爱思助手 Windows 端 逆向记录

jjr

爱思助手的一键越狱软件，内部存在上传签名证书到服务器的行为


函数: sub_430A90（IDA Pro 9）

伪代码:

1. void __thiscall sub_430A90(
   
2.         void *this,
   
3.         char a2,
   
4.         int a3,
   
5.         int a4,
   
6.         int a5,
   
7.         int a6,
   
8.         int a7,
   
9.         int a8,
   
10.         int a9,
    
11.         int a10,
    
12.         int a11,
    
13.         int a12,
    
14.         int a13,
    
15.         int a14,
    
16.         int a15,
    
17.         int a16,
    
18.         int a17,
    
19.         int a18,
    
20.         int a19,
    
21.         int a20,
    
22.         int a21,
    
23.         int a22,
    
24.         int a23,
    
25.         int a24,
    
26.         int a25,
    
27.         int a26,
    
28.         int a27,
    
29.         int a28,
    
30.         int a29,
    
31.         int a30,
    
32.         char a31,
    
33.         __int64 a32,
    
34.         int a33,
    
35.         int a34,
    
36.         int a35,
    
37.         void *a36,
    
38.         int a37,
    
39.         int a38,
    
40.         int a39,
    
41.         int a40,
    
42.         unsigned int a41,
    
43.         int a42,
    
44.         void *a43,
    
45.         int a44,
    
46.         int a45,
    
47.         int a46,
    
48.         int a47,
    
49.         unsigned int a48,
    
50.         int a49,
    
51.         int a50,
    
52.         char *a51,
    
53.         int a52,
    
54.         int a53,
    
55.         int a54,
    
56.         int a55,
    
57.         unsigned int a56,
    
58.         int a57)
    
59. {
    
60.   #248 *v57; // eax
    
61.   int v58; // eax
    
62.   int v59; // eax
    
63.   int v60; // eax
    
64.   int v61; // eax
    
65.   int v62; // eax
    
66.   int v63; // eax
    
67.   int v64; // eax
    
68.   int v65; // eax
    
69.   int v66; // eax
    
70.   int v67; // eax
    
71.   int v68; // eax
    
72.   int guid; // eax
    
73.   int v70; // eax
    
74.   #248 *v71; // eax
    
75.   int v72; // eax
    
76.   int v73; // eax
    
77.   int PKeyForSignPost; // eax
    
78.   bool v75; // cf
    
79.   struct rsa_st *RSA; // edi
    
80.   unsigned __int8 *v77; // eax
    
81.   unsigned __int8 *v78; // eax
    
82.   int v79; // edi
    
83.   char *v80; // edi
    
84.   const struct #248 *v81; // eax
    
85.   int v82; // edi
    
86.   #248 *v83; // eax
    
87.   QMessageLogger *v84; // eax
    
88.   int v85; // eax
    
89.   char v86; // [esp-6Ch] [ebp-3C4h]
    
90.   int v87[25]; // [esp-68h] [ebp-3C0h] BYREF
    
91.   char *v88; // [esp-4h] [ebp-35Ch]
    
92.   int v89; // [esp+0h] [ebp-358h]
    
93.   int *v90; // [esp+10h] [ebp-348h]
    
94.   char v91[4]; // [esp+14h] [ebp-344h] BYREF
    
95.   int v92; // [esp+18h] [ebp-340h]
    
96.   int v93; // [esp+1Ch] [ebp-33Ch]
    
97.   int v94; // [esp+20h] [ebp-338h] BYREF
    
98.   int v95[75]; // [esp+24h] [ebp-334h] BYREF
    
99.   _BYTE v96[132]; // [esp+150h] [ebp-208h] BYREF
    
100.   _BYTE v97[36]; // [esp+1D4h] [ebp-184h] BYREF
     
101.   _BYTE v98[112]; // [esp+1F8h] [ebp-160h] BYREF
     
102.   void *v99[5]; // [esp+268h] [ebp-F0h] BYREF
     
103.   unsigned int v100; // [esp+27Ch] [ebp-DCh]
     
104.   _BYTE v101[112]; // [esp+284h] [ebp-D4h] BYREF
     
105.   void *v102[4]; // [esp+2F4h] [ebp-64h] BYREF
     
106.   int v103; // [esp+304h] [ebp-54h]
     
107.   unsigned int v104; // [esp+308h] [ebp-50h]
     
108.   void *v105[4]; // [esp+310h] [ebp-48h] BYREF
     
109.   int v106; // [esp+320h] [ebp-38h]
     
110.   unsigned int v107; // [esp+324h] [ebp-34h]
     
111.   void *v108[2]; // [esp+32Ch] [ebp-2Ch] BYREF
     
112.   char v109[8]; // [esp+334h] [ebp-24h] BYREF
     
113.   int v110; // [esp+33Ch] [ebp-1Ch]
     
114.   unsigned int v111; // [esp+340h] [ebp-18h]
     
115.   int v112; // [esp+354h] [ebp-4h]
     
116. 
     
