钉钉DingTalk本地网页资源加密算法

钉钉DingTalk本地网页资源解密

关于web_content.pak

钉钉目录下的web_content.pak，是其使用zip打包的资源文件，但是有密码保护。我们看看怎么得到密码。

调试钉钉找出解密key

ollydbg拉起DingTalk.exe后，
方法一、在CreateFileW下断点，F9运行多次后，当出现web_content.pak时，向上回溯搜索字符串 web_content.pak 的引用，可以找到相关代码
方法二、待模块MainFrame.dll加载后，在内存窗口模块MainFrame.dll中Ctrl+B查找 web_content.pak，找到后记录下字符串地址，然后到CPU窗口查找地址常量即可快速定位到相关代码。

6371973C    6A 09           push 0x9
6371973E    6A 03           push 0x3
63719740    8D4424 4C       lea eax,dword ptr ss:[esp+0x4C]
63719744    50              push eax
63719745    8D8C24 98000000 lea ecx,dword ptr ss:[esp+0x98]
6371974C    E8 EFE88AFE     call MainFram.61FC8040                   ; get_key

这里密码key长度是9，具体算法是 md5(version)[2:12],其中version可以从DingTask.exe的属性中拼接而来，形如 6.3.5-Release.10208701

计算脚本如下：

import sys
import hashlib

if __name__ == '__main__':
    if len(sys.argv) == 2:    
        args = sys.argv[1:]
        version = args[0]  # b'6.3.5-Release.10208701'
        md5 = hashlib.md5()
        md5.update(version.encode('utf-8'))
        ver_hash = md5.hexdigest()
        print(ver_hash[2:12])

例如版本 md5(‘6.3.5-Release.10208701’) = 67853fa9266ede2b1a7f98639addb550, 那么密码即为 53fa9266e

得到密码了，直接以zip格式解压就可以为所欲为咯…