000000000008460D                 mov     [rsp+var_8], rcx.text:0000000000084612                 cmp     rcx, 21h.text:0000000000084616                 jb      loc_84600

写个 IDAPython 脚本解密下

import idautilsimport idcdef get_str(addr, str_len):    s = ''    for i in range(str_len):        temp = idaapi.get_byte(addr + i)        if temp == 0:            break        s += chr(temp)    return sdef xor_again(func):    op, xor_num, str_len = None, None, None    for curr_addr in idautils.FuncItems(func):        mnem = idc.print_insn_mnem(curr_addr)        if mnem == 'lea':            op = idc.get_operand_value(curr_addr, 1)        if mnem == 'xor':            xor_num = idc.get_operand_value(curr_addr, 1)        if mnem == 'cmp':            str_len = idc.get_operand_value(curr_addr, 1)            enc_s = get_str(op, str_len)            dec_s = ''            for i in enc_s:                dec_s += chr(ord(i) ^ xor_num)            print("%x %x %x %s" % (op, xor_num, str_len, dec_s))xor_again(0x844D0)

输出如下

49bf60 1 2c Failed to load symbol "get_hddsninfo" : %s.49bf20 11 13 Failed to load %s.49bfb0 19 2c Failed to load symbol "yy_get_mb_sn" : %s.49c100 14 d yy_is_active49c020 1f 10 yy_get_hwserial49c140 4 13 basic_string::erase49bef0 17 21 /usr/lib/license/libyydevicea.so49c160 17 36 %s: __pos (which is %zu) > this->size() (which is %zu)49bf8d 1e 7 unknown49bff0 17 26 Failed to load symbol "get_mac" : %s.49c0b0 5 14 yy_get_licensetoken49bf40 1b 11 yy_get_hddsninfo49bf95 14 d yy_get_mb_sn49bfdd 1f b yy_get_mac49c040 6 2f Failed to load symbol "yy_get_hwserial" : %s.49c070 11 d yy_get_osver49c0d0 17 2f Failed to load symbol "get_licensetoken" : %s.49bec0 1d 10 /etc/lsb-release49c110 7 28 Failed to load symbol "is_active" : %s.49c080 15 28 Failed to load symbol "get_osver" : %s.49bedd 14 e DISTRIB_ID=yy49bed1 2 b DISTRIB_ID=

移植

那目的很明确了,将汇编中指向 0x49bef0(/usr/lib/license/libyydevicea.so) 和 0x49bec0(/etc/lsb-release) 的地方,指向我们自定义的字符串。

借助 Keypatch 就好。

我们先在 .eh_frame 上加上自定义字符串。

.eh_frame:000000000022BC78 yy_new_so      db '/opt/apps/com.xxxx/misc/libyydevicea.so',0.eh_frame:000000000022BC78                                         ; DATA XREF: sub_800D0:loc_80189↑o.eh_frame:000000000022BCA6                 db    0.eh_frame:000000000022BCA7                 db    0.eh_frame:000000000022BCA8 lsb_new         db '/opt/apps/com.xxxx/misc/lsb-release',0

然后让汇编中指向 0x49bef0 的地方指向新的字符串。

.text:0000000000080189                 lea     rdi, yy_new_so ; "/opt/apps/com.xxxx/misc/libyydevi"....text:0000000000080190                 mov     esi, 2          ; mode.text:0000000000080195                 call    _dlopen

同理

.text:000000000007FD94                 lea     rsi, lsb_new    ; Keypatch modified this from:.text:000000000007FD94                                         ;   lea rsi, lsb_release.text:000000000007FD9B                 lea     rdi, [rbp+var_250].text:000000000007FDA2                 mov     edx, 8

然后 patch 下 libyydevicea.so

.rodata:000000000000651E ; char filename[].rodata:000000000000651E filename        db '/opt/apps/com.xxxx/misc/os-release',0

然后就能登上了...

Patch 结果

~/d/r/u/v/o/a/c/f/resources > radiff2 -u wcs.node wcs.node.bak                       -0x0007fd97:0d bf 1a  "\r\xbf\x1a"+0x0007fd97:25 c1 41  "%\xc1A"-0x0008018c:e8 ba 1a  "\xe8\xba\x1a"+0x0008018c:60 bd 41  "`\xbdA"-0x0022bc78:2f 6f 70 74 2f 61 70 70 73 2f 63 6f 6d 2e 71 71 2e 77 65 69 78 69 6e 2f 6d 69 73 63 2f 6c 69 62 75 6f 73 64 65 76 69 63 65 61 2e 73 6f 00 00 00 2f 6f 70 74 2f 61 70 70 73 2f 63 6f 6d 2e 71 71 2e 77 65 69 78 69 6e 2f 6d 69 73 63 2f 6c 73 62 2d 72 65 6c 65 61 73 65 00  "/opt/apps/com.xxxx/misc/libyydevicea.so"+0x0022bc78:14 00 00 00 00 00 00 00 01 7a 52 00 01 78 10 01 1b 0c 07 08 90 01 00 00 24 00 00 00 1c 00 00 00 e8 b5 e4 ff 50 36 00 00 00 0e 10 46 0e 18 4a 0f 0b 77 08 80 00 3f 1a 3b 2a 33 24 22 00 00 00 00 14 00 00 00 44 00 00 00 10 ec e4 ff a8 00 00 00 00 00 00 00 00 00 00 00 1c  "\x14"~/d/r/u/v/o/a/c/misc > radiff2 -u libyydevicea.so libyydevicea.so.bak-0x0000651f:6f 70 74  "opt/apps/com.xxxx/misc/os-release"+0x0000651f:65 74 63  "etc/os-release"-0x00006523:61 70 70 73 2f 63 6f 6d 2e 71 71 2e 77  "apps/com.xxxx/misc/os-release"+0x00006523:6f 73 2d 72 65 6c 65 61 73 65 00 6f 70  "os-release"-0x00006531:69 78 69 6e 2f 6d 69 73 63 2f  "ixin/misc/os-release"+0x00006531:6e 20 6f 73 20 76 65 72 73 69  "n os version file error"-0x0000653c:73 2d 72 65  "s-release"+0x0000653c:6e 20 66 69  "n file error"-0x00006542:61 73 65 00 00 00  "ase"+0x00006542:20 65 72 72 6f 72  " error"

其他所需文件请前往AUR自行下载。

上一篇:再战新版(双版本)【我是航空管制官4(ATC4)游戏盗版汉化再封装安装包】

下一篇:玩玩破解——小白实战6,再上一层楼,做个注册机