117.   v92 = (int)this;
     
118.   v112 = 2;
     
119.   if ( Json::Value::isNull((#248 *)&a2) )
     
120.   {
     
121.     Json::Value::~Value((#248 *)&a2);
     
122.     LOBYTE(v112) = 0;
     
123.     if ( a48 >= 0x10 )
     
124.       operator delete(a43);
     
125.     a48 = 15;
     
126.     a47 = 0;
     
127.     LOBYTE(a43) = 0;
     
128.     if ( a41 >= 0x10 )
     
129.       operator delete(a36);
     
130.     a41 = 15;
     
131.     a40 = 0;
     
132.     LOBYTE(a36) = 0;
     
133.     QString::~QString((#240 *)&a31);
     
134.     if ( a56 >= 0x10 )
     
135.     {
     
136.       v88 = a51;
     
137.       goto LABEL_43;
     
138.     }
     
139.     return;
     
140.   }
     
141.   Json::Value::Value(v98, 0);
     
142.   LOBYTE(v112) = 3;
     
143.   v57 = (#248 *)Json::Value::operator[](&a2, "appleId");
     
144.   v58 = Json::Value::asInt(v57);
     
145.   Json::Value::Value((#248 *)v101, v58);
     
146.   LOBYTE(v112) = 4;
     
147.   v59 = Json::Value::operator[](v98, "appleId");
     
148.   Json::Value::operator=(v59);
     
149.   LOBYTE(v112) = 3;
     
150.   Json::Value::~Value((#248 *)v101);
     
151.   Json::Value::Value((#248 *)v101, a32);
     
152.   v88 = v101;
     
153.   LOBYTE(v112) = 5;
     
154.   v60 = Json::Value::operator[](v98, "revokeTime");
     
155.   Json::Value::operator=(v60);
     
156.   LOBYTE(v112) = 3;
     
157.   Json::Value::~Value((#248 *)v101);
     
158.   v61 = a30;
     
159.   if ( !a30 && a32 <= 0 )
     
160.     v61 = -10000001;
     
161.   Json::Value::Value((#248 *)v101, v61);
     
162.   LOBYTE(v112) = 6;
     
163.   v62 = Json::Value::operator[](v98, "resultCode");
     
164.   Json::Value::operator=(v62);
     
165.   LOBYTE(v112) = 3;
     
166.   Json::Value::~Value((#248 *)v101);
     
167.   v63 = QString::toStdString(&a31, v108);
     
168.   LOBYTE(v112) = 7;
     
169.   Json::Value::Value(v101, v63);
     
170.   v88 = v101;
     
171.   LOBYTE(v112) = 8;
     
172.   v64 = Json::Value::operator[](v98, "resultString");
     
173.   Json::Value::operator=(v64);
     
174.   LOBYTE(v112) = 7;
     
175.   Json::Value::~Value((#248 *)v101);
     
176.   LOBYTE(v112) = 3;
     
177.   if ( v111 >= 0x10 )
     
178.     operator delete(v108[0]);
     
179.   Json::Value::Value((#248 *)v101, byte_47396C);
     
180.   LOBYTE(v112) = 9;
     
181.   v65 = Json::Value::operator[](v98, "teamId");
     
182.   Json::Value::operator=(v65);
     
183.   LOBYTE(v112) = 3;
     
184.   Json::Value::~Value((#248 *)v101);
     
185.   Json::Value::Value((#248 *)v101, byte_47396C);
     
186.   LOBYTE(v112) = 10;
     
187.   v66 = Json::Value::operator[](v98, "teamMemberId");
     
188.   Json::Value::operator=(v66);
     
189.   LOBYTE(v112) = 3;
     
190.   Json::Value::~Value((#248 *)v101);
     
191.   Json::Value::Value((#248 *)v101, byte_47396C);
     
192.   LOBYTE(v112) = 11;
     
193.   v67 = Json::Value::operator[](v98, "cer");
     
