收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 软件区 软件综合讨论区 高手教你扒下太极助手的伪装
1234下一页
返回列表 发新帖
查看: 18880|回复: 35
收起左侧

[其他] 高手教你扒下太极助手的伪装

  [复制链接]
Prnceton
发表于 2013-12-23 13:28:49 | 显示全部楼层 |阅读模式
本帖最后由 Prnceton 于 2013-12-23 13:32 编辑

“iOS 7 越狱来了!咦?里面怎么还有一个太极助手?”
昨晚到今天,“太极”成为了国外越狱社区,以及国内社交网络上的热门话题。evasi0n 还特意针对这一情况发布了声明。正如王崇旭所说,“这一天,对以‘追求自由’‘打破桎梏’为核心价值观的越狱黑客们来说,注定是不光彩的。”
本文一步一步还原“太极”背后的支持者。由于是在 Linux 环境下用终端命令查询,因此如果打算亲自尝试,请先检查一下自己的操作系统是否 Linux。
第一步,用 Whois 命令查询域名信息。
  1. $ whois taig.com
  2. Domain Name: TAIG.COM
  3. Registry Domain ID: 5070333_DOMAIN_COM-VRSN
  4. Registrar WHOIS Server: whois.godaddy.com
  5. Registrar URL: [url=http://www.godaddy.com]http://www.godaddy.com[/url]
  6. Update Date: 2013-11-05 18:27:16
  7. Creation Date: 1999-04-06 23:00:00
  8. Registrar Registration Expiration Date: 2015-04-06 23:00:00
  9. Registrar: GoDaddy.com, LLC
  10. Registrar IANA ID: 146
  11. Registrar Abuse Contact Email: [url=mailto:abuse@godaddy.com]abuse@godaddy.com[/url]
  12. Registrar Abuse Contact Phone: +1.480-624-2505
  13. Domain Status: clientTransferProhibited
  14. Domain Status: clientUpdateProhibited
  15. Domain Status: clientRenewProhibited
  16. Domain Status: clientDeleteProhibited
  17. Registry Registrant ID:
  18. Registrant Name: zhou shengjin
  19. Registrant Organization:
  20. Registrant Street: Beijing changping district changping road
  21. Registrant City: Beijing
  22. Registrant State/Province: beijing
  23. Registrant Postal Code: 100096
  24. Registrant Country: China
  25. Registrant Phone: +1.8811225068
  26. Registrant Phone Ext:
  27. Registrant Fax:
  28. Registrant Fax Ext:
  29. Registrant Email: [url=mailto:nomas.chow@gmail.com]nomas.chow@gmail.com[/url]
  30. Registry Admin ID:
  31. Admin Name: zhou shengjin
  32. Admin Organization:
  33. Admin Street: Beijing changping district changping road
  34. Admin City: Beijing
  35. Admin State/Province: beijing
  36. Admin Postal Code: 100096
  37. Admin Country: China
  38. Admin Phone: +1.8811225068
  39. Admin Phone Ext:
  40. Admin Fax:
  41. Admin Fax Ext:
  42. Admin Email: [url=mailto:nomas.chow@gmail.com]nomas.chow@gmail.com[/url]
  43. Registry Tech ID:
  44. Tech Name: zhou shengjin
  45. Tech Organization:
  46. Tech Street: Beijing changping district changping road
  47. Tech City: Beijing
  48. Tech State/Province: beijing
  49. Tech Postal Code: 100096
  50. Tech Country: China
  51. Tech Phone: +1.8811225068
  52. Tech Phone Ext:
  53. Tech Fax:
  54. Tech Fax Ext:
  55. Tech Email: [url=mailto:nomas.chow@gmail.com]nomas.chow@gmail.com[/url]
  56. Name Server: NS3.DNSV4.COM
  57. Name Server: NS4.DNSV4.COM
复制代码
从以上信息可看出, taig.com 是一个 1999 年就注册的域名。这个域名里的联系电话, +1.8811225068 应为 +86-18811225068。这是我们的线索之一。地址“北京市昌平区昌平路”与手机号码归属地北京相匹配。 Email 地址则是另一个有效的线索。
第二步,用 host 命令解析 www.taig.com,得到与该命令相关联的 IP 地址和 DNS 地址。
  1. $ host [url=http://www.taig.com]www.taig.com[/url]
  2. [url=http://www.taig.com]www.taig.com[/url] has address 211.155.82.248
  3. [url=http://www.taig.com]www.taig.com[/url] has address 203.191.148.133
  4. [url=http://www.taig.com]www.taig.com[/url] has address 42.62.21.140
  5. [url=http://www.taig.com]www.taig.com[/url] has address 42.62.21.141
  6. [url=http://www.taig.com]www.taig.com[/url] has address 42.62.21.142
  7. [url=http://www.taig.com]www.taig.com[/url] has address 42.62.21.143
  8. [url=http://www.taig.com]www.taig.com[/url] has address 42.62.21.144
  9. [url=http://www.taig.com]www.taig.com[/url] has address 211.155.82.233
复制代码
这些 IP 地址告诉我们什么呢?www.taig.com 这家网站拥有好几个机房,启用了 CDN 加速,不像是小公司的基础设施。通过 whois 命令查询这些 IP 地址,得到的结果令人失望,因为结果均指向各个数据中心。然后再用查询 IP 以及域名信息的工具 bgp.he.net 查询,也同样没有给出更多的信息。
不过,也不必气馁,以上所找到的信息已经布满疑点。现在,再尝试用 curl -s 将 www.taig.com 的页面源代码下载到本地,然后通过 grep -Eo “http://[^\"']+” 从源代码里找到特定的网址,结果很有意思:
