某收费 Markdown 编辑器的破解分析

查看 93|回复 9
作者:大喜   
去年,某个 markdown 编辑器停止免费试用,开始收费了。我一直使用着免费版本,但是,突然有一天,免费版也不能用了,,,,,
其实,不激活也能使用,不过每次启动都有一个激活弹窗,就暂时用了几天,发现丢了一些笔记,也不明白什么情况,但是,,新手上路,啥都想研究一下。
先上研究成果


Screenshot 2022-04-01 001049.png (100.5 KB, 下载次数: 0)
下载附件
2022-4-1 00:11 上传

代码经过混淆,又没有经验,分析了好几天,,,,
详情看置顶帖

编辑器, 几天

大喜
OP
  

所需文件链接在最后[捂嘴笑]
成品,,,
嗯,自己动手,丰衣足食
打开软件目录,一看这个结构就是 electron ,app.asar ,研究如何解包的时候,很不巧,github 有一个 patch typora 的项目,写好了解包的脚本,拿来主义,直接用好了。
但是,发现这个项目,并不发布补丁,也不对破解提供支持。还是得自己动手。
使用该脚本将文件解包,得到 atom.js ,我们将修改这个文件,达到 patch 的目的。
代码经过压缩,分析过程较为冗长,就不细说。但是,作为保姆级教程,每一步操作,我都写出来。#
1. 解压 app.asar
使用 github 的脚本,地址https://github.com/Mas0nShi/typoraCracker
pip install -r requirments.txt # 安装依赖
python typora.py -f [安装目录,app.asar 所在路径] ./out
]然后,你会在当前目录得到一个 out/dec_app 文件夹,里面有 atom.js
. patch
先进行字符串搜索,进行校验的地方,在源码中搜索 activate 字符串,搜索到 7 处,其他 5 处 都是字符串常量,其中两处较为明显,属于校验逻辑, 分别是激活和取消激活,其中一处代码如下

