1 min to read

Typora 授权解密与剖析

白嫖Typora!

Featured image

原帖

Typora 授权解密与剖析

前言

11月23日,Typora 正式发布 1.0 版本,进入了收费时代。

1.0 版本是一次性付费而非订阅的,只要支付人民币 89 元,可以在 3 台设备里使用。如你所见,这一篇文章就是使用Typora所写。自搭建个人博客起,Typora就成为了我主要的写作平台。

用惯了Markdown,WordPress的古腾堡编辑器没法满足我的需求,于是开始寻找替代品,最终的结果便是typora。

当然,多数人使用的原因不外乎以下

如今,typora进入收费阶段,不乏使用者被迫迁移至其他写作工具上。

(不扯了官方话了)下面,我们来一探究竟。

寻踪觅源

通过火绒剑监测行为日志

程序加载的一些模块

1

在Windows下,typora会记录日志至{UsersRoot}\AppData\Roaming\Typora\typora.log

能看到可疑的注册表操作记录

2

正版激活的注册项内容

3

尝试修改SLicense

photo

重新运行软件后,从错误日志中发现调用栈暴露。

photo

渐入佳境

这里关注到了app.asar

通过搜索引擎,尝试解包

npm install -g asar
asar extract {installRoot}/Typora/resources/app.asar workstation/outs

发现文件被加密

photo

JavaScript不管是字节码还是明文脚本都会在运行时加载,结合模块列表寻找加载点

关注到解包得到的main.node

photo

IDA寻找字符串特征

photo

photo

通过交叉引用定位

看到一些导入函数

photo

由字符串联想到对加密文件进行的base64解码

导入表查找到 [napi Node-API Node.js API 文档 (nodejs.cn)](http://nodejs.cn/api/n-api.html)

简单分析伪代码后,其实就是运行

Buffer.from(e,"base64")

刻舟求剑

尝试Findcrypt寻找算法,找到AES的SboxInvBox

通过交叉引用定位到可疑函数点 main.node+E440

IDA动态调试,模块加载断点

photo

跑起来,直至加载main.node

photo

分析模块后,定位base+offset下断,运行

看到

photo

正好与我们的文件对应偏移16

photo

继续调试能看到 分组加密的形式

photo

同时能够找到前16字节

photo

正是作为iv进行异或

photo

柳暗花明

分析调用函数,最终能够确定其函数功能

photo

通过偏移EF19,能够确定AES轮数为13轮,对应为AES 256

偏移B510处的函数,能够得到AESKey

photo

落叶归根

解密得到明文脚本,授权主逻辑在Lisence.js中

授权逻辑如下图

photo

本地验证->获取用户特征->网络验证授权->返回密文->RSA公钥解密->设备指纹对比

破解的思路,不多做阐述。

修改完成后,只需要按相同格式加密并打包为app.asar即可实现补丁Patch

测试

总有一种人,喜欢享受“正版”激活的感觉。而我就是……

我采用 Patch+KeyGen

补丁去除网络授权,KeyGen用于本地验证,测试成功

photo

尾声

typora针对electron下的源码加固仍是一片空白。

简单思考后,传统代码混淆的方式对关键逻辑的保护依然有较大的提升空间,不失为一个恰当的加固方向。

期待typora会越做越好