网站 › 『 软件逆向 』 › 在线安装包那些事

梦幻的彼岸 发表于 2021-4-9 17:55:13

在线安装包那些事

本帖最后由 梦幻的彼岸 于 2021-4-9 20:56 编辑

前因
今天因某些需要，需要安装一款软件，访问官方下载其安装包，但下载完毕之后发现是在线安装包，仔细搜索无果，没找到其它安装程序，先安装用下吧，但可以提取下，用于之后的离线安装与收藏所用。
说明
此贴通过动态分析法，简单的分析与溯源在线安装包的网络行为。
常见的在线安装
软件官方策略考虑(例如：推广、更新、维护)，一般在线安装是运行在线安装程序，进行一些配置后，下载最新的离线安装包到临时文件夹，并根据配置信息进行安装，之后删除离线安装包。
安全隐患
在线安装可能出现捆绑安装现象(在用户未知情况下安装一些非用户当前安装所知软件，例如：就只有安装解压软件的需求，但结果是解压软件安装完又安装了一个浏览器)
安装源被入侵：攻击者替换源安装程序，用户在不知情的情况下，安装了非官方软件，导致被入侵
安装环境存在限制：需有网络支撑，并此网络可访问下载源(就是可访问下载离线安装包的地址)
示例
CheatEngine72
备注：降低学习难度就不静态分析了，直接在火绒剑监控下进行安装，之后看看具体行为
安全考虑：在虚拟机内运行或实体机影子系统下(做好防护，避免运行的文件存在恶意行为，因防护不当造成损失)
安装时遇到的情况：出现了捆绑安装，但还好的是拦截到了

分析流程：
1.运行在线安装包前，开启火绒剑监控
2.安装完毕后，关闭火绒剑监控
3.筛选：因属于全局行为监控，方便分析故筛选下，排除目前来看无用的监控
搜索输入CheatEngine72                                 //备注：正常情况下属于运行程序的文件名即可，但不排除进程做动态变名处理导致搜索结果与预期不符的现象，之后点击向下寻找(根据实际情况进行相关操作)，找到需要的目标后(这里是：进程名为CheatEngine72.exe）,选择并右键-包含某某

4.简单筛选后，直接看到了离线下载包，但因安装完毕，离线下载包已被清理了

5.寻找离线下载包链接
这里我是在运行前，使用fiddler 4开启了网络监控，用于捕获网络数据
离线安装包下载地址

https://d2u4d080ckhplh.cloudfront.net/f/CheatEngine/CheatEngine72.exe
捆绑软件的下载地址


https://d2u4d080ckhplh.cloudfront.net/f/Opera/files/OperaSetup.zip
https://d2u4d080ckhplh.cloudfront.net/f/AVAST/files/cookie_mmm_irs_ppi_005_888_a.zip

软件安装时展示的宣传图片
备注：没想到是网络加载进来的

https://d2u4d080ckhplh.cloudfront.net/f/AVAST/images/PNG2/EN.png
https://d2u4d080ckhplh.cloudfront.net/f/Opera/images/pngs/V2/allBG/EN.png 6.反汇编定位下载捆绑文件

调用文件追踪：
选择一个URL右键，转到-上一个引用

分析思路描述
开始动态分析主程序的时候，发现下网络断点失败，感觉可以，明明在线安装程序，为什么没有使用网络函数，后附加调试的时候发现，其网络程序是通过主程序释放的文件进行的，附加此程序，成功断下。

根据网络函数断下之后，溯源网络请求时找不到URL,fiddler监听并单步调试，发现访问下载地址出现问题，访问地址残缺，感觉是拼凑字符串进行访问的
就以域名为关键字搜索了下，成功断下
d2u4d080ckhplh.cloudfront
根据域名信息进行搜索


继续运行，成功断下，并看到ce离线安装包下载地址
释放此断点开始正常下载后，又在下载捆绑文件时成功断下，并在堆栈信息看到了完成的连接内容
释放此断点开始正常下载后，又在下载捆绑文件时成功断下，并在堆栈信息看到了完成的连接内容

堆栈信息往上翻，看到了拼接目录信息

0019E91400A734B8L"/f/AVAST/files/cookie_mmm_irs_ppi_005_888_a.zip"
堆栈信息继续网上翻--好久
看到了完整的下载引用信息


