Mac 下的破解版软件真的安全吗
我们发现很多Mac用户对自身的安全并不是很重视,针对用户的恶意软件逐渐增多,窃取用户的隐私,监控用户的日常行为,恶意推广广告,etc。因此,我们应该提高自身的安全意识,警钟长鸣。
1 前言小夏是一名普通Mac用户,某天,他打算试试思维导图来记录工作学习。
他问同事小芳:“Mac下有啥好用的思维导图软件?”
小芳:“XMind呀,很实用的思维导图软件。”
小夏:“那到哪里下载,要钱吗?”
小芳:“哎,你百度XMind破解版呀!不需要花钱的,直接安装!”
小夏:“这么方便!我试试!”
2 样本概述Xmind是一款实用的思维导图软件,正版官网售价高达99刀,这个价格当然对普通用户无法承受,通过搜索,很多站点都提供了破解版下载
对比相同版本号的正版和破解版,hash如下:
dab95dbad19995aeb88cc5d1bb0a7912 XMind_orig //正版 v3.7.1
我们发现该样本采集了用户的很多隐私信息,上传到了第三方服务器,采集信息如下图
目的:1、黑产非法售卖用户信息,泄漏用户隐私
2、广告推广,获取盈利
3、钓鱼执法,发送侵权律师函
4、etc
下面我们对该样本详细分析
3 基本信息在Mac应用中,OSX系统下的Mach-O是可执行文件格式,程序跑起来解析Mach-O,然后链接系统的库文件以及第三方动态库。
我们使用MachOView进行解析
在可执行文件LoadCommands字段中记录了程序的加载指令,LC_LOAD_DYLIB是程序加载的动态库,其中Name字段记录了该动态库的路径,通常程序启动会根据该字段加载动态库。这里发现其加载了新增的两个动态库文件libcJFishPoolHook.dylib、libXMindHook.dylib。除此之外,XMind使用Java编写,移植到Mac平台,可执行文件也没有什么值得重点分析。
总结一下,主要做了如下事情:
1、程序启动初始化,获取资源文件。
2、加载.ini配置文件,得到启动的参数键值对。
3、将参数解析,然后运行加载Library(Java打包的动态库).
直接对比正版和破解版的包目录,在包中我们发现了多出来的2个dylib文件。
libC.JFishPoolHook.dylib
libXMindHook.dylib
下面对这2个dylib进行详细分析。
4 dylib分析对于Mac/iOS中使用到的dylib,可以使用class-dump和hoppper结合进行反汇编分析。class-dump又是一款开源解析MachO利器,与MachOView相似的是,他可按照MachO偏移量,找寻符号表(SymbolTable),从而导出类名和方法名,但是他提供了诸多参数用于导出不同架构的MachO链接符号表。使用如下命令导出类名方法名到文件中:
$class-dump--archx86_64libCJFishPoolHook.dylib>header.txt
$catheader.txt
从导出结果来看,很可疑的是CJFishPoolHook类,该类有多达16个成员,写该动态库的程序员非常老实,没有进行任何加密、混淆类名、方法名的操作,因此从字面上也不难猜出其含义为qq号、微信号、手机号、邮箱号、操作系统、CPU类型、内存、MAC地址、内网IP、公网IP、用户名、应用列表、设备ID,是否上传信息、开启应用和关闭应用的时间。
第二个动态库的类方法较少,很明显能猜出,hook了程序的函数,修改程序运行逻辑。
主要方法为:
1、init初始化方法
2、ExChangeImp,MethodSwizzling动态交换函数指针,用于hook
3、BuyHook
4、CheckUpdatesHook
5、HelpHook
6、TitleHook
7、OpenURLHook
8、DateMenuItemHook
