9,514
社区成员
发帖
与我相关
我的任务
分享分享:破解"当当"DRM版权保护的电子书
转帖:http://www.kanxue.com/showthread.php?t=147903
这里缺图。
PC客户端破解
方法
1. 先分析一下网络通讯。用fiddle2分析HTTP通讯。
用的是flash。进入阅读页面后先下载以一个reader.swf,这是它的阅读程序。每次翻页,都会去get:
/datasvr/permissionAuth.do?bookUid=<xxx>&pageNo=<page_no>,
返回约100k,这肯定是它的数据了。HTTP header显示
Content-Type: application/x-shockwave-flash;charset=utf-8
把cookie存下dangdang.cookie。用这个cookie和wget,向这个地址发请求,存成page_no的swf文件,打不开。问题在哪儿?
2. 看看16进制:
异常的文件头!有强烈暗示意义的, "==",这是base64编码的数据,是解密密钥?居然把密钥和数据放在一起?不会吧?
3. 用的什么算法呢?能不能把swf反汇编一下?
使用万能的google,找到一个Sothink SWF Decompiler,可以使用。好,锤子有了,看看reader.swf是不是钉子。
用Swf decompiler尝试反汇编一下reader.swf。没做代码混淆,是破解者最最喜欢的裸奔方式。全裸还是半裸?搜索“decrypt”试试。Class name中显示三个结果,其中两个是:
ARC4, DupLoader
好。全裸,而且一屏就全露了。
128位的RC4算法。从page_no.swf的第二个字节开始读取24字节的数据,base64解出来后是16字节。24/4*3=18,所以出现两个"=="。
4. 解密:密钥、算法和密文都有了,解密神马的都是浮云。万能的python来了:
import base64
from Crypto.Cipher import ARC4 as cipher
import sys
name = sys.argv[1]
f = open(name, "rb")
f.seek(1)
key = base64.b64decode(f.read(24))
dec = cipher.new(key)
buf = f.read()
print len(buf)
buf = dec.decrypt(buf)
f.close()
fswf = open(name + ".swf", "wb")
fswf.write(buf)
fswf.close();
5. OK啦:
6. 再写一个swf应用,把单页的组合成一本书来离线阅读。再也不用担心在线离线的蛋疼问题了。
Android客户端破解
1. 下载apk, 用dex2jar提去出jar,然后用DJ Java Decompiler反汇编。没做代码混淆,好,把代码导入Eclipse中,开搞。
2. 查"drm", "decrypt"关键字, 找到com.dangdang.reader.modules.drm。算法是AES的。编码的哥们居然把测试的代码也放在万能的main()里面了。兄弟?你不做单元测试吗?就拿这么可怜的一点数据凑活着跑一遍就完了?这是数据加工啊,兄弟。万一你算法搞得不对,而且只对某些数据出错怎么办? 还有,你为什么非要用PKCS7,不用PKCS5呢?对bouncycastle这么痴情?
3. 算法找到了,密钥放在哪里?
密钥的管理在CertificateManager.java里面。fetchDecryptKey(),简单读下代码后跳转到RsaUtils.java里面。EpubreaderActivity.java中有:
key = CertificateManager.fetchDecryptKey((new StringBuilder(String.valueOf((new File(bookDir)).getParent()))).append(File.separator).append("book_key").toString(), mConfigManager.getPrivateKey());
简单的查找和分析,得以定位到每本书的资料都放在sd卡的/data/data/dangdang/<user.name>/<book>目录下,书是epub格式的。该目录下有一个叫book_key的文件,这个文件里面有个<key>。密钥是128位的AES密钥,用512位的RSA加密。密钥放在手机的/data/data/com.dangdang.reader/shared_prefs/dang_reader_config.xml里面,目录是由Android系统的getSharedPreferences()定义的。里面有base64过的private_key, public_key。
4. 机制搞清楚了。开工!