194.   Json::Value::operator=(v67);
     
195.   LOBYTE(v112) = 3;
     
196.   Json::Value::~Value((#248 *)v101);
     
197.   Json::Value::Value(v101, &a51);
     
198.   LOBYTE(v112) = 12;
     
199.   v68 = Json::Value::operator[](v98, "p12");
     
200.   Json::Value::operator=(v68);
     
201.   LOBYTE(v112) = 3;
     
202.   Json::Value::~Value((#248 *)v101);
     
203.   guid = usyshelper::get_guid(v108);
     
204.   LOBYTE(v112) = 13;
     
205.   Json::Value::Value(v101, guid);
     
206.   v88 = v101;
     
207.   LOBYTE(v112) = 14;
     
208.   v70 = Json::Value::operator[](v98, "sn");
     
209.   Json::Value::operator=(v70);
     
210.   LOBYTE(v112) = 13;
     
211.   Json::Value::~Value((#248 *)v101);
     
212.   LOBYTE(v112) = 3;
     
213.   if ( v111 >= 0x10 )
     
214.     operator delete(v108[0]);
     
215.   v71 = (#248 *)Json::Value::operator[](&a2, "logId");
     
216.   v72 = Json::Value::asInt(v71);
     
217.   Json::Value::Value((#248 *)v101, v72);
     
218.   LOBYTE(v112) = 15;
     
219.   v73 = Json::Value::operator[](v98, "logId");
     
220.   Json::Value::operator=(v73);
     
221.   LOBYTE(v112) = 3;
     
222.   Json::Value::~Value((#248 *)v101);
     
223.   Json::FastWriter::FastWriter((#296 *)v97);
     
224.   LOBYTE(v112) = 16;
     
225.   Json::FastWriter::write(v97, v102, v98);
     
226.   LOBYTE(v112) = 17;
     
227.   v94 = 0;
     
228.   PKeyForSignPost = createPKeyForSignPost(v108);
     
229.   v75 = *(_DWORD *)(PKeyForSignPost + 20) < 0x10u;
     
230.   LOBYTE(v112) = 18;
     
231.   if ( !v75 )
     
232.     PKeyForSignPost = *(_DWORD *)PKeyForSignPost;
     
233.   RSA = CRSAWrapper::createRSA((const char *)PKeyForSignPost);
     
234.   LOBYTE(v112) = 17;
     
235.   if ( v111 >= 0x10 )
     
236.     operator delete(v108[0]);
     
237.   v77 = (unsigned __int8 *)v102[0];
     
238.   v111 = 15;
     
239.   v110 = 0;
     
240.   LOBYTE(v108[0]) = 0;
     
241.   if ( v104 < 0x10 )
     
242.     v77 = (unsigned __int8 *)v102;
     
243.   v78 = CRSAWrapper::Encrypt(RSA, v77, v103, &v94);
     
244.   Base64::Base64Encode(v99, v78, v94);
     
245.   LOBYTE(v112) = 19;
     
246.   v107 = 15;
     
247.   v106 = 0;
     
248.   LOBYTE(v105[0]) = 0;
     
249.   sub_402AD0(v105, "https://s2-task.i4.cn/app_saveCP.action?clientfrom=1", 0x34u);
     
250.   LOBYTE(v112) = 20;
     
251.   sub_403E20(v95);
     
252.   LOBYTE(v112) = 21;
     
253.   sub_4031A0(v95, (int)"Content-Type:application/json");
     
254.   v79 = 3;
     
255.   while ( 1 )
     
256.   {
     
257.     v93 = --v79;
     
258.     if ( !sub_404170(v95, v105, v99) )
     
259.     {
     
260.       v88 = v91;
     
261.       v84 = QMessageLogger::QMessageLogger((#244 *)v109, 0, 0, 0);
     
262.       v85 = QMessageLogger::debug(v84);
     
263.       v88 = "PostCer_P12Task failed";
     
264.       LOBYTE(v112) = 24;
     
265.       QDebug::operator<<(v85);
     
266.       LOBYTE(v112) = 21;
     
267.       QDebug::~QDebug((#245 *)v91);
     
268.       goto LABEL_28;
     
269.     }
     
270.     v80 = sub_4031E0((char *)v95);
     
271.     Json::Value::Value(v101, 0);
     
272.     LOBYTE(v112) = 22;
     
273.     Json::Reader::Reader((#249 *)v96);
     
274.     LOBYTE(v112) = 23;
     
275.     if ( (unsigned __int8)Json::Reader::parse(v96, v80, v101, 1) )
     