最后还使用了一个加密方法方法,该方法传入第一个参数(明文),第二个参数key用于加密内容。
@interfaceNSString(AES)
+(id)AESDecrypt:(id)arg1password:(id)arg2;
+(id)AESEncrypt:(id)arg1password:(id)arg2;
@end
@interfaceNSString(Number)
-(BOOL)isPureFloat;
-(BOOL)isPureLongLong;
-(BOOL)isPureInt;
@end
5抓包分析通过上面的简单分析不难猜测,他把采集的信息发送到服务端了,通过抓包分析该样本与服务端通信的过程如下:
第一次向服务端发送了checklocked,返回值为0,说明可以传输设备信息
接下的data是用来上传用户信息的。Body是经过AES加密后base编码的密文,既然key已经有了,可以尝试解开请求密文
通过静态分析我们知道他使用了AES加密算法,而key就硬编码在代码中。
结合上述过程,了解到加密算法的第一个参数为kCCEncrypt,第二个为kCCAlgorithmAES128,第三个为加密的填充模式kCCOptionECBMode。依据此我们写出的AES解密方法应该为:
CCCryptorStatuscryptStatus=CCCrypt(kCCDecrypt,kCCAlgorithmAES128,kCCOptionECBMode,//ECBMode keyPtr,kCCKeySizeAES128,iv,[selfbytes],dataLength,/*input*/buffer,bufferSize,/*output*/numBytesEncrypted);
key为:iMdpgSr642Ck:7!@
解开的密文为
下面我们看看该样本是如何获取这些用户隐私的。
6 静态分析>>>>用户隐私收集
CJFishPoolHook.dylib中会获取用户的隐私信息,其流程如下:
在应用初始化过程中,单例类的CJFishPoolHook执行初始化Init,随后,在Init方法中进行初始化成员操作,包含上述的16个信息。
在初始化过后,开启捕获用户信息startCapture。这其中包含获取用户联系方式(getContact),获取设备信息(getDevice),判断设备是否需要上传信息(checkLocked),获取应用ID(getProduct),获取设备上的应用列表(getFeature),获取地理位置(getLocation),获取启动时间(getHabitStart)。
最后一步,上传所有数据到服务器,并且使用AES加密算法加密httpbody。
>>>>恶意收集QQ信息,电话,微信号,应用列表
应用从Library/Containers/com.tencent.qq/Data/Library/ApplicationSupport/QQ目录获取个人QQ信息。在该目录下,保存着用户的临时聊天记录,截图等信息。
从/Applications遍历本机安装的应用,形成应用列表。
>>>>恶意推广
libCJFishPoolHook.dylib修改了更新xmind的官方网站,推广其自己的广告站点
进程注入后,使用MethodSwizzling挂钩MenuItem、Button等按钮,使其失效或重定向跳转到其他网站,屏蔽注册、激活检查更新功能。难怪启动应用后发现激活按钮失效,无法进行版本更新,购买激活产品却跳转到另一个网站。
7 小结本次的逆向分析过程清晰,单从网络传输和静态分析上就能了解到该重打包应用运行状态的全部过程。对此公司搜集用户信息的这种行为,不想做过多评价。
主要还是从两个方面进行总结:
