好友
阅读权限20
听众
最后登录1970-1-1
|
本帖最后由 benzcomp 于 2023-4-23 18:58 编辑
本来不想再跟进FR的解密,前几天看到“FXXXXRXXXXX 10.0 另一破解思路”(https://www.52pojie.cn/thread-1117200-1-1.html)这篇文章,只是想以此做下尝试。
反向过程中发现,classx文件的加密又有所改变,以往发布的方法完全照做已无法轻松实现PJ,特此再做一下经验分享吧。
关于思路及关键文件分析请参考以前发布的文章https://www.52pojie.cn/thread-1012601-1-1.html,在此不再赘述。
总体原则:不对官方文件进行修改,减少不必要的人为麻烦,只采用外挂拦截或修改配置文件方式,动态PJ,尽量不影响在线升级。
以前的PJ方式就是,重写com.fr.license.selector.EncryptedLicenseSelector,修改解密函数decrypt(),返回注册明文,然后,使其在真正的类前加载实现的。
但是,好像是在3月份的某一个版本后,10.0和11.0的发布版本都对该方法的PJ进行了反制。
老版本:
[Java] 纯文本查看 复制代码 import com.fr.license.selector.AbstractLicenseSelector;
import com.fr.license.selector.EncryptedLicenseSelector;
import com.fr.log.FineLoggerFactory;
import com.fr.stable.Hidden;
@Hidden
public abstract class EncryptedLicenseSelector extends AbstractLicenseSelector {
byte[] getBytes() {
byte[] arrayOfByte = readRawBytes();
return decrypt(arrayOfByte);
}
protected void decryptFailed(Throwable paramThrowable) {
FineLoggerFactory.getLogger().error("Read license failed." + paramThrowable.getMessage(), paramThrowable);
}
abstract byte[] readRawBytes();
public byte[] decrypt(byte[] paramArrayOfbyte);
}
新版本:
[Java] 纯文本查看 复制代码 import com.fr.license.selector.AbstractLicenseSelector;
import com.fr.license.selector.EncryptedLicenseSelector;
import com.fr.log.FineLoggerFactory;
import com.fr.stable.Hidden;
@Hidden
public abstract class EncryptedLicenseSelector extends AbstractLicenseSelector {
byte[] getBytes() {
byte[] arrayOfByte = readRawBytes();
return decrypt(arrayOfByte);
}
protected void decryptFailed(Throwable paramThrowable) {
FineLoggerFactory.getLogger().error("Read license failed." + paramThrowable.getMessage(), paramThrowable);
}
abstract byte[] readRawBytes();
public native byte[] decrypt(byte[] paramArrayOfbyte);
}
唯一的区别是decrypt()添加了native 前缀,而且,其他方法的注册认证也不再调用getBytes(),而是改为直接调用decrypt(),所以,老方法就失效了,修改后的com.fr.license.selector.EncryptedLicenseSelector被提前加载后,系统启动会挂起其他模块对该native函数的调用过程。
那么,如何使原来的方法继续有效?“FXXXXRXXXXX 10.0 另一破解思路”一文提供了有效的思路:
仍然使用修改版的EncryptedLicenseSelector,然后,利用 Java Instrumentation 去拦截。
操作步骤:
1、构建com.fr.license.selector.EncryptedLicenseSelector
[Java] 纯文本查看 复制代码 import com.fr.license.selector.AbstractLicenseSelector;
import com.fr.license.selector.EncryptedLicenseSelector;
import com.fr.log.FineLoggerFactory;
import com.fr.stable.Hidden;
@Hidden
public abstract class EncryptedLicenseSelector extends AbstractLicenseSelector {
byte[] getBytes() {
byte[] arrayOfByte = readRawBytes();
return decrypt(arrayOfByte);
}
protected void decryptFailed(Throwable paramThrowable) {
FineLoggerFactory.getLogger().error("Read license failed." + paramThrowable.getMessage(), paramThrowable);
}
abstract byte[] readRawBytes();
public byte[] decrypt(byte[] paramArrayOfbyte);
}
构建生成com.fr.license.selector.EncryptedLicenseSelector.class文件,待用;
2、构建FineCrackAgent
借用2316361和Teahome的代码,在此,一并表示感谢。
git clone 2316361 的分享 https://github.com/2316361/FineCrack
修改FineCrackAgent.java
[Java] 纯文本查看 复制代码 package crack;
import crack.transformer.MultiMethodTransformer;
