Chrome 的远程调试端口一般可以通过命令行参数进行开启， --remote-debugging-port=9222。但千牛的浏览器是通过程序代码启动的，加命令行参数行不通。

1. 查看安装目录有 libcef.dll 文件，标出了 cef 的版本，文件大小有 127 MB，cef 大部分的代码应该都在这里。数字签名是淘宝的，应该经过了重新编译。

2. 直接上 x32 dbg，调试 AliWorkbench.exe，会出现反调试，程序会退出。使用 x32 dbg 的 调试——》高级——》隐藏调试器（PEB）也不行。

3. 打开 ProcessExplorer ，查看程序的命令行参数，看到 AliApp.exe 进程的命令行参数，有点眼熟，像是传给 cef 的。

4. 通过调试知道千牛是使用 C++ 写的，然后就去搜索 C++ 的 cef 的源代码，在这里找到了

af1K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1K9i4c8T1N6h3y4C8k6i4c8Q4x3X3g2G2M7X3N6Q4x3V1k6U0K9s2u0G2L8h3W2#2L8h3g2E0j5X3g2V1k6r3g2V1i4K6u0r3j5$3g2X3i4K6u0r3N6$3W2C8K9g2)9J5c8V1u0J5j5h3&6U0K9r3g2K6b7h3&6V1b7Y4g2A6L8r3c8A6L8X3M7`.，然后 clone 一份到本地。

5.使用 notepad++ 打开， Open Folder as Workspace，右击根目录搜索 remote_debugging_port，成功搜到一个地方，并且只有这一个地方是赋值的。

6. 如果能在内存当中定位到这个地方，事情就简单了。这个赋值的前后没有一些字符串可以搜索，只有大段的 cef_string_set，通过搜索 cef_string_set，定位到了 3 个宏定义。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！