1)先买本书,下载到Android手机上。
2)把手机root掉。把手机和SD卡上的两个目录都拷贝到PC上。
3)从文件中拿到该书对应的key,拿到private_key。
4)写段Java程序,用RSA/ECB/PKCS1Padding解密书的key。
5)用7-zip打开epub,ops目录下的文件,除了.ncx和.opf,都是用AES加密的。程序当中把它们解出来。
解密前是这个样子:
解密完后是这个样子:
6)把程序写成解密epub,生成另外一个epub。好,现在可以选择自己喜欢的设备和阅读软件了。|Adobe:
这里缺图。
PC客户端破解
方法
1. 先分析一下网络通讯。用fiddle2分析HTTP通讯。
用的是flash。进入阅读页面后先下载以一个reader.swf,这是它的阅读程序。每次翻页,都会去get:
/datasvr/permissionAuth.do?bookUid=<xxx>&pageNo=<page_no>,
返回约100k,这肯定是它的数据了。HTTP header显示
Content-Type: application/x-shockwave-flash;charset=utf-8
把cookie存下dangdang.cookie。用这个cookie和wget,向这个地址发请求,存成page_no的swf文件,打不开。问题在哪儿?
2. 看看16进制:
异常的文件头!有强烈暗示意义的, "==",这是base64编码的数据,是解密密钥?居然把密钥和数据放在一起?不会吧?
3. 用的什么算法呢?能不能把swf反汇编一下?
使用万能的google,找到一个Sothink SWF Decompiler,可以使用。好,锤子有了,看看reader.swf是不是钉子。
用Swf decompiler尝试反汇编一下reader.swf。没做代码混淆,是破解者最最喜欢的裸奔方式。全裸还是半裸?搜索“decrypt”试试。Class name中显示三个结果,其中两个是:
ARC4, DupLoader
好。全裸,而且一屏就全露了。
128位的RC4算法。从page_no.swf的第二个字节开始读取24字节的数据,base64解出来后是16字节。24/4*3=18,所以出现两个"=="。
4. 解密:密钥、算法和密文都有了,解密神马的都是浮云。万能的python来了:
import base64
from Crypto.Cipher import ARC4 as cipher
import sys
name = sys.argv[1]
f = open(name, "rb")
f.seek(1)
key = base64.b64decode(f.read(24))
dec = cipher.new(key)
buf = f.read()
print len(buf)
buf = dec.decrypt(buf)
f.close()
fswf = open(name + ".swf", "wb")
fswf.write(buf)
fswf.close();
5. OK啦:
6. 再写一个swf应用,把单页的组合成一本书来离线阅读。再也不用担心在线离线的蛋疼问题了。
Android客户端破解
1. 下载apk, 用dex2jar提去出jar,然后用DJ Java Decompiler反汇编。没做代码混淆,好,把代码导入Eclipse中,开搞。
2. 查"drm", "decrypt"关键字, 找到com.dangdang.reader.modules.drm。算法是AES的。编码的哥们居然把测试的代码也放在万能的main()里面了。兄弟?你不做单元测试吗?就拿这么可怜的一点数据凑活着跑一遍就完了?这是数据加工啊,兄弟。万一你算法搞得不对,而且只对某些数据出错怎么办? 还有,你为什么非要用PKCS7,不用PKCS5呢?对bouncycastle这么痴情?
3. 算法找到了,密钥放在哪里?
密钥的管理在CertificateManager.java里面。fetchDecryptKey(),简单读下代码后跳转到RsaUtils.java里面。EpubreaderActivity.java中有:
key = CertificateManager.fetchDecryptKey((new StringBuilder(String.valueOf((new File(bookDir)).getParent()))).append(File.separator).append("book_key").toString(), mConfigManager.getPrivateKey());
简单的查找和分析,得以定位到每本书的资料都放在sd卡的/data/data/dangdang/<user.name>/<book>目录下,书是epub格式的。该目录下有一个叫book_key的文件,这个文件里面有个<key>。密钥是128位的AES密钥,用512位的RSA加密。密钥放在手机的/data/data/com.dangdang.reader/shared_prefs/dang_reader_config.xml里面,目录是由Android系统的getSharedPreferences()定义的。里面有base64过的private_key, public_key。
4. 机制搞清楚了。开工!
1)先买本书,下载到Android手机上。
2)把手机root掉。把手机和SD卡上的两个目录都拷贝到PC上。
3)从文件中拿到该书对应的key,拿到private_key。
4)写段Java程序,用RSA/ECB/PKCS1Padding解密书的key。
5)用7-zip打开epub,ops目录下的文件,除了.ncx和.opf,都是用AES加密的。程序当中把它们解出来。
解密前是这个样子:
解密完后是这个样子:
6)把程序写成解密epub,生成另外一个epub。好,现在可以选择自己喜欢的设备和阅读软件了。|Adobe:
...全文