对于开发者而言,要了解一些基本的防御手段,注重网络传输安全、存储安全,在开发过程中,尽量不要把key明文编码于程序中,哪怕是将二次编码后的key放到应用内也好。我们无法得知软件是否会被破解,key是否会泄露,而一旦暴露出来,则很容易被利用从而解开密文信息。更有甚者,直接使用base编码内容、数据位亦或运算编码,这种更容易被分析。同时我们可以混淆加密、反调试等手段增加软件破解的难度。
另一方面,站在用户的角度,下载安装未经验证的软件,是一件很危险的事情,例如著名的XcodeGhost事件,其实就是开发者安装了非官方验证的开发软件,导致开发的程序带有后门,窃取和上传大量用户信息。
本文所述的只是个人信息安全的一角,但却不能忽视他的存在。就同本文中libCJFishPoolHook命名一样,真正的含义是鱼塘,软件使用者是鱼,养在破解者的鱼塘中,等鱼养大了,也该收网了。
过去六年间,Mac销量越来越高,也意味着苹果用户越来越多。而用户一多,生态圈内的软件产出势必增长,同时也会出现更多恶意软件浑水摸鱼。
>>>>Mac恶意软件发展历史
*本文作者:eleme_sec,转载请注明来自FreeBuf.COM
AI软件破解版下载
Illustrator是一款非常专业的矢量图制作软件,目前该版本来到了全新的2021版本,在功能上基于之前的版本进行改进和新增,提升了软件的性能,大幅提高了运行效率,广泛适用于logo设计、插画制作等领域,该版本经过激活码破解,永久免费使用。
【功能特点】1、Illustrator无处不在
数以百万计的设计人员和艺术家正在使用Illustrator创造各类内容-从Web图标和产品包装,再到书籍插图和广告牌
2、任何尺寸具有时代代表性的作品
获取将简单的形状和颜色转换为意蕴深长的徽标、图标和图形所需的所有绘图工具。Illustrator图稿基于矢量,因此它既可以缩小到移动设备屏幕大小,也可以放大到广告牌大小-但不管怎样,都看起来清晰明快
3、华丽的版式足以证明一切
利用全世界最棒的文字工具,将公司名称纳入徽标之中、创建传单或为网站设计建模。通过添加效果、管理样式和编辑单个字符,创建能够完美地表达您的意旨的版式设计
4、无论何处,皆引人注目
创建手绘图,或描摹导入的照片并重新为其上色,将其转换为艺术作品。在任何内容中使用您的插图,包括印刷件、演示文稿、网站、博客和社交媒体
【软件特色】1、完善的矢量绘制控件
借助精确的形状构建工具、流体和绘图画笔以及高级路径控制创建出独具匠心的设计。
2、渐变和透明度
在对象上与渐变直接交互,控制渐变和渐变网格中各个颜色的透明度。
3、播放优美的描边
完全控制宽度可变、沿路径缩放的描边、箭头、虚线和艺术画笔。查看实际操作情况
4、面板内外观编辑
在外观面板中直接编辑对象特征,无需打开填充、描边或效果面板。
5、播放AdobeCSReview
借助AdobeCSReview与Illustrator的集成,创建在线审阅并与大厅或世界另一个角落的客户共享它们,这是新增的AdobeCSLive在线服务之一。
6、行业标准的图形文件格式支持
可以使用几乎任何类型的图形文件-包括PDF、EPS、FXG、Photoshop(PSD)、TIFF、GIF、JPEG、SWF、SVG、DWG、DXF等。
【更新内容】1、云文档
将您的作品存储为云文档,并随时随地从已安装Illustrator的设备访问。根据需要,跟踪版本历史记录并进行恢复。它们会自动存储,且比标准文件的存储速度更快。
2、大型画布
在100倍大的画布区域上创建大型图稿(例如,广告牌、公交车广告、标牌等),大画布不仅提供更多设计空间,而且具备缩放功能。
3、更快的“新建文档”对话框
“新建文档”窗口的快速加载和Illustrator云文档的快速存储,文档创建和存储工作流程也变得更快。
4、实时绘制
对象的缩放和应用于对象的效果不会显示为轮廓,而这些任务将在您工作时得到全面呈现。
5、剪切、复制、粘贴画板
使用“剪切”、“复制”和“粘贴”选项可在不同文档上创建多个画板副本。
6、增强的自由扭曲
您可以使用“自由扭曲”功能通过定界框自由地修改形状,而无需进行任何重置。
