marc518 / surge_crack Goto Github PK

仅学习用途，请勿挪作他用

FOR STUDY PURPOSES ONLY

敏感信息已模糊处理

license type：

• 1: Trial
• 2: Licensed
• 3: Revoked

程序开头使用ptrace反调试，可以静态/动态patch过掉，参见

https://cardaci.xyz/blog/2018/02/12/a-macos-anti-debug-technique-using-ptrace/

license在~/Library/Application\ Support/com.nssurge.surge-mac/的xattr中，被签过名。

• 在0x000000000处，将1改为2（licensed），该函数用于判定license类型并赋值给一个license type的全局变量（0x000000000）
• 0x000000000处的函数验证了license的签名，patch该函数可以过掉签名验证，然后license随便写
• 验证签名使用EVP算法，尝试劫持本地公钥，伪造license和签名

应用有签名，使用

codesign -s - -fv path

重新Ad-Hoc签名后应用联网出现问题，控制变量进行实验发现只要重签名就出问题，因此推测程序内存在某种检查。使用dtrace检查syscall，发现程序执行过程中读到了自己的embedded code signature，因此使用dtrace监控stacktrace：

#!/usr/sbin/dtrace -s

syscall::pread:entry
/ pid == $1 && arg3 == 0x000000000 /
{
    ustack(50);
}

结合结果进行检查发现函数0x000000000调用了和codesign有关的函数，提取了当前应用的codesign信息中的teamID（Surge公司的ID为XXXXXXXX），并求出各位的和：

sum(map(lambda x: ord(x), "XXXXXXXX"))

在0x000000000的函数中，这个和被用于计算出某个关键网络地址，重新签名后patch上述函数，应用成功联网。

上述步骤完成后发现Surge主程序不定时闪退，调试发现收到SIGKILL，使用dtrace监控：

#!/usr/sbin/dtrace -s

syscall::kill:entry
/ (args[0] == $1 && args[1] == 9) /
{
    printf("[%s - %d - %d] sent SIGKILL\n",
           execname, pid, tid);
}

发现信号来自helper，因此分析helper发现有检查：

1. patch一下，将SecCode检查过掉
2. 对helper进行重签名，注意先使用lipo将help strip成单一架构的binary，否则codesign重签名后验证依然不通过（因为只签了当前架构的）
3. 使用codesign -d -r- path命令查看helper和主程序的designated requirement，据此修改helper和主程序的Info.plist的SMPrivilegedExecutables域并重签名，直至使用 https://raw.githubusercontent.com/keybase/client/master/osx/Helper/SMJobBlessUtil.py 校验通过。

破解结果如下，程序稳定运行：