【逆向】午夜归来玩破解-火兔破解附解密过程

注意：本文从旧博客迁移过来，涉及内容可能已经过时，请选择性阅读。

中秋，跟同事一起聚会玩到午夜，准备上火兔嘀咕几句，发现有人问我“图嘀怎么不能发图了？”（注：图嘀，以前做的一个小工具，用来突破限制发图）。当时心里就犯了嘀咕，火兔把我辛辛苦苦做的图嘀和谐了？

马上登陆图嘀验证，果然发送图片失败。某客户端也随之更新，以前的图滴版本无法使用。一连串的事实证明，图嘀确实被和谐了。火兔做了加密处理，但是我这人就是喜欢较劲。于是熬夜奋战，解决了问题。

遇到被封锁的问题，习惯性的想到火兔一定在API上做了手脚，果不其然，抓包看究竟。如图所示：

在发送嘀咕的时候程序会事先向LoveDiguVal 发送一个请求。然后会得到一个字符串：

看到这字符串，有点莫名其妙，于是邪恶的连续刷新好几次，每次得到的字符窜都是不规则的字符窜（包括长度）。看到这里，心里开始嘀咕，未必遇到加密高手了？放弃是不可能的，于是连续抓了几个包开始分析，准备从获取的字符窜中入手，以获取一些有用的信息。

以下是抓取的４组字符串：

228 vxi 738 bkof 1296 an 696 6510　emb（456 b 738 mcr 1134 sio 928 8680qg 1769 xgm）

228 opxc 738 1296 z 696 fplxxh 6499 eeho （456 irckph 738 1296 pd 609 enkwdsar 8665 comr 717 mtg）

228 bt 738 zv 1296 rl 696 nbu 3028 heg（456 mpvqknkks 738 vnkdsrnri 1134 psetp 928 kxhyeldouw294pxra）

228 ntr 738 q 1296 ofc 696 vguk 616 kbs （456 cnrhky 738 nlvt 1134 nqyxr 928 ww 1902 gpsuopt）

空格是我特意分开的，从以上的数组中不难发现一个规律：前四组数字的值都是一样的，唯独最后一位的数字的值是变化的。看到这一组数据，开始纳闷了，这不像是流行的加密算法啊？未必火兔的程序员自己写了一个算法？

上面每组数据会有两组字符串，前面的是获取的，后面的是发送出去的。初步下了得出：客户端首先获取字符串，然后根据获取的字符串来进行处理，接着发送出去另外一个字符串。这个过程中，客户端可能会涉及到一个加密算法。

当然这时候，我也只是推测。做事情有始有终，既然在客户端会有处理，那么弄清楚它的算法不就可以看个究竟了？于是习惯性的，尝试反编译它的客户端，它的客户端是基于Adobe Air技术，以前还没试过反编译这玩意，这将会是一个吃螃蟹的过程。

经过一番努力，反编译成功，获得类似字节码的IL语言。开始分析代码，由于没有配置环境没法调试。直接从代码段开始入手分析，众里寻它千百度，暮然回首发现一个可疑的加密以及解密的函数，上图：

这么敏感的字符居然没被混淆，哦也。Encry顾名思义加密的意思。那么它加密的什么呢？看代码（代码中注释的部分也就是我分析的过程）：

static function decryptIp(String):Array /*disp_id 4*/ //解密函数，返回是一个数组  
{   
    // local_count=3 max_scope=1 max_stack=4 code_len=80
    0       getlocal0         
    1       pushscope         
    2       getlocal1         
    3       getlex         RegExp 

    6       pushstring     "[A-Za-z]+"  //这里它用到了正则？这里为什么要用到正则呢？未必是处理 请求的那个字符窜的？（现在仅仅是猜测），继续往后走。  

    9       construct      (1)   

    11      callproperty   http://adobe.com/AS3/2006/builtin::split (1) //这里它用到了 分割？ 难道是把那个字符窜分割成数组？经验证确实如此。

    15      coerce         Array   

    17      setlocal2         
    18      getlocal2         
    19      pushbyte0  
    21      getlocal2         
    22      pushbyte       0 //这里指向数组 索引为 0的数  

    24      getproperty    null  

    27      pushbyte       2 //这里 它进行了 除 2的处理。  

    29      divide           //除法的意思。。英语很重要啊。呵呵  
    30      setproperty    null  

    33      getlocal2         
    34      pushbyte       1   
    36      getlocal2         
    37      pushbyte       1 //这里指向数组 索引为 1的数    
    39      getproperty    null  

    42      pushbyte       3 //这里 它进行了 除 2的处理。  

    44      divide           
    45      setproperty    null  

    48      getlocal2         
    49      pushbyte       2  
    51      getlocal2         
    52      pushbyte       2 //这里指向数组 索引为 2的数  

    54      getproperty    null  

    57      pushbyte       8 //这里 它进行了 除 2的处理。    

    59      divide           
    60      setproperty    null  

    63      getlocal2         
    64      pushbyte       3  

    66      getlocal2         
    67      pushbyte       3 //这里指向数组 索引为 2的数  
    69      getproperty    null  

    72      pushbyte       6 //这里 它进行了 除 2的处理。    

    74      divide           
    75      setproperty    null  
    78      getlocal2         
    79      returnvalue       
  }

