码迷,mamicode.com
首页 > 其他好文 > 详细

探秘金山隐私保险箱 (解密出加密的数据)

时间:2014-07-12 21:14:34      阅读:284      评论:0      收藏:0      [点我收藏+]

标签:金山   隐私   保险箱   解密   加密   


背景

    信息化时代的高速发展,同时也孕育了更多的网络攻击。网银被盗、隐私信息泄露等

无疑成为了广大网民最为关注的问题。几年前,“艳照门”事件的曝光,更是引发了互联网的一阵恐慌。

         如今,移动互联网的迅速普及,手机相机的像素也越来越高,我们可以很方便的使用手机拍摄自己感兴趣的东西并上传到朋友圈、微博等。但是,这同时也引入了另外一个问题,拍了这么多东西,总有自己的一些隐私数据是不想对外公开的。于是,各大互联网安全厂商纷纷推出了能在移动设备上加密照片、音乐、视频等文件的应用程序。但是,这些应用真的能有效的保护好用户的隐私数据吗?他们的实现原理又是什么呢?带着这些疑问,今天我们就来分析下“金山隐私保险箱”的实现原理。

测试环境

红米TD版

百度云ROM 正式版V6

金山隐私保险箱1.3Beta2

程序分析

金山隐私保险箱安装完之后,加密一张自己拍的照片。此时,程序会将加密好的文件保存到sd卡的.ksbox目录下,如图1所示。

bubuko.com,布布扣

图1

         将.ksbox目录导出到本地,使用sqliteexpert工具打开db.sqlite文件,表结构入图2所示。

bubuko.com,布布扣

图2

         根据表结构我们大致可以知道,原始文件名、文件大小、被加密后的文件名等信息。知道了这些基本信息,我们接下来使用APK IDE解包程序,发现金山隐私保险箱自己实现了一个ImageInputStream的类,该派生自InputStream,具体的实现文件为com/ijinshan/mPrivacy/c/j.smali,如图3所示。

bubuko.com,布布扣

图3

使用APK IDE搜索Lcom/ijinshan/mPrivacy/c/j,结果如图4所示。

bubuko.com,布布扣

图4

定位到第一个new-instance的地方,代码如下所示,只截取我们所关注的部分。

# 解码一个inputstream到Bitmap

.method private statica(Ljava/lang/String;I)Landroid/graphics/Bitmap;

    .locals 11

    .prologue

    const/4 v3, 0x1

    const/4 v9, -0x1

    const/high16 v6,0x3f800000

    const/4 v8, 0x0

    .line 197

    .line 200

    :try_start_0

         # 新建一个自定义的InputStream对象

    new-instance v0,Lcom/ijinshan/mPrivacy/c/j;

         # 使用文件初始化InputStream

    invoke-direct {v0, p0},Lcom/ijinshan/mPrivacy/c/j;-><init>(Ljava/lang/String;)V

    .line 201

    invoke-virtual {v0},Lcom/ijinshan/mPrivacy/c/j;->available()I

    move-result v1

    if-ne v1, v9, :cond_0

    move-object v0, v8

    .line 264

    :goto_0

    return-object v0

    .line 205

    :cond_0

         # 新建一个BitmapFactory对象

    new-instance v1,Landroid/graphics/BitmapFactory$Options;

    invoke-direct {v1},Landroid/graphics/BitmapFactory$Options;-><init>()V

    .line 208

    const/4 v2, 0x1

    iput-boolean v2, v1,Landroid/graphics/BitmapFactory$Options;->inJustDecodeBounds:Z

    .line 209

    const/4 v2, 0x0

         # 调用BitmapFactory的decodeStream方法,解码input stream到Bitmap

invoke-static {v0, v2, v1}, Landroid/graphics/BitmapFactory;->decodeStream(Ljava/io/InputStream;Landroid/graphics/Rect;Landroid/graphics/BitmapFactory$Options;)Landroid/graphics/Bitmap;

调用decodeStream函数之后,就会进入我们派生的ImageInputStream类中。该类重写了read方法,主要用来自定义解码算法。我们来看下主要代码:

.method public final read([BII)I

    .locals 7

    .prologue

    const/4 v6, 0x0

    const/16 v5, 0x400

    .line 61

    iget-object v0, p0,Lcom/ijinshan/mPrivacy/c/j;->a:Ljava/io/FileInputStream;

         # p2(byteOffset),p3(byteCount)=0x10000

    invoke-virtual {v0, p1,p2, p3}, Ljava/io/FileInputStream;->read([BII)I

    move-result v0

    .line 63

    const/4 v1, -0x1

         # 判断返回值是否为-1,-1即读到文件末尾

    if-ne v0, v1, :cond_0

    .line 103

    :goto_0

    return v0

    .line 70

    :cond_0

        

         # f保存了已读的字节数

    iget-wide v1, p0, Lcom/ijinshan/mPrivacy/c/j;->f:J

    const-wide/16 v3, 0x400

    cmp-long v1, v1, v3

         # 判断已读的字节数是否大于或等于0x400字节

    if-gtz v1, :cond_5

         # 第一次读的话,执行如下代码

    .line 73

         # e是个bool值,判断是否已经解密了前面的0x400字节

    iget-boolean v1, p0, Lcom/ijinshan/mPrivacy/c/j;->e:Z

    if-nez v1, :cond_1

         # 第一次读取,未解密,执行如下代码

    .line 75

    iget-object v1, p0,Lcom/ijinshan/mPrivacy/c/j;->c:Lcom/ijinshan/mPrivacy/c/g;

         # b是个String类型的变量,其中保存了加密后文件的路径,例如/storage/sdcard0/.ksbox/6b2c357d      

    iget-object v1, p0,Lcom/ijinshan/mPrivacy/c/j;->b:Ljava/lang/String;

         # 调用g;->b方法,解密前面0x400字节

    invoke-static {v1},Lcom/ijinshan/mPrivacy/c/g;->b(Ljava/lang/String;)[B

    move-result-object v1

         # 将解密出来的字节数组保存到d变量中

    iput-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B

    .line 76

    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B

         # 判断字节数组是否为空

    if-eqz v1, :cond_1

    .line 77

    const/4 v1, 0x1

         # 返回不为空,那么设置变量e为true,即解密成功

    iput-boolean v1, p0, Lcom/ijinshan/mPrivacy/c/j;->e:Z

    .line 80

    :cond_1

         # v0寄存器保存了实际读取到的字节数,p3是想要读取的字节数,即0x10000

    if-ge v0, p3, :cond_3

    move v1, v0

    .line 82

    :goto_1

         # v2 = byteOffset + 实际读到的字节数

    add-int v2, p2, v1

         # 如果v2大于0x400,就跳到cond_4

    if-gt v2, v5, :cond_4

    .line 84

    iget-object v2, p0,Lcom/ijinshan/mPrivacy/c/j;->d:[B

    if-eqz v2, :cond_2

    .line 85

         # 将前面解密的数据赋给v2寄存器

    iget-object v2, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B

         # v2拷贝到p1,p2为srcOffset,v6是desOffset,v1为拷贝大小

    invoke-static {v2, p2, p1,v6, v1}, Ljava/lang/System;->arraycopy(Ljava/lang/Object;ILjava/lang/Object;II)V

    .line 100

    :cond_2

    :goto_2

         # 已经读取的字节数

    iget-wide v1, p0, Lcom/ijinshan/mPrivacy/c/j;->f:J

         # v0为实际读到的字节数,转成long,保存到v3

    int-to-long v3, v0

    add-long/2addr v1, v3

         # 本次实际读到的字节数 + 以前已经读取的字节数,保存到f变量

    iput-wide v1, p0, Lcom/ijinshan/mPrivacy/c/j;->f:J

    goto :goto_0

    :cond_3

    move v1, p3

    .line 80

    goto :goto_1

    .line 89

    :cond_4

    if-ge p2, v5, :cond_2

    .line 91

    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B

    if-eqz v1, :cond_2

    .line 92

    iget-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B

    sub-int v2, v5, p2

         # 后面的数据不用解密,直接拷贝即可

    invoke-static {v1, p2, p1,v6, v2}, Ljava/lang/System;->arraycopy(Ljava/lang/Object;ILjava/lang/Object;II)V

    goto :goto_2

    .line 98

         # 如果已读的字节数大于0x400,就跳到这里执行

    :cond_5

    const/4 v1, 0x0

         # 清空d变量

    iput-object v1, p0, Lcom/ijinshan/mPrivacy/c/j;->d:[B

    goto :goto_2

.end method

上面这段smali代码中比较关键的一个调用是invoke-static {v1},Lcom/ijinshan/mPrivacy/c/g;->b(Ljava/lang/String;)[B,我们跟进去看一下。