0019CD6C0019CEECL"es/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""
0019CD7000518673返回到 cheatengine72.00518673 自 cheatengine72.004146F0
0019CD7400414778cheatengine72.00414778
0019CD780007030C
0019CD7C00000020
0019CD8000090352
0019CD8402000001
0019CD880019CEECL"es/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""
0019CD8C00000020
0019CD900019CFA0L"\\prod0\""
0019CD940750C1B0&"滥Q"
0019CD98005B15C3返回到 cheatengine72.005B15C3 自 cheatengine72.00518588
0019CD9C0019CFA0L"\\prod0\""
0019CDA00750C1B0&"滥Q"
0019CDA4005195C4返回到 cheatengine72.005195C4 自 ???
0019CDA800000000
0019CDAC0051BCB3返回到 cheatengine72.0051BCB3 自 cheatengine72.00516CE0
0019CDB00000007A
0019CDB400000020
0019CDB800000020
0019CDBC0750C1B0&"滥Q"
0019CDC00019CFA0L"\\prod0\""
0019CDC400513B5D返回到 cheatengine72.00513B5D 自 ???
0019CDC800000020
0019CDCC00000000
0019CDD00019CFA0L"\\prod0\""
0019CDD474AD4420gdi32full.74AD4420
0019CDD80019CF78L"al\\Temp\\is-B7V3D.tmp\\prod0\""
0019CDDC00000037
0019CDE00019CE70L"Downloading \"https://d2u4d080ckhplh.cloudfront.net/f/AVAST/files/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""
0019CDE40019CEF8L"kie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""==&"; const SubKeyName, ValueName: String; var ResultStr: AnsiString): Boolean;"
0019CDE80019CEE0L"ST/files/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""
0019CDEC0752B78CL"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0"
0019CDF000000011
0019CDF40019CE7CL"ading \"https://d2u4d080ckhplh.cloudfront.net/f/AVAST/files/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""
0019CDF804EF6B70&"滥Q"
0019CDFC00000000
0019CE0000000002
0019CE04025786D8L"s\""
0019CE08025786ACL"Downloading \"%s\" to \"%s\""
0019CE0C00000FFF
0019CE100019CE70L"Downloading \"https://d2u4d080ckhplh.cloudfront.net/f/AVAST/files/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""
0019CE1400000000
0019CE1800EF6E50
0019CE1C0019CFAE
0019CE2000001EC0
0019CE24FFFFFFFF
0019CE280053CE98cheatengine72.0053CE98
0019CE2CFFFFFFFF
0019CE300019CE4C&L"Downloading \"https://d2u4d080ckhplh.cloudfront.net/f/AVAST/files/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""
0019CE3400424419返回到 cheatengine72.00424419 自 cheatengine72.00424880
0019CE38006D16C8cheatengine72.006D16C8
0019CE3C00000001
0019CE4004F13E48
0019CE4400406F16返回到 cheatengine72.00406F16 自 ???
0019CE4807567D82L"od0\""
0019CE4C07567C4CL"Downloading \"https://d2u4d080ckhplh.cloudfront.net/f/AVAST/files/cookie_mmm_irs_ppi_005_888_a.zip\" to \"C:\\Users\\ADMINI~1\\AppData\\Local\\Temp\\is-B7V3D.tmp\\prod0\""

到这里就不继续分析了意义不是很大了，之后就是反编译查看了，这里暂时不编写了。
扩展
UrlCanonicalizeW 函数解析

将URL字符串转换为规范形式。
句法
LWSTDAPI UrlCanonicalizeW(
PCWSTR pszUrl,
PWSTRpszCanonicalized,
DWORD*pcchCanonicalized,
DWORDdwFlags
);

LinkStark 发表于 2021-4-9 22:14:54

本帖最后由 LinkStark 于 2021-4-10 12:22 编辑

难怪ce7.1断网无法安装来着，有时候安装完还会有其他捆绑，但有时候又没有

xiaomils 发表于 2021-4-10 06:27:16

厉害，学习一下

iamok 发表于 2021-4-10 11:51:07

厉害！！！

浅暮丶夜 发表于 2021-4-11 09:26:52

CE7.2官网版也被加了东西？我在官网下的 一直没有出现问题啊

梦幻的彼岸 发表于 2021-4-12 09:36:03

浅暮丶夜 发表于 2021-4-11 09:26
CE7.2官网版也被加了东西？我在官网下的 一直没有出现问题啊

现在你下载试试看，之前下载提供离线下载安装包，现在是在线安装包，改策略了

zitiano 发表于 2021-4-17 08:57:23

有时候分析整得太累，还是直接使用别人的绿色版吧。

查看完整版本: 在线安装包那些事