吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 70112|回复: 435
收起左侧

[Android 原创] 探秘金山隐私保险箱

    [复制链接]
hu3167343 发表于 2014-7-10 19:25
前言

之前的那篇支付宝钱包手势密码破解实战(已被和谐)的文章中,很多朋友回复说“幸亏他们还加了个程序锁”,那么现实中的程序锁、保险箱之类的软件真的有他们描述的这么强悍吗?
    另外,为了弥补被和谐的文章,就再发一篇存货出来吧,希望大家不要嫌弃。

背景
信息化时代的高速发展,同时也孕育了更多的网络攻击。网银被盗、隐私信息泄露等
无疑成为了广大网民最为关注的问题。几年前,“艳照门”事件的曝光,更是引发了互联网的一阵恐慌。
         如今,移动互联网的迅速普及,手机相机的像素也越来越高,我们可以很方便的使用手机拍摄自己感兴趣的东西并上传到朋友圈、微博等。但是,这同时也引入了另外一个问题,拍了这么多东西,总有自己的一些隐私数据是不想对外公开的。于是,各大互联网安全厂商纷纷推出了能在移动设备上加密照片、音乐、视频等文件的应用程序。但是,这些应用真的能有效的保护好用户的隐私数据吗?他们的实现原理又是什么呢?带着这些疑问,今天我们就来分析下“金山隐私保险箱”的实现原理。

测试环境
红米TD
百度云ROM 正式版V6
金山隐私保险箱1.3Beta2

程序分析
金山隐私保险箱安装完之后,加密一张自己拍的照片。此时,程序会将加密好的文件保存到sd卡的.ksbox目录下,如图1所示。
                1.png                
1
         .ksbox目录导出到本地,使用sqliteexpert工具打开db.sqlite文件,表结构入图2所示。
2.png

2
         根据表结构我们大致可以知道,原始文件名、文件大小、被加密后的文件名等信息。知道了这些基本信息,我们接下来使用APK IDE解包程序,发现金山隐私保险箱自己实现了一个ImageInputStream的类,该派生自InputStream,具体的实现文件为com/ijinshan/mPrivacy/c/j.smali,如图3所示。
3.png

图3
使用APK IDE搜索Lcom/ijinshan/mPrivacy/c/j,结果如图4所示。
4.png

4
定位到第一个new-instance的地方,代码如下所示,只截取我们所关注的部分。
[Asm] 纯文本查看 复制代码
# 解码一个input stream到Bitmap
.method private static a(Ljava/lang/String;I)Landroid/graphics/Bitmap;
    .locals 11
    .prologue
    const/4 v3, 0x1
    const/4 v9, -0x1
    const/high16 v6, 0x3f800000
    const/4 v8, 0x0
    .line 197
    .line 200
    :try_start_0
         # 新建一个自定义的InputStream对象
    new-instance v0, Lcom/ijinshan/mPrivacy/c/j;
         # 使用文件初始化InputStream
    invoke-direct {v0, p0}, Lcom/ijinshan/mPrivacy/c/j;-><init>(Ljava/lang/String;)V
    .line 201
    invoke-virtual {v0}, Lcom/ijinshan/mPrivacy/c/j;->available()I
    move-result v1
    if-ne v1, v9, :cond_0
    move-object v0, v8
    .line 264
    :goto_0
    return-object v0
    .line 205
    :cond_0
         # 新建一个BitmapFactory对象
    new-instance v1, Landroid/graphics/BitmapFactory$Options;
    invoke-direct {v1}, Landroid/graphics/BitmapFactory$Options;-><init>()V
    .line 208
    const/4 v2, 0x1
    iput-boolean v2, v1, Landroid/graphics/BitmapFactory$Options;->inJustDecodeBounds:Z
    .line 209
    const/4 v2, 0x0
         # 调用BitmapFactory的decodeStream方法,解码input stream到Bitmap
invoke-static {v0, v2, v1}, Landroid/graphics/BitmapFactory;->decodeStream(Ljava/io/InputStream;Landroid/graphics/Rect;Landroid/graphics/BitmapFactory$Options;)Landroid/graphics/Bitmap;

