新版飞信聊天记录逆向分析全过程

自学逆向有段时间了，今天来一帖！

直接进入正题：

安装飞信，登录飞信，制造一点聊天记录。
在 C:Users%用户名%DocumentsFetion"飞信号" 路径下发现了一个文件 V5_History.dat （可以在飞信设置里面点击打开历史记录文件位置直接过去）
看名称就知道啦，飞信数据库文件就是这货。
UE打开观察此文件，一看就知道肯定经过加密的。不做多的解释
<ignore_js_op> 新版飞信聊天记录逆向分析全过程
打开飞信主目录，观察飞信目录中的dll。
看dll名称，猜测消息记录处理的dll，飞信主目录内发现目录 DataHistory,目录中有个History.dll,猜测这货是处理历史记录的dll
于是打开OD，OD打开Fetion.exe，ALT+E 跟随History.dll,大概喵了几眼，然后CTRL+N查看模块中的名称，
发现一个_FhOpenDB,看名称就知道这是干嘛的了，根据OD显示，此函数出自Fhlib.dll，于是用 eXeScope 查看此dll的导入导出信息
在导入信息中发现导入了ADVAIP.DLL（非常重要！！！！），此DLL是Windows自带的加密算法库，于是打开 IDA Pro，准备开始分心Fhlib.dll.
在Import表里面发现了 CryptCreateHash、CryptHashData、CryptDeriveKey、CryptDestroyHash等很显眼的函数！！
感觉告诉我，这就是解码部分，
于是逆向了这部分代码，完成过后用OD跟踪，确定这几个函数的可变参数内容，哈哈，最重要的生产hash和key的密钥居然是飞信号，立刻打开VS写代码，
一举成功，成功将V5_History.dat解码，用UE打开观察解码后的文件，我艹！！文件签名好熟悉，这不是我常用的 sqlite3 么？而sqlite3是个轻量级小型开源数据库。
接着用数据库可视化查看工具查看数据库内容，聊天记录一览无遗。破解成功。
附上代码！！！

[C++] 纯文本查看复制代码

01* - 将解密的数据库文件放入系统临时目录
02*/
03int IS_FetionV5History::DeCryptFetionDB()
04{
05HCRYPTPROV hProv = NULL; 
06HCRYPTHASH hHash = NULL; 
07LPCTSTR lpszPwd = (LPCTSTR)szFetionNum;//密码，飞信号
08HCRYPTKEY hKey = NULL; 
09 
10CryptAcquireContext(&hProv, 0, "Microsoft Enhanced Cryptographic Provider v1.0", 1, 0xF0000000);
11CryptCreateHash(hProv,0x8004,0,0,&hHash);
12CryptHashData(hHash,(const BYTE *)lpszPwd,strlen((const char *)lpszPwd),0);
13CryptDeriveKey(hProv,0x6801,hHash,0,&hKey);
14CryptDestroyHash(hHash);
15 
16/**************************************************************/
17HANDLE pInFile,pOutFile;//文件句柄
18DWORD dwReadLen = 0x400 ,dwReadSize ,dwWriteSize;//想要读取的数据长度;实际读取文件大小;实际写入数据
19 
20{//打开源文件
21pInFile = ::CreateFile(strEvidencePath.c_str(), GENERIC_READ, 0, NULL, OPEN_EXISTING,
22FILE_ATTRIBUTE_NORMAL | FILE_ATTRIBUTE_READONLY, NULL); //用这个函数比OpenFile好
23if( pInFile == INVALID_HANDLE_VALUE)
24{
25CloseHandle(pInFile); //一定注意在函数退出之前对句柄进行释放。
26return -1;
27}
28}
29{//打开写入文件
30pOutFile = ::CreateFile(strDstPath.c_str(), GENERIC_WRITE, 0, NULL, CREATE_ALWAYS,
31FILE_ATTRIBUTE_NORMAL, NULL); //用这个函数比OpenFile好
32if( pOutFile == INVALID_HANDLE_VALUE)
33{
34CloseHandle(pOutFile); //一定注意在函数退出之前对句柄进行释放。
35return -1;
36}
37}
38/**************************************************************/
39BYTE szBuf[0x400 + 1] = {0}; //__in__out 输入加密内容，输出解密后内容 
40 
41//循环读取文件
42do
43{
44ReadFile(pInFile, szBuf, dwReadLen, &dwReadSize, NULL);
45 
46if (dwReadLen < dwReadSize) 
47CryptDecrypt(hKey,0,TRUE,0,szBuf,&dwReadLen);
48else
49CryptDecrypt(hKey,0,TRUE,0,szBuf,&dwReadSize);
50//写入文件
51WriteFile(pOutFile,szBuf,dwReadSize,&dwWriteSize,NULL);
52 
53memset(szBuf,0,0x400 + 1);
54}while( dwReadSize == dwReadLen);
55 
56CloseHandle(pInFile); 
57CloseHandle(pOutFile); 
58return 0;
59}//DeCryptFetionDB()

https://www.0xaa55.com/forum.php?mod=viewthread&tid=1787&extra=page%3D1

原文链接: https://www.cnblogs.com/findumars/p/5558031.html

欢迎关注

微信关注下方公众号，第一时间获取干货硬货；公众号内回复【pdf】免费获取数百本计算机经典书籍

原创文章受到原创版权保护。转载请注明出处：https://www.ccppcoding.com/archives/234586

非原创文章文中已经注明原地址，如有侵权，联系删除

关注公众号【高性能架构探索】，第一时间获取最新文章

转载文章受原作者版权保护。转载请注明原作者出处！

新版飞信聊天记录逆向分析全过程

相关推荐