7、首选项和文档问题
Illustrator将在能够修复和恢复损坏的文档时自动执行操作,减少了文档损坏问题。
8、改进的工具栏
现在可以轻松在工具栏和抽屉之间拖放工具。
9、稳定性和性能
更稳定的性能,更流畅的工作流程。
【亲测能用】VariCAD 2023【2D/3D制图软件】英文破解版 附注册机
VariCAD2022的介绍:
VariCAD2022是一款功能十分专业的CAD绘图软件,有别于一般同类软件,该产品使用行业领先的电脑辅助设计引擎,能满足用户一系列的精密制图需要;该软件也为具有特殊需要的人提供工业产品的3D绘图工具,这无疑能极大地提高您的产品设计效率,减少您的产品上市时间,提高产品的市场竞争力!另外,软件的操作窗口均采用了图形界面,在您进行三维绘图时,能很直观和轻松地对3D进行绘制,2D节点可定位,通过对3D图像的剪裁与调整共享,甚至能实时反映设计师的思考过程,这样不但能容易获得产品的设计理念,也能抓住设计者的思想,给以后的产品研究与开发交流提供坚实的数据基础!除此之外,全新的2022版还提供行业内最好的3D造型特性,并且基于包括盒子在内的三维形体库。圆筒、锥形等等,你可以很容易地编辑它,如修改参数,尺寸,大小,等等,甚至旋转模型的轮廓,挤挤或样片以产生不同的效果,最重要的还是,你能很容易地创造出两种不同形状的混合,圆形和矩形、螺旋面等不同轮廓之间的放样,也可进行模型实体的插入、探测、复制等!
>>>>>VariCAD2022>>>>>
VariCAD2022的功能:
1.碰撞试验(干预)
三维模型的一个优秀特性是组件干涉检测能够检测三维装配体之间是否有碰撞(重叠体积)
2.计算方法。
可求出二维截面面积、表面面积、体积、质量、中心与惯性矩机械部件的计算还包括在内部——机械设计者日常生活中使用的标准件可计算出拉伸和压缩弹簧,预应力螺栓联接,销联接,带槽轴,轴承,联结应力(弯扭)下的横梁,正齿和锥齿轮及带传动装置的几何结构。
3.表面展开(板状弯曲)
也可创建三维实体或金属薄片部件的XY坐标,并将其保存为文本文件,以便进一步处理,可以通过输入弯曲系数来定制计算,以反映材料和技术。
4.机械部件与符号库。
包括标准机械部件(ANSI,DIN)库,如螺栓,螺母,销,塞,角,密封圈,轴承,滚动和绘图形状,以及液压,气动和电气符号。
5.3D-2D导出。
一个3D模型可以很容易地转换成2D工程图,从而生成常规的绘图文档你可以通过在3D中定义一个或多个选定实体的2D视图,另外,还可以导出指定的部分VariCAD支持在3D更改之后更新2D工程图。
6.资料条和标题条。
为维护产品数据结构而提供的工具部件的属性与标题栏的内容之间有一个连接,您可以从装配体中创建一个物料清单(BOM),还可以使用质量属性变更、信息排序等命令来方便地修改数据库每一个部件都可以包含属性,如名称,这些原材料的种类或供货商可以用于物料申请,物料清单(BOM)的建立,标题栏的填充,或者其它用途。
可将产品(BOM)的数据结构输出到其他系统或电子表格中的掩膜处,以便自定义BOM表;您可以按需要修改它的遮罩定义实体或装配体属性的用法、标题栏、从BOM表导出数据的方法等等…
7.兼容性。
可和其它CAD系统交换文档,如STEP(3D)、STL(3D)、IGES(3D)、DWG(2D)、DXF(2D)文件和导入STEP(3D)、DWG(2D)、DXF(2D)能够独立地或以批处理程序对文件进行转换,从而一步一步转换多个文件。
>>>>>VariCAD2022>>>>>
VariCAD2022的亮点:
1.3D建模。
2.2D绘图和编辑。
3.可选参数支持。
4.几何约束的可选支持。
5.壳体建模、管道、电线。
6.碰撞试验(干扰)。
7.3D装配体和组。
8.表面显影(板材弯曲)。
9.3D对象或2D截面的计算。
>>>>>VariCAD2022>>>>>