调用decodeStream函数之后,就会进入我们派生的ImageInputStream类中。该类重写了read方法,主要用来自定义解码算法。我们来看下主要代码:
[Asm] 纯文本查看 复制代码
.method public final read([BII)I
    .locals 7
    .prologue
    const/4 v6, 0x0
    const/16 v5, 0x400
    .line 61
    iget-object v0, p0, Lcom/ijinshan/mPrivacy/c/j;->a:Ljava/io/FileInputStream;
         # p2(byteOffset),p3(byteCount)=0x10000
    invoke-virtual {v0, p1, p2, p3}, Ljava/io/FileInputStream;->read([BII)I
    move-result v0
    .line 63
    const/4 v1, -0x1
         # 判断返回值是否为-1,-1即读到文件末尾
    if-ne v0, v1, :cond_0
    .line 103
    :goto_0
    return v0
    .line 70
    :cond_0
        
         # f保存了已读的字节数
    iget-wide v1, p0, Lcom/ijinshan/mPrivacy/c/j;->f:J
    const-wide/16 v3, 0x400
    cmp-long v1, v1, v3
         # 判断已读的字节数是否大于或等于0x400字节
    if-gtz v1, :cond_5
         # 第一次读的话,执行如下代码
    .line 73
         # e是个bool值,判断是否已经解密了前面的0x400字节
    iget-boolean v1, p0, Lcom/ijinshan/mPrivacy/c/j;->e:Z
    if-nez v1, :cond_1
         # 第一次读取,未解密,执行如下代码
    .line 75
    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->c:Lcom/ijinshan/mPrivacy/c/g;
         # b是个String类型的变量,其中保存了加密后文件的路径,例如/storage/sdcard0/.ksbox/6b2c357d      
    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->b:Ljava/lang/String;
         # 调用g;->b方法,解密前面0x400字节
    invoke-static {v1}, Lcom/ijinshan/mPrivacy/c/g;->b(Ljava/lang/String;)[B
    move-result-object v1
         # 将解密出来的字节数组保存到d变量中
    iput-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B
    .line 76
    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B
         # 判断字节数组是否为空
    if-eqz v1, :cond_1
    .line 77
    const/4 v1, 0x1
         # 返回不为空,那么设置变量e为true,即解密成功
    iput-boolean v1, p0, Lcom/ijinshan/mPrivacy/c/j;->e:Z
    .line 80
    :cond_1
         # v0寄存器保存了实际读取到的字节数,p3是想要读取的字节数,即0x10000
    if-ge v0, p3, :cond_3
    move v1, v0
    .line 82
    :goto_1
         # v2 = byteOffset + 实际读到的字节数
    add-int v2, p2, v1
         # 如果v2大于0x400,就跳到cond_4
    if-gt v2, v5, :cond_4
    .line 84
    iget-object v2, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B
    if-eqz v2, :cond_2
    .line 85
         # 将前面解密的数据赋给v2寄存器
    iget-object v2, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B
         # v2拷贝到p1,p2为srcOffset,v6是desOffset,v1为拷贝大小
    invoke-static {v2, p2, p1, v6, v1}, Ljava/lang/System;->arraycopy(Ljava/lang/Object;ILjava/lang/Object;II)V
    .line 100
    :cond_2
    :goto_2
         # 已经读取的字节数
    iget-wide v1, p0, Lcom/ijinshan/mPrivacy/c/j;->f:J
         # v0为实际读到的字节数,转成long,保存到v3
    int-to-long v3, v0
    add-long/2addr v1, v3
         # 本次实际读到的字节数 + 以前已经读取的字节数,保存到f变量
    iput-wide v1, p0, Lcom/ijinshan/mPrivacy/c/j;->f:J
    goto :goto_0
    :cond_3
    move v1, p3
    .line 80
    goto :goto_1
    .line 89
    :cond_4
    if-ge p2, v5, :cond_2
    .line 91
    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B
    if-eqz v1, :cond_2
    .line 92
    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B
    sub-int v2, v5, p2
         # 后面的数据不用解密,直接拷贝即可
    invoke-static {v1, p2, p1, v6, v2}, Ljava/lang/System;->arraycopy(Ljava/lang/Object;ILjava/lang/Object;II)V
    goto :goto_2
    .line 98
         # 如果已读的字节数大于0x400,就跳到这里执行
    :cond_5
    const/4 v1, 0x0
         # 清空d变量
    iput-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B
    goto :goto_2
.end method
上面这段smali代码中比较关键的一个调用是invoke-static {v1}, Lcom/ijinshan/mPrivacy/c/g;->b(Ljava/lang/String;)[B,我们跟进去看一下。
# 解密文件
# p0: 加密后文件的路径,例如/storage/sdcard0/.ksbox/6b2c357d
.method public static b(Ljava/lang/String;)[B
    .locals 2
    .prologue
    const/4 v1, 0x0
    .line 456
    :try_start_0
         # 判断是否是我们的加密文件,判断文件开头特征等等
    invoke-static {p0}, Lcom/ijinshan/mPrivacy/c/g;->h(Ljava/lang/String;)[B
    move-result-object v0
    .line 457
    if-nez v0, :cond_0
    move-object v0, v1
    .line 472
    :goto_0
    return-object v0
    .line 461
    :cond_0
         # 调用b(Ljava/lang/String;I)[B,读取_e文件的内容
    invoke-static {p0}, Lcom/ijinshan/mPrivacy/c/g;->i(Ljava/lang/String;)[B
         # v0即为_e文件的内容
    move-result-object v0
    .line 462
    if-eqz v0, :cond_1
    .line 464
         # 调用解密函数,解密v0
    invoke-static {v0}, Lcom/ijinshan/mPrivacy/c/g;->a([B)[B
    :try_end_0
    .catch Ljava/io/IOException; {:try_start_0 .. :try_end_0} :catch_0
    move-result-object v0
    goto :goto_0
    .line 467
    :catch_0
    move-exception v0
    invoke-virtual {v0}, Ljava/io/IOException;->printStackTrace()V
    :cond_1
    move-object v0, v1
    .line 472
    goto :goto_0
.end method


