为什么我非得去挖这个地址?
妈的,说起来就来气。老子之前在一家公司,那监控简直了,比你亲爹妈管得都严。公司给我们每个人都配了一套“效率监控”的桌面客户端。一开始还就是跑个时常,记录你用了哪些软件。后来不知道从哪天开始,这玩意儿就开始抽风。
我经常发现,当我切换到一些“非工作”的窗口,比如偷偷刷个招聘网站,或者跟老婆聊两句私事,我的电脑就会卡顿一下,就那么零点几秒,屏幕还闪一下。我当时就觉得不对劲,心想这狗日的程序肯定又静默更新了什么恶心功能!
肯定又是那帮管理员,闲着没事干,搞了个新的“窥视”功能,随时随地截屏上传。以前顶多是截图上传,现在肯定还加上了行为分析。我这爆脾气,是骡子是马,总得拉出来溜溜。我必须搞清楚,它到底往哪儿发数据,地址是多少,我好把它堵死。
小编温馨提醒:本站只提供游戏介绍,下载游戏请前往89游戏主站,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
动手!从抓包到反编译
我二话没说,第一步当然是赶紧抓包。我架起了那套老伙计,想看看这程序启动的时候到底跟谁在通信。
- 第一次尝试:常规抓包。我跑了半小时,屁都没抓到!所有的请求地址都是一些看着像云服务的地址,而且端口和路径一直在变。每次重启程序,地址都换一套,它在跟我玩游击战。妈的,这肯定是防抓包设计,这帮人还挺专业。
- 第二次尝试:系统级监控。我换了思路,不用网络层抓包了。我去监控程序对本地文件和内存的读写。我想,它的更新地址,总得存在本地某个角落?结果这程序也聪明,配置文件全是加密的,不是常见的明文格式,打死不告诉我。
- 第三次尝试:硬刚代码。没辙了,只能硬来了。我找到那个客户端的主程序,还有几个可疑的DLL文件,直接用工具砸了进去,准备反编译。
那几天,我真是在跟一堆乱码较劲。代码混淆得一塌糊涂,变量名都是a1, b2, c3这种,我眼睛都快看瞎了。我就像个傻子一样,一行一行地翻,重点找那些跟“网络连接”、“配置获取”、“Base64”这些关键词相关的代码块。
藏得真深,终于被我挖出来了
功夫不负有心人,我翻了足足两个通宵!在一个非常不起眼的、叫做*.dll的动态链接库文件里,在一个初始化方法里,我终于逮住了它。
那里有一大串看起来毫无意义的字符串。我当时就怀疑,这肯定是编码过的地址。我赶紧把那串东西拽出来,拿去解码。
解码结果一出来,好家伙,我当时就想骂人!
这TM不是最终更新地址!它是一个地址获取地址。
具体逻辑是这样的:
- 程序连接这个固定的“地址获取地址”。
- 这个地址会返回一个加密的JSON包。
- JSON包里包含了当天的真正的更新服务器地址(和管理员配置拉取地址)。
- 然后程序才去连接这个新的地址,获取更新包或者新的监控配置。
这个获取地址就是《管理员的窥视更新地址》。它非常稳定,但它返回的内容却是动态的,每天都在变。这帮孙子就是靠这个机制来绕过我们这些IT狗的抓包分析,让我们永远锁不住那个实际的服务器地址。
我赶紧把电脑的hosts文件找出来,把这个固定的“地址获取地址”直接指向了本地的127.0.0.1。然后,我重启了我的监控客户端。果然,它安安静静地启动了,再也没有任何网络请求发出去。那零点几秒的卡顿和屏幕闪烁,也彻底消失了。
从那以后,我的电脑就安生了,再也没被那帮管理员“窥视”过。这回实践记录告诉我们:只要你用心去挖,没有挖不出来的秘密。