import crack.transformer.SingleMethodTransformer;
import javassist.ClassPool;
import javassist.CtClass;
import java.lang.instrument.ClassDefinition;
import java.lang.instrument.Instrumentation;
public class FineCrackAgent {
public static void agentmain(String args, Instrumentation inst) throws Exception {
ClassPool pool = new ClassPool(true);
CtClass cl = pool.get("java.lang.reflect.Modifier");
cl.getDeclaredMethod("isNative").setBody("{ return true; }");
inst.redefineClasses(new ClassDefinition[] {
new ClassDefinition(Class.forName(cl.getName(), false, null), cl.toBytecode())
});
System.out.println(cl.getName() + " 替换完成!");
Class<?>[] classes = inst.getAllLoadedClasses();
for (Class<?> clazz : classes) {
String name = clazz.getName();
if (name.equals("com.fr.license.security.LicFileRegistry")) {
inst.addTransformer(new SingleMethodTransformer(name, "check", 1, 2, new byte[]{4, -84}, null), true);
inst.retransformClasses(clazz);
System.out.println(name + " 替换完成!");
}
if (name.equals("com.fr.license.entity.AbstractLicense")) {
inst.addTransformer(new MultiMethodTransformer(name, "support", 1, 2, new byte[]{4, -84}, null), true);
inst.retransformClasses(clazz);
System.out.println(name + " 替换完成!");
}
if (name.equals("com.fr.license.selector.EncryptedLicenseSelector")) {
inst.addTransformer(new SingleMethodTransformer(name, "decrypt", 1, 2, new byte[]{43, -80}, null), true);
inst.retransformClasses(clazz);
System.out.println(name + " 替换完成!");
}
}
}
}
构建生成FineCrack-jar-with-dependencies.jar
3、加密com.fr.license.selector.EncryptedLicenseSelector.class
文章开始所说的classx文件加密方式的改变。
老版本是对class全文件进行RSA加密(具体加密方式参考9.0和10.0版本的分析),新版本加密改为:
a、只对文件每256字节的前24字节进行加密;
b、文件结尾不足256字节部分,超过24字节长度时,不加密;不足24字节时,加密。
按照该加密规则,完成两次加密后,打包成jar,放入fine-core-11.0.jar相同目录。
4、FineCrack-jar-with-dependencies.jar随便放到哪个目录
修改X:\FineReport_11.0\bin\designer.vmoptions 增加 -javaagent:X:\FineReport_11.0\FineCrack-jar-with-dependencies.jar
tomcat、resin等部署时,在JAVA_OPTS增加探针破解库路径,如:
JAVA_OPTS="$JAVA_OPTS -javaagent:/usr/local/tomcat8/webapps/webroot/WEB-INF/lib/FineCrack-jar-with-dependencies.jar"
5、注册文件fanruan.lic
格式没变,只要修改版本号即可
[XML] 纯文本查看 复制代码 {"VERSION":"11.0","DEADLINE":4102444799499,"CONCURRENCY":"0"}
====================================================================================
结合各位大神的思路,更新一下吧,不再需要自己构建com.fr.license.selector.EncryptedLicenseSelector.class
1、修改SingleMethodTransformer
[Java] 纯文本查看 复制代码 package crack.transformer;
import crack.AddConstFunction;
import javassist.bytecode.*;
import java.io.ByteArrayInputStream;
import java.io.ByteArrayOutputStream;
import java.io.DataInputStream;
import java.io.DataOutputStream;
public class SingleMethodTransformer extends CrackTransformer {
public SingleMethodTransformer(String targetClassName, String targetMethodName, int stack, int locals, byte[] newCode, AddConstFunction function) {
super(targetClassName, targetMethodName, stack, locals, newCode, function);
}
@Override
protected byte[] modifyMethod(byte[] classfileBuffer, String methodName, int stack, int locals, byte[] newCode) throws Exception {