这里最为关键的是invoke-static{v0}, Lcom/ijinshan/mPrivacy/c/g;->a([B)[B这个调用,a([B)[B这个函数是专门用来解密byte数组的,代码如下所示。
[Asm] 纯文本查看 复制代码
# 解密算法
# buffer = buffer ^ 0x6b;
.method public static a([B)[B
    .locals 3
    .prologue
    .line 264
    array-length v0, p0
         # 判断传入参数的buffer是不是大于0
    .line 266
    const/4 v1, 0x0
         # 判断v1是否大于buffer的大小
    :goto_0
    if-ge v1, v0, :cond_0
         # 取一个字节保存到v2
    .line 267
    aget-byte v2, p0, v1
         # 与0x6b异或
    xor-int/lit8 v2, v2, 0x6b
    int-to-byte v2, v2
         # 把异或得到的值写回原来的buffer中
    aput-byte v2, p0, v1
         # v1 + 1
    .line 266
    add-int/lit8 v1, v1, 0x1
         # 继续循环
    goto :goto_0
    .line 270
    :cond_0
    return-object p0
.end method

程序分析到这里,我们大致知道了金山隐私保险箱的解密步骤:
1.       从InputStream类中派生自己的类,调用BitmapFactory的decodeStream函数解码文件输入流;
2.       重写InputStream类的read函数,用来实现自己的解密算法;
3.       解密的时候判断如果是前面最开始的0x400字节,那么读取filename_e文件,每个字节异或0x6B,如果是大于0x400字节,那么直接读取filename文件;
4.       按照上面的步骤解密,最后输出的文件即为原始文件。

编写解密程序
既然知道了金山隐私保险箱的解密算法,那么自己实现一个解密程序也就很简单了,大致代码如下所示。
[Asm] 纯文本查看 复制代码
#include "stdafx.h"
#include <Windows.h>

// szName - 加密文件的文件名
// szOriginName - 原始文件名
BOOL DecodeStream(WCHAR *szName, WCHAR *szOriginName)
{
         BOOL bRet = FALSE;
        
         if (!szName || !szOriginName)
         {
                   return bRet;
         }