这里我有点奇怪，为什么只有四组？前面我们从函数的名字我们可以判断出，这组数据是跟IP有关联的（现在只是假设）。我把获取的字符窜里面的数字按早这个规则进行运算，得出的结果正好是我的IP地址？事情开始明朗了，好，我们继续往后走。

static function encryptIp(Array):String /* disp_id 3*/  
{   
    activation {   
       var myPak::getRandomStr:Function /* slot_id 2 */  
       var myPak::r:String /* slot_id 3 */  
       var myPak::ip:Array /* slot_id 1 */  
     }   
     // local_count=3 max_scope=2 max_stack=5 code_len=230  
     0       getlocal0         
     1       pushscope         
     2       newactivation     
     3       dup               
     4       setlocal2         
     5       pushscope         
     6       getscopeobject 1  

     8       getlocal1         
     9       setslot        1  

     11      getscopeobject 1  

     13      newfunction    var undefined():String /* disp_id 0*/  

     16      coerce         Function 

     18      setslot        2  

     20      getscopeobject 1  

     22      pushstring     ""  

     24      setslot        3  

     26      getscopeobject 1  

     28      getlex         Math   

     31      getscopeobject 1  

     33      getslot        1  

     35      pushbyte       0  

     37      getproperty    null  

     40      pushbyte       4  //这里它把解密后的数值进行乘以4的处理？ 

     42      multiply         
     43      callproperty   round (1)   

     47      callproperty   http://adobe.com/AS3/2006/builtin::toString (0)  

     51      getscopeobject 1  

     53      getslot        2  

     55      getglobalscope   
     56      call           (0)   

     58      add               
     59      coerce_s         

     60      setslot        3  

     62      getscopeobject 1  

     64      getscopeobject 1  

     66      getslot        3  
     68      getlex         Math   

     71      getscopeobject 1  
     73      getslot        1  

     75      pushbyte       1  

     77      getproperty    null  

     80      pushbyte       3 //这里它把解密后的数值进行乘以3的处理？  
     82      multiply         
     83      callproperty   round (1)   
     87      callproperty   http://adobe.com/AS3/2006/builtin::toString (0)

     91      add               
     92      getscopeobject 1  

     94      getslot        2 

     96      getglobalscope   

     97      call           (0)   

     99      add               
     100     coerce_s         
     101     setslot        3  

     103     getscopeobject 1  

     105     getscopeobject 1  

     107     getslot        3  

     109     getlex         Math  

     112     getscopeobject 1  

     114     getslot        1  

     116     pushbyte       2  

     118     getproperty    null  

     121     pushbyte       7 //这里它把解密后的数值进行乘以7的处理？ 

     123     multiply         
     124     callproperty   round (1)   

     128     callproperty   http://adobe.com/AS3/2006/builtin::toString (0) 

     132     add               
     133     getscopeobject 1  

     135     getslot        2  

     137     getglobalscope   
     138     call           (0) 

     140     add               
     141     coerce_s         
     142     setslot        3  

     144     getscopeobject 1  

     146     getscopeobject 1  

     148     getslot        3  

     150     getlex         Math  

     153     getscopeobject 1  

     155     getslot        1  

     157     pushbyte       3  

     159     getproperty    null  

     162     pushbyte       8 //这里它把解密后的数值进行乘以8的处理？    

     164     multiply         
     165     callproperty   round (1)  

     169     callproperty   http://adobe.com/AS3/2006/builtin::toString (0)  

     173     add               
     174     getscopeobject 1  

     176     getslot        2  

     178     getglobalscope   
     179     call           (0)   

     181     add               
     182     coerce_s         
     183     setslot        3  

     185     getscopeobject 1  

     187     getscopeobject 1  

     189     getslot        3  

     191     getlex         Math   

     194     getlex         Math   

     197     callproperty   random (0) //NND 原来最后组数是随机数？难怪前面的都是有规律的，唯独最后一个数字没规律。  

     201     pushshort      2500 //它在0~250 范围内任意取值。

     204     multiply         
     205     callproperty   round (1)  

     209     callproperty   http://adobe.com/AS3/2006/builtin::toString (0) 

     213     add               
     214     getscopeobject 1  

     216     getslot        2  

     218     getglobalscope   
     219     call           (0)  

     221     add               
     222     coerce_s         
     223     setslot        3  

     225     getscopeobject 1  

     227     getslot        3  

     229     returnvalue       
   }

在以上的代码中，一个明朗的思路渐现：客户端申请一个字符串，然后对字符串解密并二次加密发送数据。

我开始有点纳闷，它根据IP加密的，为啥要生成一个字符串然后解密再加密？让人摸不着头脑，后来证明那加密完全是多余，也就是说把火兔的程序员想的好一点：他用来混淆试听的，或者是起到一个类似于验证码的功能。

最后写了一个小DEMO 去测试是否验证成功，截图：

测试发图成功，如图：

注意：仅供参考。之所以拿火兔开刀，是因为觉得它做的还是不错，就是限制的厉害，正好我最讨厌被限制，于是有了图嘀的出现。

破解过程有点跳跃性，在真正的破解中，这是很漫长的过程，大概花了我4个小时。由于实在太累，所以就写了关键的部分，不懂的可以邮件问我。最后说一句“道高一尺魔高一丈，安全是个永恒的话题”。