DataInputStream inputStream = new DataInputStream(new ByteArrayInputStream(classfileBuffer));
ClassFile classFile = new ClassFile(inputStream);
inputStream.close();
ConstPool constPool = classFile.getConstPool();
if (this.function != null) {
this.function.accept(constPool);
}
MethodInfo methodInfo = classFile.getMethod(methodName);
methodInfo.setAccessFlags(methodInfo.getAccessFlags() & ~AccessFlag.NATIVE);
CodeAttribute codeAttribute = new CodeAttribute(constPool, stack, locals, newCode, new ExceptionTable(constPool));
methodInfo.setCodeAttribute(codeAttribute);
ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
DataOutputStream outputStream = new DataOutputStream(byteArrayOutputStream);
classFile.write(outputStream);
outputStream.close();
byte[] result = byteArrayOutputStream.toByteArray();
byteArrayOutputStream.close();
return result;
}
}
2、修改FineCrackAgent
[Java] 纯文本查看 复制代码 package crack;
import crack.transformer.MultiMethodTransformer;
import crack.transformer.SingleMethodTransformer;
import javassist.ClassPool;
import javassist.CtClass;
import java.lang.instrument.ClassDefinition;
import java.lang.instrument.Instrumentation;
public class FineCrackAgent {
public static void agentmain(String args, Instrumentation inst) throws Exception {
ClassPool pool = new ClassPool(true);
CtClass cl = pool.get("java.lang.reflect.Modifier");
cl.getDeclaredMethod("isNative").setBody("{ return true; }");
inst.redefineClasses(new ClassDefinition(Class.forName(cl.getName(), false, null), cl.toBytecode()));
System.out.println(cl.getName() + " 替换完成!");
CtClass cl2 = pool.get("java.lang.reflect.Method");
cl2.getDeclaredMethod("getModifiers").setBody("{ if (getName().equalsIgnoreCase(\"decrypt\")) { return modifiers | 0x100;} return modifiers;}");
inst.redefineClasses(new ClassDefinition(Class.forName(cl2.getName(), false, null), cl2.toBytecode()));
System.out.println(cl2.getName() + " 替换完成!");
Class<?>[] classes = inst.getAllLoadedClasses();
for (Class<?> clazz : classes) {
String name = clazz.getName();
if (name.equals("com.fr.license.selector.LicenseContext")) {
inst.addTransformer(new SingleMethodTransformer(name, "stopLicense", 1, 1, new byte[]{-79}, null), true);
inst.retransformClasses(clazz);
System.out.println(name + " 替换完成!");
}
if (name.equals("com.fr.license.security.LicFileRegistry")) {
inst.addTransformer(new SingleMethodTransformer(name, "check", 1, 2, new byte[]{4, -84}, null), true);
inst.retransformClasses(clazz);
System.out.println(name + " 替换完成!");
}
if (name.equals("com.fr.license.entity.AbstractLicense")) {
inst.addTransformer(new MultiMethodTransformer(name, "support", 1, 2, new byte[]{4, -84}, null), true);
inst.retransformClasses(clazz);
System.out.println(name + " 替换完成!");
}
if (name.equals("com.fr.license.selector.EncryptedLicenseSelector")) {
inst.addTransformer(new SingleMethodTransformer(name, "decrypt", 1, 2, new byte[]{43, -80}, null), true);
inst.retransformClasses(clazz);
System.out.println(name + " 替换完成!");
}
}
}
} |
免费评分
-
查看全部评分
|