Finalshell 3.9.2.2 逆向破解
本帖最后由 Ax王者 于 2023-1-24 17:19 编辑## 前言
去年破解过`3.0.10`版本,相较现在的版本,混淆加密仍然是`Allatori旧版`,不知作者是因为调试的需要还是其他的原因仍然保留着`源文件名称`。
但这一个版本的验证系统大改,主要的改动内容是功能性改动(比如离线激活),安全性改动很少,所以花了一点时间来分析它。
## 反混淆
由于使用的是 `Allatori` 混淆器,所以直接使用公开反混淆器`threadtear`对其进行反混淆。
!(https://note.ultrapanda.me/upload/2021/10/threadtear-0a8dd780294140898c4bb3500b8a4f12.png)
在最终反混淆的结果发现,只有少数字符串被加密,大部分字符串都是明文。
## 找到关键类
通过对字符串的搜索,无法找到类似于 “激活” 这样的字眼,目前有两种猜测,一是它的本地化所致,二是有其他对字符串的保护。
但通过命令行运行程序之后发现,它会打印类似于状态指示的一些信息。
在点击登录或者离线激活时,也会打印这样的状态指示信息。
通过对状态指示信息字符串的搜索,就可以成功找到这样的关键类了。
!(https://note.ultrapanda.me/upload/2021/10/image-b3e84c245da340fbbfab890e7db1211a.png)
可以发现,这里作者使用了自己的加解密函数对字符串进行加密,所以我们在前面无法搜到相关的重要字符串。
## 解密字符串
通过对字符串的追踪,最终可以发现是一个基于`DES`的加解密。
最终对解密方法的实现是这样的:
```java
/**
* a method to decrypt final shell encrypted string.
*/
private static String decrypt(String str) throws NoSuchPaddingException, IllegalBlockSizeException, NoSuchAlgorithmException, InvalidKeySpecException, BadPaddingException, InvalidKeyException {
if (str == null || str.isEmpty()) {
return "";
}
byte[] rawData = Base64.getDecoder().decode(str);
byte[] arr = new byte;
System.arraycopy(rawData, 0, arr, 0, arr.length);
byte[] data = new byte;
System.arraycopy(rawData, arr.length, data, 0, data.length);
return new String(decryptDES(data, generateRandomKey(arr)), StandardCharsets.UTF_8);
}
private static byte[] decryptDES(byte[] data, byte[] key) throws InvalidKeyException, NoSuchAlgorithmException, InvalidKeySpecException, NoSuchPaddingException, IllegalBlockSizeException, BadPaddingException {
DESKeySpec desKeySpec = new DESKeySpec(key);
SecretKeysecretKey = SecretKeyFactory.getInstance("DES").generateSecret(desKeySpec);
Cipher cipher = Cipher.getInstance("DES");
cipher.init(2, secretKey, new SecureRandom());
return cipher.doFinal(data);
}
private static byte[] generateRandomKey(byte[] head) {
long ks = 3680984568597093857L / (long)(new Random((long)head)).nextInt(127);
Random random = new Random(ks);
int t = head;
for(int i = 0; i < t; ++i) {
random.nextLong();
}
long n = random.nextLong();
Random r2 = new Random(n);
long[] ld= new long[]{(long)head, r2.nextLong(), (long)head, (long)head, r2.nextLong(), (long)head, random.nextLong(), (long)head};
ByteArrayOutputStream bos = new ByteArrayOutputStream();
DataOutputStream dos = new DataOutputStream(bos);
long[] var15 = ld;
int var14 = ld.length;
for(int var13 = 0; var13 < var14; ++var13) {
long l = var15;
try {
dos.writeLong(l);
} catch (IOException var18) {
var18.printStackTrace();
}
}
try {
dos.close();
} catch (IOException var17) {
var17.printStackTrace();
}
byte[] keyData = bos.toByteArray();
keyData = hashMD5(keyData);
return keyData;
}
public static byte[] hashMD5(byte[] data) {
byte[] res=null;
try {
MessageDigest m;
m = MessageDigest.getInstance("MD5");
m.update(data, 0, data.length);
res=m.digest();
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
return res;
}
```
## 关键接口
通过对字符串的解密,可以初步对流程进行分析。
!(https://note.ultrapanda.me/upload/2021/10/image-866cc5b893a844f8b972c27e2b38957c.png)
可以发现,最终的几个关键的变量都被传入了一个接口实现之中,我们进入这个接口。
!(https://note.ultrapanda.me/upload/2021/10/image-d49af477cfcc4c20b1444e515dd867f3.png)
结合前面`ControlClient.class`的分析,接口的唯一方法的参数基本可以确定。
由此,我们只需要自行构造接口实现的参数之后调用实现即可。
### 在线激活与离线激活
`ControlClient.class` 中,可以发现有两个函数十分相似,但第二个函数缺少了几个参数构造行为(HTTP参数),所以基本可以断定是离线激活的实现。