根据此处代码上下文中的字符串很容易确定,此处属于 校验逻辑,看到 await R("api/client/activate", t, !0); 一个异步函数,感觉像是一个封装的网络请求,跟进代码看一下,找到函数实现
R = async (t, n, o) => {
    ee(), console.log(`request ${E}/` + t);
    const i = a(225).post;
    try {
        var r = await i(E + "/" + t, n, {
            timeout: 3e4,
            headers: {
                "Cache-Control": "no-cache"
            }
        });
        return r
    } catch (e) {
        if (console.warn(e.stack), e.response) throw e;
        if (o && "zh-Hans" == s.setting.getUserLocale() && !s.setting.get("useMirrorInCN")) {
            o = (await h.dialog.showMessageBox(null, {
                message: "链接服务器失败,使用尝试访问国内域名进行激活?",
                buttons: ["确认", "取消"]
            }))["response"];
            if (console.log("click " + o), o) throw e;
            return s.setting.put("useMirrorInCN", !0), R(t, n, !1)
        }
        if (!s.setting.get("useMirrorInCN")) throw e;
        o = e;
        try {
            console.log("request to typora.com.cn"), r = await i("https://typora.com.cn/store/" + t, n)
        } catch (e) {
            throw console.warn(e.stack), o
        }
    }
}
十分明显,这就是一个网络请求校验激活的过程
所以,修改逻辑很简单咯,直接拦截这个网络请求,返回一个假数据咯。(闲话)
o 是返回数据,只要伪造一个 o 就好了。
(本来不知道,伪造的数据是什么,之前浏览代码的时候,发现一串密钥,想必是非对称加密的数据,于是,想摸清楚请求数据之后,在研究数据解密,忙就放了几天)但是,后来,发现 github 仓库,有人上传了一份 license.js ,本着,先用上再说的精神,我直接把代码拿来观摩,好家伙,难度直线下降。
以下数据结构来自 license.js 不过,它是 1.02 版本的,我的是 1.1.5 版本,里面需要多加一个 type 参数(不过,其实影响不大,后面写注册表的时候,可以直接删除校验代码,实际上,date 也很多余);
主要修改以下地方
// “var o = await R("api/client/activate", t, !0);”
// 替换为
const o = {
    data: {
        code: 0,
        msg: Buffer.from(JSON.stringify({
            deviceId: t.u,
            fingerprint: t.f,
            email: t.email,
            license: t.license,
            version: t.v,
            type: t.type,
            date: (new Date).toLocaleDateString("en-US"),
        }), "utf-8").toString("base64")
    }
};
~~将代码打包运行测试,发现,提示 许可证不可用
这玩意,我也没法动态调试,于是,自己加了个土断点,,,,直接加一个文件写出,,,,,~~
经过多次尝试,确认问题出在
if (JSON.stringify(o.data), console.log("[License] response code is " + o.data.code), o.data.code == D.SUCCESS) return await Y(o.data.msg) ? [!0, ""] : [!1, "Please input a valid license code"];
中的 Y()函数,
这句代码操作是,检验服务器返回的状态码,如果成功,则执行 返回Y(o.data.msg),否则,返回许可证非法
看一下 Y() 的函数实现
async function Y(e) {
    try {
        var {
            fingerprint: t,
            email: n,
            license: o,
            type: i
        } = I(e) || {};
        return t == await M() && n && o ? (H(n, o, i), d().put("SLicense", e + "#0#" + (new Date).toLocaleDateString("en-US")), l = !0) : (console.log("[License] validate server return fail"), V(), !1)
    } catch (e) {
        throw console.error(e.stack), new Error("WriteActivationInfoFail")
    }
}
4月1日,凌晨,昨天睡晚了,累得慌,明日在写吧
4.1 睡醒了
​        这段代码是将传入参数e进行解码,然后解析参数,如果参数齐全,则将注册信息写入注册表。
开始的时候,写注册表一直失败,后来,意识到,传入参数 e 是 base64 编码过的,此处 e 经过函数 I() 解码
(因为传入参数,是来自 license.js 所以,忘了这茬,写半天,重启之后,授权消失)开始以为是注册表写出错了,检查写注册表的函数 ,就是那个 H()很久,后来,发现没有问题。
看一下 I() 的函数实现
const I = e => {
    if (!e) return e;
    var t;
    try {
        t = Buffer.from(e, "base64");
        const n = a(289).publicDecrypt(`-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7nVoGCHqIMJyqgALEUrc
5JJhap0+HtJqzPE04pz4y+nrOmY7/12f3HvZyyoRsxKdXTZbO0wEHFIh0cRqsuaJ
PyaOOPbA0BsalofIAY3mRhQQ3vSf+rn3g+w0S+udWmKV9DnmJlpWqizFajU4T/E4
5ZgMNcXt3E1ips32rdbTR0Nnen9PVITvrbJ3l6CI2BFBImZQZ2P8N+LsqfJsqyVV