276.     {
     
277.       v81 = (const struct #248 *)Json::Value::operator[](v101, "msgbox");
     
278.       v90 = v87;
     
279.       Json::Value::Value((#248 *)v87, v81);
     
280.       v82 = v92;
     
281.       sub_42F440(
     
282.         v92,
     
283.         v86,
     
284.         v87[0],
     
285.         v87[1],
     
286.         v87[2],
     
287.         v87[3],
     
288.         v87[4],
     
289.         v87[5],
     
290.         v87[6],
     
291.         v87[7],
     
292.         v87[8],
     
293.         v87[9],
     
294.         v87[10],
     
295.         v87[11],
     
296.         v87[12],
     
297.         v87[13],
     
298.         v87[14],
     
299.         v87[15],
     
300.         v87[16],
     
301.         v87[17],
     
302.         v87[18],
     
303.         v87[19],
     
304.         v87[20],
     
305.         v87[21],
     
306.         v87[22],
     
307.         v87[23],
     
308.         v87[24],
     
309.         (int)v88,
     
310.         v89);
     
311.       v83 = (#248 *)Json::Value::operator[](v101, "code");
     
312.       if ( !Json::Value::asInt(v83) || *(_DWORD *)(v82 + 192) == 1 )
     
313.         break;
     
314.     }
     
315.     LOBYTE(v112) = 22;
     
316.     Json::Reader::~Reader((#249 *)v96);
     
317.     LOBYTE(v112) = 21;
     
318.     Json::Value::~Value((#248 *)v101);
     
319.     v79 = v93;
     
320. LABEL_28:
     
321.     if ( v79 <= 0 )
     
322.       goto LABEL_31;
     
323.   }
     
324.   LOBYTE(v112) = 22;
     
325.   Json::Reader::~Reader((#249 *)v96);
     
326.   LOBYTE(v112) = 21;
     
327.   Json::Value::~Value((#248 *)v101);
     
328. LABEL_31:
     
329.   LOBYTE(v112) = 20;
     
330.   sub_403720((int)v95);
     
331.   if ( v107 >= 0x10 )
     
332.     operator delete(v105[0]);
     
333.   v107 = 15;
     
334.   v106 = 0;
     
335.   LOBYTE(v105[0]) = 0;
     
336.   if ( v100 >= 0x10 )
     
337.     operator delete(v99[0]);
     
338.   v100 = 15;
     
339.   v99[4] = 0;
     
340.   LOBYTE(v99[0]) = 0;
     
341.   if ( v104 >= 0x10 )
     
342.     operator delete(v102[0]);
     
343.   v104 = 15;
     
344.   v103 = 0;
     
345.   LOBYTE(v102[0]) = 0;
     
346.   LOBYTE(v112) = 3;
     
347.   Json::FastWriter::~FastWriter((#296 *)v97);
     
348.   LOBYTE(v112) = 2;
     
349.   Json::Value::~Value((#248 *)v98);
     
350.   LOBYTE(v112) = 1;
     
351.   Json::Value::~Value((#248 *)&a2);
     
352.   LOBYTE(v112) = 0;
     
353.   if ( a48 >= 0x10 )
     
354.     operator delete(a43);
     
355.   a48 = 15;
     
356.   a47 = 0;
     
357.   LOBYTE(a43) = 0;
     
358.   if ( a41 >= 0x10 )
     
359.     operator delete(a36);
     
360.   a41 = 15;
     
361.   a40 = 0;
     
362.   LOBYTE(a36) = 0;
     
363.   QString::~QString((#240 *)&a31);
     
364.   if ( a56 >= 0x10 )
     
365.   {
     
366.     v88 = a51;
     
367. LABEL_43:
     
368.     operator delete(v88);
     
369.   }
     
370. }

复制代码

此函数创建了一个 JSON 对象，填入了以下字段:

键名	含义
appleId	Apple ID
p12	证书的私钥
cer	证书的公钥
teamId	开发者团队 ID
teamMemberId	开发者团队 ID
sn	设备的唯一标识
resultCode / resultString	申请结果的状态

创建完成后，会尝试对 JSON 进行加密，具体步骤为:

调用 createPKeyForSignPost 获取公钥

↓

使用 CRSAWrapper::createRSA 创建 RSA 密钥对象

↓

使用 CRSAWrapper::Encrypt 对数据进行 RSA 加密

↓

使用 Base64::Base64Encode 进行编码

加密后的数据会通过 POST 请求上传至 https://s2-task.i4.cn/app_saveCP.action?clientfrom=1