         HANDLE hFile = CreateFile(szName,
                   FILE_ALL_ACCESS,
                   FILE_SHARE_READ | FILE_SHARE_WRITE,
                   NULL,
                   OPEN_EXISTING,
                   FILE_ATTRIBUTE_NORMAL,
                   NULL);

         if (hFile == INVALID_HANDLE_VALUE)
         {
                   return bRet;
         }

         DWORD dwHigh = 0;
         DWORD dwSize = GetFileSize(hFile, &dwHigh);
         if (dwSize < 0x400)
         {
                   CloseHandle(hFile);
                   return bRet;
         }
        
         PBYTE pBuffer = (PBYTE)malloc(dwSize);
         if (pBuffer == NULL)
         {
                   CloseHandle(hFile);
                   return bRet;
         }
        
         memset(pBuffer, 0, dwSize);

         HANDLE hSaveFile = CreateFile(szOriginName,
                   FILE_ALL_ACCESS,
                   FILE_SHARE_READ | FILE_SHARE_WRITE,
                   NULL,
                   CREATE_ALWAYS,
                   FILE_ATTRIBUTE_NORMAL,
                   NULL);

         if (hSaveFile == INVALID_HANDLE_VALUE)
         {
                   CloseHandle(hFile);
                   free(pBuffer);
                   return bRet;
         }

         WCHAR szPath[MAX_PATH] = {0};
         wsprintf(szPath, L"%s%s", szName, L"_e");
         HANDLE hFile_e = CreateFile(szPath,
                   FILE_ALL_ACCESS,
                   FILE_SHARE_READ | FILE_SHARE_WRITE,
                   NULL,
                   OPEN_EXISTING,
                   FILE_ATTRIBUTE_NORMAL,
                   NULL);

         if (hFile_e == INVALID_HANDLE_VALUE)
         {
                   CloseHandle(hFile);
                   CloseHandle(hSaveFile);
                   free(pBuffer);
                   return bRet;
         }

         DWORD dwRet = 0;
         bRet = ReadFile(hFile_e, pBuffer, 0x400, &dwRet, NULL);
         if (!bRet)
         {
                   CloseHandle(hFile);
                   CloseHandle(hSaveFile);
                   CloseHandle(hFile_e);
                   free(pBuffer);
                   return bRet;
         }

         SetFilePointer(hFile, 0x400, NULL, FILE_BEGIN);
         bRet = ReadFile(hFile, pBuffer+0x400, dwSize-0x400, &dwRet, NULL);
         if (!bRet)
         {
                   CloseHandle(hFile);
                   CloseHandle(hSaveFile);
                   CloseHandle(hFile_e);
                   free(pBuffer);
                   return bRet;
         }

         for (int i = 0; i < 0x400; i++)
         {
                   pBuffer = pBuffer ^ 0x6b;
         }
        
         WriteFile(hSaveFile, pBuffer, dwSize, &dwRet, NULL);

         CloseHandle(hFile);
         CloseHandle(hSaveFile);
         CloseHandle(hFile_e);
         free(pBuffer);

         return bRet;
}

int _tmain(int argc, _TCHAR* argv[])
{
         DecodeStream(L"C:\\Users\\Administrator\\Desktop\\98fca88",
                   L"C:\\Users\\Administrator\\Desktop\\1.jpg");
         return 0;
}

执行完如上代码之后,图片被解密出来,并且能正常打开。自此,金山隐私保险箱就被我们轻易的攻破了。如图5所示:
QQ截图20140710191022.jpg
图5


后记
         分析完金山隐私保险箱之后,我后来又去看了下360隐私保险箱和腾讯手机管家的隐私保险箱,大致的加解密流程都差不多,都只加解密文件开头的0x400字节,只是各自的加密算法不同罢了,但是回过头来想想,既然它们都能把文件还原回去,也就是说这个过程一定是可逆的。
         经过上面的分析,目前移动端的隐私保护软件基本上也就只是个心里安慰罢了。在日常生活中,我们还是要自珍自爱,尽量不要把私密的文件保存在移动设备上,也不要去下载来历不明的软件、外挂等。

word版: 探秘金山隐私保险箱.zip (355.9 KB, 下载次数: 182)