# 解密文件

# p0: 加密后文件的路径,例如/storage/sdcard0/.ksbox/6b2c357d

.method public static b(Ljava/lang/String;)[B

    .locals 2

    .prologue

    const/4 v1, 0x0

    .line 456

    :try_start_0

         # 判断是否是我们的加密文件,判断文件开头特征等等

    invoke-static {p0},Lcom/ijinshan/mPrivacy/c/g;->h(Ljava/lang/String;)[B

    move-result-object v0

    .line 457

    if-nez v0, :cond_0

    move-object v0, v1

    .line 472

    :goto_0

    return-object v0

    .line 461

    :cond_0

         # 调用b(Ljava/lang/String;I)[B,读取_e文件的内容

    invoke-static {p0},Lcom/ijinshan/mPrivacy/c/g;->i(Ljava/lang/String;)[B

         # v0即为_e文件的内容

    move-result-object v0

    .line 462

    if-eqz v0, :cond_1

    .line 464

         # 调用解密函数,解密v0

    invoke-static {v0},Lcom/ijinshan/mPrivacy/c/g;->a([B)[B

    :try_end_0

    .catchLjava/io/IOException; {:try_start_0 .. :try_end_0} :catch_0

    move-result-object v0

    goto :goto_0

    .line 467

    :catch_0

    move-exception v0

    invoke-virtual {v0},Ljava/io/IOException;->printStackTrace()V

    :cond_1

    move-object v0, v1

    .line 472

    goto :goto_0

.end method

这里最为关键的是invoke-static{v0}, Lcom/ijinshan/mPrivacy/c/g;->a([B)[B这个调用,a([B)[B这个函数是专门用来解密byte数组的,代码如下所示。

# 解密算法

# buffer[i] = buffer[i] ^ 0x6b;

.method public static a([B)[B

    .locals 3

    .prologue

    .line 264

    array-length v0, p0

         # 判断传入参数的buffer是不是大于0

    .line 266

    const/4 v1, 0x0

         # 判断v1是否大于buffer的大小

    :goto_0

    if-ge v1, v0, :cond_0

         # 取一个字节保存到v2

    .line 267

    aget-byte v2, p0, v1

         # 与0x6b异或

    xor-int/lit8 v2, v2, 0x6b

    int-to-byte v2, v2

         # 把异或得到的值写回原来的buffer中

    aput-byte v2, p0, v1

         # v1 + 1

    .line 266

    add-int/lit8 v1, v1, 0x1

         # 继续循环

    goto :goto_0

    .line 270

    :cond_0

    return-object p0

.end method

程序分析到这里,我们大致知道了金山隐私保险箱的解密步骤:

1.       从InputStream类中派生自己的类,调用BitmapFactory的decodeStream函数解码文件输入流;

2.       重写InputStream类的read函数,用来实现自己的解密算法;

3.       解密的时候判断如果是前面最开始的0x400字节,那么读取filename_e文件,每个字节异或0x6B,如果是大于0x400字节,那么直接读取filename文件;

4.       按照上面的步骤解密,最后输出的文件即为原始文件。

编写解密程序

既然知道了金山隐私保险箱的解密算法,那么自己实现一个解密程序也就很简单了,大致代码如下所示。

#include "stdafx.h"

#include <Windows.h>

 

// szName - 加密文件的文件名

// szOriginName - 原始文件名

BOOL DecodeStream(WCHAR *szName, WCHAR *szOriginName)

{

         BOOL bRet = FALSE;

        

         if (!szName ||!szOriginName)

         {

                   return bRet;

         }

 

         HANDLE hFile =CreateFile(szName,

                   FILE_ALL_ACCESS,

                   FILE_SHARE_READ| FILE_SHARE_WRITE,

                   NULL,

                   OPEN_EXISTING,

                   FILE_ATTRIBUTE_NORMAL,

                   NULL);