wDkt3mHAVxV7FZbfYWG+8FDSuKQHaCmvgAtChx9hwl3J6RekkqDVa6GIV13D23LS
qdk0Jb521wFJi/V6QAK6SLBiby5gYN6zQQ5RQpjXtR53MwzTdiAzGEuKdOtrY2Me
DwIDAQAB
-----END PUBLIC KEY-----
`, t);
        return JSON.parse(n.toString("utf8"))
    } catch (e) {
        return null
    }
},
      T = function() {
          var e = Array.from(arguments);
          const t = a(289).createHash("sha256");
          return e.forEach(e => {
              t.update(e)
          }), t.digest("base64")
      },
      W = () => {
          const e = d().get("SLicense");
          if (!e) return null;
          var [t, n, o] = e.split("#"), t = I(t);
          return t && t.fingerprint == i ? (Object.assign(t, {
              failCounts: n,
              lastRetry: new Date(o)
          }), t) : null
      },
      _ = async e => {
          console.log("writeInstallDate fromBTime=" + e);
          var t = new Date;
          if (e) try {
              var n = await a(728).stat(s.getPath("userData") + "/profile.data"),
                  t = new Date(n.birthtime);
              n.birthtime
          } catch (e) {}
          e = (u = t).toLocaleDateString("en-US");
          return d().put("IDate", e), u
      };
此处验证了开始的猜想,返回的数据,经过一次非对称加密(私钥加密,公钥解密?emmmm,看上去像签名,但是,他确实是解密),收到返回消息以后,此处需进行一次解密,但是但,可是可 我们刚才写返回数据的时候,直接写了一串base64编码,所以,此处使用公钥publicDecrypt出来的数据,是错的。
很简单,直接修改
这些 过程通通不要,在函数开头,直接返回就好了,将I()的函数实现改成这样
const I = e => {
    if (!e) return e;
    return JSON.parse(Buffer(e, 'base64').toString());
    // 后面的代码,可以全部不要了。
    var t;
    try {
        t = Buffer.from(e, "base64");
        const n = a(289).publicDecrypt(`-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA7nVoGCHqIMJyqgALEUrc
5JJhap0+HtJqzPE04pz4y+nrOmY7/12f3HvZyyoRsxKdXTZbO0wEHFIh0cRqsuaJ
PyaOOPbA0BsalofIAY3mRhQQ3vSf+rn3g+w0S+udWmKV9DnmJlpWqizFajU4T/E4
5ZgMNcXt3E1ips32rdbTR0Nnen9PVITvrbJ3l6CI2BFBImZQZ2P8N+LsqfJsqyVV
wDkt3mHAVxV7FZbfYWG+8FDSuKQHaCmvgAtChx9hwl3J6RekkqDVa6GIV13D23LS
qdk0Jb521wFJi/V6QAK6SLBiby5gYN6zQQ5RQpjXtR53MwzTdiAzGEuKdOtrY2Me
DwIDAQAB
-----END PUBLIC KEY-----
`, t);
        return JSON.parse(n.toString("utf8"))
    } catch (e) {
        return null
    }
},
      T = function() {
          var e = Array.from(arguments);
          const t = a(289).createHash("sha256");
          return e.forEach(e => {
              t.update(e)
          }), t.digest("base64")
      },
      W = () => {
          const e = d().get("SLicense");
          if (!e) return null;
          var [t, n, o] = e.split("#"), t = I(t);
          return t && t.fingerprint == i ? (Object.assign(t, {
              failCounts: n,
              lastRetry: new Date(o)
          }), t) : null
      },
      _ = async e => {
          console.log("writeInstallDate fromBTime=" + e);
          var t = new Date;
          if (e) try {
              var n = await a(728).stat(s.getPath("userData") + "/profile.data"),
                  t = new Date(n.birthtime);
              n.birthtime
          } catch (e) {}
          e = (u = t).toLocaleDateString("en-US");
          return d().put("IDate", e), u
      };
此时,就可以发现,随便填一个邮箱就注册成功了,但是问题来了,在重启软件之后,注册状态就消失了,需要重新激活。
开始以为是每次启动软件时,都会重新联网校验激活状态,想必,联网需要使用那个封装的 请求 函数,也需要 URL,所以在代码里搜索了一阵,但是,只发现两处,网络请求的操作,一处是激活,一处是取消激活。转而去查看注册表,发现一个问题,在注册以后,注册表成功写入了注册信息,但是,在重启软件以后,刷新注册表,发现注册表被覆盖了。
不管是什么原因,如果能阻止他覆盖注册表......嗯...
在开始的查找中,找到一处取消激活的代码,实现如下
function V(e) {