/*
        weibo:http://weibo.com/minzhenfei
        mail: minzhenfei@163.com
*/

点评

留图不留种,菊花万人捅  发表于 2014-7-26 10:04
还有波多野结衣下面的龟形坐骑  发表于 2014-7-16 11:17
小菜注意力只在波多野结衣  发表于 2014-7-12 12:28

免费评分

参与人数 42吾爱币 +1 热心值 +42 收起 理由
有个IT梦 + 1 + 1 用心讨论,共获提升!
木天狼星 + 1 鼓励转贴优秀软件安全工具和文档!
funstory + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
B6B6B6 + 1 膜拜大神
TMTT + 1 膜拜超级大神
waxdmf + 1 我很赞同!
yunnl + 1 赞!
飞翔的猪猪侠 + 1 你真叼
1249973437 + 1 我很赞同!
rlight + 1 已答复!
haiera62 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
xuekui1997 + 1 谢谢@Thanks!
小怪哒哒熊 + 1
530440776 + 1 我很赞同!
ziheng123qz + 1 热心回复!
yAYa + 1 已答复!
玄黄龙战 + 1 已答复!
wanttobeno + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.
wxsybl + 1 热心回复!
nyhpro + 1 分析的还是很耐心的
Jarvanh + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
lieay + 1 热心回复!
物是人非丶 + 1 小灰灰,你又调皮!
搞笑000 + 1 我很赞同!
lffwaipojie + 1 太厉害了
ZQ857824928 + 1 膜拜大神
那年我高三 + 1
a824492020 + 1 我很赞同!
贼帅的爷们 + 1 大神!膜拜,哈哈今天的分给你了!
nihaha5656 + 1 高手!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
911812 + 1 我很赞同!
Syer + 1 完了,我要提现
Ukery + 1 我很赞同!
WuAi_東哥 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩.
飞信号456659666 + 1 我很赞同!
拓海唯也 + 1 我想说,幸好我有外壳密码锁+屏幕安全锁+软.
吾爱扣扣 + 1 你为何如此NB。。
燚热 + 1 厉害
无颜君〃 + 1 我没照片,哈哈
闹够了没有 + 1 鼓励转贴优秀软件安全工具和文档!
D13 + 1 鼓励转贴优秀软件安全工具和文档!
sodiums + 1 大神

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ii丶BigBreast 发表于 2014-7-10 19:36
回复顶下大神
fishyoyo 发表于 2014-8-3 09:01
大师 发表于 2014-8-3 08:58
膜拜大神  看来手机不安全  少装点软件    裸奔更好  
头像被屏蔽
bin3008 发表于 2014-8-2 10:18
谢谢分享爱那个
头像被屏蔽
binlov 发表于 2014-8-2 10:16
谢谢分享爱那个
头像被屏蔽
bin3008 发表于 2014-8-1 21:19
谢谢分享
燚热 发表于 2014-7-11 11:07
厉害..
jddt 发表于 2014-7-11 11:06
非常详尽,学习了。
gwsymm 发表于 2014-7-11 10:59
火速留名,看了贴子,感觉网络世界太可怕了!
百度卫士 发表于 2014-7-11 10:32 来自手机
楼楼碉堡了。能不能把和谐的文章发给我一下
羅少 发表于 2014-7-10 19:39
膜拜大神!!
骑乌龟的帅蜗牛 发表于 2014-7-10 19:47
我是来看最后的妹子的
头像被屏蔽
bambooqj 发表于 2014-7-10 19:51
灰灰 膜拜。
xiaocezi 发表于 2014-7-10 20:41 来自手机
顶顶更健康
Sunshine_尕 发表于 2014-7-11 08:59 来自手机
火前留名,加密就好
snadows 发表于 2014-7-11 09:17
谢谢楼主分享~
黑压压 发表于 2014-7-11 09:21
谢楼主 分享,学习了
jushe 发表于 2014-7-11 09:29
大神NB啊,膜拜
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2025-1-9 03:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表