但最终其实都调用了那一个接口的实现,所以我们只需要先分析第一个在线激活,然后将同样的代码复制到第二个函数中即可。
## Patch!
!(https://note.ultrapanda.me/upload/2021/10/image-eea6c43f7dfe46c4b8cafd3a7512810b.png)
直接对实现进行调用,破解完成。
!(https://note.ultrapanda.me/upload/2021/10/image-f5a6f3b4b30d4abeb8d01c3781b8ef92.png)
## 离线激活算法
```java
public static void generateKey(){
String proKey = transform(61305 + hardwareId + 8552);
String pfKey = transform(2356 + hardwareId + 13593);
}
public static String transform(String str) throws NoSuchAlgorithmException {
return Main.hashMD5(str).substring(8, 24);
}
public static String hashMD5(String str) throws NoSuchAlgorithmException {
MessageDigest digest = MessageDigest.getInstance("MD5");
byte[] hashed = digest.digest(str.getBytes());
StringBuilder sb = new StringBuilder();
for (byte b : hashed) {
int len = b & 0xFF;
if (len < 16) {
sb.append("0");
}
sb.append(Integer.toHexString(len));
}
return sb.toString();
}
```
## 引用
[反混淆器 threadtear](https://github.com/GraxCode/threadtear)
[反汇编器 recaf](https://github.com/Col-E/Recaf)
[部分字符串解密算法](https://blog.csdn.net/SunJW_2017/article/details/115508202)
## DL
https://www.aliyundrive.com/s/3eVnJHDGyuz import java.io.IOException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Scanner;
/**
* User: TechCity
* Date: 2021-10-04
* Description:
*/
public class FinalShell {
public static void main(String[] args) throws NoSuchAlgorithmException, IOException {
System.out.print("请输入FinalShell的离线机器码:");
Scanner reader = new Scanner(System.in);
String machineCode = reader.nextLine();
generateKey(machineCode);
}
public static void generateKey(String hardwareId) throws NoSuchAlgorithmException {
String proKey = transform(61305 + hardwareId + 8552);
String pfKey = transform(2356 + hardwareId + 13593);
System.out.println("请将此行复制到离线激活中:"+proKey);
System.out.println(pfKey);
}
public static String transform(String str) throws NoSuchAlgorithmException {
String md5 = hashMD5(str);
return hashMD5(str).substring(8, 24);
}
public static String hashMD5(String str) throws NoSuchAlgorithmException {
MessageDigest digest = MessageDigest.getInstance("MD5");
byte[] hashed = digest.digest(str.getBytes());
StringBuilder sb = new StringBuilder();
for (byte b : hashed) {
int len = b & 0xFF;
if (len < 16) {
sb.append("0");
}
sb.append(Integer.toHexString(len));
}
return sb.toString();
}
}
接楼主的花,献个佛,用java实现了一个完整版。 禁止更新弹窗方法:
修改hosts文件(C:\Windows\System32\drivers\etc\hosts),添加下面的东西
#禁止finalshell更新
127.0.0.1 www.youtusoft.com
127.0.0.1 youtusoft.com
127.0.0.1 hostbuf.com
127.0.0.1 www.hostbuf.com
127.0.0.1 dkys.org
127.0.0.1 tcpspeed.com
127.0.0.1 www.wn1998.com
127.0.0.1 wn1998.com
127.0.0.1 pwlt.wn1998.com
127.0.0.1 backup.www.hostbuf.com
帖子不错,但是我觉得这个软件不好使 是个好文章,但是关键的图片都挂了,初学者无法跟随你的思路走下去,可以修复一下图片吗 Tiok 发表于 2021-10-11 10:13
大佬这个怎么用?
java编译一下直接运行即可。
javac FinalShell.java
java FinalShell 买过高级版,但是现在还是用回bitwise了。finalshell粘贴大段代码时格式会有问题,而且ncurse菜单显示混乱。 感谢分享{:1_893:} 那年夏天52 发表于 2021-10-3 23:26
帖子不错,但是我觉得这个软件不好使
+1,入正版也不好使 感谢楼主分享,以前用过这个 看來还是有必要学学编程啊!!
感谢分享! 现在用别的了 好教程