深信服EDR 3.2.21 (20200703) 源码提取
放出不加密的ISO就是一个很大的福利,可以学习下绿盟RSAS的ISO安装包加密套路
放源码不如放怎么提取源码
第一步 揭面纱
打开深信服官网进行下载ISO了,写文章的时候官方已经下架EDR页面了,拿其他页面做演示。
随便点一个下载都是提示登陆,你以为真的要登陆么?直接F12大法
复制红框的URL到迅雷下载即可
第二步 剥洋葱
首先使用7-ZIP 提取ISO里面的文件出来
剥了外套,这个时候得看看有没有毛衣了,直接看有没有大文件,深信服这个是Packages/edr-3.2.21_offline_20200703212024_Build342_sign.pkg-1.el7.x86_64.rpm 大小1.4GB
采用7-ZIP 直接提取文件,由于RPM包架构这里需要使用7-ZIP提取两次
剥了毛衣得看看里面还有没有衣服
这时候得到了一个签名后的PKG和一个脚本,这个时候我们基本剥掉他的内衣,我们就可以触摸到本体了。7-ZIP 提取PKG包即可,有兴趣也可以看看他那个安装脚本。提取PKG包 7-ZIP有个警告 忽略即可,那是因为有签名。
从上图我们已经得到整个EDR核心代码了和编译后的程序了,至于代码加没加密之类的,我就就得解剖看看了
进入Manager 目录我们可以看到两个带web字样的压缩包eps_webui.tgz和webshell.tgz 至于为啥有个webshell.tgz 别问我
7-ZIP提取 eps_webui.tgz里面的数据(tgz 是tar 后gzip 需要提取两次),无加密无混淆的源码 Good!!!
其他模块的源码从对应的tgz提取即可