    l || (e = ""), c = x = "", l = !1, d().put("SLicense", ""), e && $(p.getPanelString("Typora is now deactivated"), p.getPanelString(e)), ae()
}
直接清空,但是,发现,并不起作用。
我想,在注册过程中,注册日期始终是 new date,但是,如果他判断许可日期的方式,很可能不是注册日期加一个固定的时间,那么这个日期会在哪里写入呢,在注册表,看到写入的信息结构是这样的
licenses # date
于是尝试手动修改注册表日期,发现,重启后,激活状态仍在,到此,算是全部结束了
大意了,在刚才写注册表的地方,就是那个 Y()函数,修改代码如下
async function Y(e) {
    try {
        var {
            fingerprint: t,
            email: n,
            license: o,
            type: i
        } = I(e) || {};
        return t == await M() && n && o ? (H(n, o, i), d().put("SLicense", e + "#0#" + (new Date(2055,1,1)).toLocaleDateString("en-US")), l = !0) : (console.log("[License] validate server return fail"), V(), !1)
    } catch (e) {
        throw console.error(e.stack), new Error("WriteActivationInfoFail")
    }
}
到此,patch 全部完成,将代码重新打包,复制回去,完美
总结一下
解包
pip install -r requirments.txt # 安装依赖
python typora.py -f [安装目录,app.asar 所在路径] ./out
篡改请求
// “var o = await R("api/client/activate", t, !0);”
// 替换为
const o = {
    data: {
        code: 0,
        msg: Buffer.from(JSON.stringify({
            deviceId: t.u,
            fingerprint: t.f,
            email: t.email,
            license: t.license,
            version: t.v,
            type: t.type,
            date: (new Date).toLocaleDateString("en-US"),
        }), "utf-8").toString("base64")
    }
};
修改解密函数
const I = e => {
    if (!e) return e;
    return JSON.parse(Buffer(e, 'base64').toString());
      };
修改写注册表时的日期
async function Y(e) {
    try {
        var {
            fingerprint: t,
            email: n,
            license: o,
            type: i
        } = I(e) || {};
        return t == await M() && n && o ? (H(n, o, i), d().put("SLicense", e + "#0#" + (new Date).toLocaleDateString("en-US")), l = !0) : (console.log("[License] validate server return fail"), V(), !1)
    } catch (e) {
        throw console.error(e.stack), new Error("WriteActivationInfoFail")
    }
}
修改为
async function Y(e) {
    try {
        var {
            fingerprint: t,
            email: n,
            license: o,
            type: i
        } = I(e) || {};
        return t == await M() && n && o ? (H(n, o, i), d().put("SLicense", e + "#0#" + (new Date(2055,1,1)).toLocaleDateString("en-US")), l = !0) : (console.log("[License] validate server return fail"), V(), !1)
    } catch (e) {
        throw console.error(e.stack), new Error("WriteActivationInfoFail")
    }
}
修改取消激活时的联网请求
直接搜索注释一下代码
await R("api/client/deactivate", {
    license: c,
    l: e,
    sig: T(x, await M(), c)
}, !1)
打包回去
python typora.py -f /out/dec_app/ ./pkg
把 pkg 目录下的 app.asar 复制到安装目录下,再次打开,随意输入邮箱和注册码,注册成功!
完美
你们想要的东西在这里
2510241
没有 CB ?
阿里云盘连接
直接点击运行安装即可。
https://www.aliyundrive.com/s/EhhrnXg3f3U
看帖回帖是一种美德
typora 1.1.5 Windows x64 安装包:
https://download.typora.io/windows/typora-setup-x64-1.1.5.exe
我今天一看,上次打包的成品可能有误,,,,,所以我直接再补发一个吧
~~链接:https://pan.baidu.com/s/1bTVdRXWjozyKkKVRzZpw1A ~~
~~提取码:626w ~~
--来自百度网盘超级会员V3的分享
解压密码 j1sdaxi
使用激活码激活:JTVKNC-NQZRJN-GWR7SM-PH9SBT
完工,睡觉,
AiniWang   

[table]
[tr]
信息[/td]
状态[/td]
[/tr]
[tr]
[td]樂无效指令个数
yawnwang   

感谢分享,最新版支持poj吗
大喜
OP
  

谢谢分享
Lemon1900   


AiniWang 发表于 2022-4-1 16:31
感谢分享,最新版支持poj吗

大意了,在我开始搞得时候,这个还是最新版,我不太更新软件
xiaoyouy   

还得是大佬,前几天用github上的解压不出来license.js
applelittle   


涛之雨 发表于 2022-4-1 19:07
离线注册更简单
我用action写了个机器人注册机
https://github.com/taozhiyu/TyProAction

感谢分享,6666
studywin   

先存着了,感谢~
studywin   

谢谢楼主分享
您需要登录后才可以回帖 登录 | 立即注册

返回顶部