 

         if (hFile ==INVALID_HANDLE_VALUE)

         {

                   return bRet;

         }

 

         DWORD dwHigh = 0;

         DWORD dwSize =GetFileSize(hFile, &dwHigh);

         if (dwSize < 0x400)

         {

                   CloseHandle(hFile);

                   return bRet;

         }

        

         PBYTE pBuffer =(PBYTE)malloc(dwSize);

         if (pBuffer == NULL)

         {

                   CloseHandle(hFile);

                   return bRet;

         }

        

         memset(pBuffer, 0,dwSize);

 

         HANDLE hSaveFile =CreateFile(szOriginName,

                   FILE_ALL_ACCESS,

                   FILE_SHARE_READ| FILE_SHARE_WRITE,

                   NULL,

                   CREATE_ALWAYS,

                   FILE_ATTRIBUTE_NORMAL,

                   NULL);

 

         if (hSaveFile ==INVALID_HANDLE_VALUE)

         {

                   CloseHandle(hFile);

                   free(pBuffer);

                   return bRet;

         }

 

         WCHAR szPath[MAX_PATH]= {0};

         wsprintf(szPath,L"%s%s", szName, L"_e");

         HANDLE hFile_e =CreateFile(szPath,

                   FILE_ALL_ACCESS,

                   FILE_SHARE_READ| FILE_SHARE_WRITE,

                   NULL,

                   OPEN_EXISTING,

                   FILE_ATTRIBUTE_NORMAL,

                   NULL);

 

         if (hFile_e ==INVALID_HANDLE_VALUE)

         {

                   CloseHandle(hFile);

                   CloseHandle(hSaveFile);

                   free(pBuffer);

                   return bRet;

         }

 

         DWORD dwRet = 0;

         bRet =ReadFile(hFile_e, pBuffer, 0x400, &dwRet, NULL);

         if (!bRet)

         {

                   CloseHandle(hFile);

                   CloseHandle(hSaveFile);

                   CloseHandle(hFile_e);

                   free(pBuffer);

                   return bRet;

         }

 

         SetFilePointer(hFile,0x400, NULL, FILE_BEGIN);

         bRet = ReadFile(hFile,pBuffer+0x400, dwSize-0x400, &dwRet, NULL);

         if (!bRet)

         {

                   CloseHandle(hFile);

                   CloseHandle(hSaveFile);

                   CloseHandle(hFile_e);

                   free(pBuffer);

                   return bRet;

         }

 

         for (int i = 0; i <0x400; i++)

         {

                   pBuffer[i] =pBuffer[i] ^ 0x6b;

         }

        

         WriteFile(hSaveFile,pBuffer, dwSize, &dwRet, NULL);

 

         CloseHandle(hFile);

         CloseHandle(hSaveFile);

         CloseHandle(hFile_e);

         free(pBuffer);

 

         return bRet;

}

 

int _tmain(int argc, _TCHAR* argv[])

{

         DecodeStream(L"C:\\Users\\Administrator\\Desktop\\98fca88",

                   L"C:\\Users\\Administrator\\Desktop\\1.jpg");

         return 0;

}

执行完如上代码之后,图片被解密出来,并且能正常打开。自此,金山隐私保险箱就被我们轻易的攻破了。如图5所示:

bubuko.com,布布扣

图5

后记

         分析完金山隐私保险箱之后,我后来又去看了下360隐私保险箱和腾讯手机管家的隐私保险箱,大致的加解密流程都差不多,都只加解密文件开头的0x400字节,只是各自的加密算法不同罢了,但是回过头来想想,既然它们都能把文件还原回去,也就是说这个过程一定是可逆的。

         经过上面的分析,目前移动端的隐私保护软件基本上也就只是个心里安慰罢了。在日常生活中,我们还是要自珍自爱,尽量不要把私密的文件保存在移动设备上,也不要去下载来历不明的软件、外挂等。

探秘金山隐私保险箱 (解密出加密的数据),布布扣,bubuko.com

探秘金山隐私保险箱 (解密出加密的数据)

标签:金山   隐私   保险箱   解密   加密   

原文地址:http://blog.csdn.net/hu3167343/article/details/37695835

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!