白度网盘加速Speed逆向分析Ⅰ. 面对的是什么Ⅱ. 解包Ⅲ. 获取点有用的东西

白度网盘加速Speed逆向分析

仅限于学习交流，切勿用于商业用途，若造成侵权，请联系作者处理。

软件供学习使用：链接：349K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4g2q4R3$3g2e0k6v1k6r3S2x3N6f1!0m8y4s2A6n7e0f1&6Z5b7g2m8T1k6#2)9K6c8Y4m8%4k6q4)9K6c8r3W2J5P5r3V1`. 提取码：irxi

Ⅰ. 面对的是什么

首先观察该软件的目录结构，如下：

注意到chrome、v8等字样以及经典的Electron目录文件结构，基本上我们可以确定这个是一个使用Electron写的一款基于浏览器的软件。根据Electron开发的一些知识，我们知道其主要的逻辑在resources目录下的app.asar中。找到开发框架的过程还是比较简单。

Ⅱ. 解包

对于Electron，论坛上已经有非常成熟的文章，这里笔者简单赘述：

在笔者分析的一些Electron写的程序中，主要的反逆向的点主要在app.asar上。因为对于Electron的打包程序来说，该框架不会主动对代码进行加密，“打包”只是简单的将逻辑文件以及程序加载所需要的描述信息拼凑到一起，也就意味着，程序的主逻辑代码会在运行时完全暴露出来。

针对Electron框架的安全性问题，有人提出了运行时解密的思路(85fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6@1L8%4W2G2j5X3q4&6j5i4y4Z5K9g2)9J5c8X3g2D9k6h3y4@1M7X3!0F1i4K6u0V1j5i4y4S2M7W2)9J5k6r3g2F1j5%4u0&6M7s2c8Q4x3X3c8V1k6h3#2G2)，主要想法还是“壳”的思想，将主要代码加密，然后将主程序入口放在解密例程上，程序运行时解密例程首先获得控制权对代码进行解密，之后来到主逻辑代码领空。Typora使用的这个就是这个思路。。

由于运行时解密，意味着在某个合适的位置我们完全可以从内存中dump出程序代码，或者直接在内存中修改代码影响程序逻辑，甚者我们可以复现解密逻辑进行解密，这只是时间上的问题。

其他的防御措施无外乎文件完整性系列的校验。

我们来看一下这款软件有没有防御措施。

可见作者并没有在asar上进行加密处理，我们试着解包。

Ⅲ. 获取点有用的东西

非常容易的就拿到了他的代码。。。既然作者并没有打算保护的意思，那我们就尝试在软件上开个调试控制台试试。

可以看到程序的主入口是background.js

对代码进行简单的美化，直接找有没有webContents字样，找到一个比较合适的位置：

添加调试控制台。

将文件夹名称改为app.asar即可直接运行，效果如下：

经调试，找到他的解析接口：

作者调用的应该是公开的网盘解析接口。代码只是加了简单的混淆，逻辑比较明显，不再赘述。

看来这篇笔记注定是个水文。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课