  1. $ curl -s [url=http://www.taig.com]www.taig.com[/url]|grep -Eo "http://[^"']+"[/size][/font][/color][/align][align=left]http://bbdown.iphonespirit.com/site/image/logo.ico[/align][align=left]http://js.pingguoyingyong.com/taiji-home/css/style.css[/align][align=left]http://bbs.taig.com[/align][align=left]http://www.taig.com/archives/category/news[/align][align=left]http://static.youku.com/v1.0.0334/v/swf/player_yk.swf[/align][align=left]http://static.youku.com/v1.0.0334/v/swf/player_yk.swf[/align][align=left]http://www.adobe.com/go/getflash[/align][align=left]http://bbdown.iphonespirit.com/ios/7/TaiG_JailBreak_iOS7_ForWin_v1.0.zip[/align][align=left]http://bbdown.iphonespirit.com/ios/7/TaiG_JailBreak_iOS7_ForMac_v1.0.dmg[/align][align=left]http://www.taig.com/archives/category/news[/align][align=left]http://www.taig.com/archives/548[/align][align=left]http://bbdown.iphonespirit.com/site/docpic/2348.jpg[/align][align=left]http://www.taig.com/archives/548[/align][align=left]http://www.taig.com/archives/548[/align][align=left]http://www.taig.com/archives/253[/align][align=left]http://www.taig.com/archives/251[/align][align=left]http://www.taig.com/archives/249[/align][align=left]http://www.taig.com/archives/247[/align][align=left]http://www.taig.com/archives/241[/align][align=left]http://www.taig.com/archives/239[/align][align=left]http://www.taig.com/archives/237[/align][align=left]http://www.taig.com/archives/233[/align][align=left][color=rgb(51, 51, 51)][font=Arial, Helvetica, sans-serif][size=14px]http://js.pingguoyingyong.com/taiji-home/js/build.js
复制代码
以上结果说明,我们在 www.taig.com 的网页上,还找到了其它网站的域名。这些网站的域名必定不是无缘无故出现在这里的。我们再次使用 whois 命令,查询这些看上去可疑的域名,首先是 pingguoyingyong.com 这个域名:
  1. $ whois pingguoyingyong.com
  2. Domain Name: PINGGUOYINGYONG.COM
  3. Registry Domain ID: 1701302087_DOMAIN_COM-VRSN
  4. Registrar WHOIS Server: whois.godaddy.com
  5. Registrar URL: [url=http://www.godaddy.com]http://www.godaddy.com[/url]
  6. Update Date: 2013-02-04 05:56:33
  7. Creation Date: 2012-02-09 09:52:46
  8. Registrar Registration Expiration Date: 2015-02-09 09:52:46
  9. Registrar: GoDaddy.com, LLC
  10. Registrar IANA ID: 146
  11. Registrar Abuse Contact Email: [url=mailto:abuse@godaddy.com]abuse@godaddy.com[/url]
  12. Registrar Abuse Contact Phone: +1.480-624-2505
  13. Domain Status: clientTransferProhibited
  14. Domain Status: clientUpdateProhibited
  15. Domain Status: clientRenewProhibited
  16. Domain Status: clientDeleteProhibited
  17. Registry Registrant ID:
  18. Registrant Name: John Lennon
  19. Registrant Organization: Apple Application INC.
  20. Registrant Street: China
  21. Registrant City: guangdong
  22. Registrant State/Province: baiyun
  23. Registrant Postal Code: 000000
  24. Registrant Country: China
  25. Registrant Phone: +86.138000138000
  26. Registrant Phone Ext:
  27. Registrant Fax:
  28. Registrant Fax Ext:
  29. Registrant Email: [url=mailto:fidate@gmail.com]fidate@gmail.com[/url]
  30. Registry Admin ID:
  31. Admin Name: John Lennon
  32. Admin Organization: Apple Application INC.
  33. Admin Street: China
  34. Admin City: guangdong
  35. Admin State/Province: baiyun
  36. Admin Postal Code: 000000
  37. Admin Country: China
  38. Admin Phone: +86.138000138000
  39. Admin Phone Ext:
  40. Admin Fax:
  41. Admin Fax Ext:
  42. Admin Email: [url=mailto:fidate@gmail.com]fidate@gmail.com[/url]
  43. Registry Tech ID:
  44. Tech Name: John Lennon
  45. Tech Organization: Apple Application INC.
  46. Tech Street: China
  47. Tech City: guangdong
  48. Tech State/Province: baiyun
  49. Tech Postal Code: 000000
  50. Tech Country: China
  51. Tech Phone: +86.138000138000
  52. Tech Phone Ext:
  53. Tech Fax:
  54. Tech Fax Ext:
  55. Tech Email: [url=mailto:fidate@gmail.com]fidate@gmail.com[/url]
  56. Name Server: F1G1NS1.DNSPOD.NET
  57. Name Server: F1G1NS2.DNSPOD.NET
复制代码
如果想知道一个域名的持有者,还持有什么其它的域名,那么持有此域名的邮箱是首要的调查对象。经过查询,此域名的邮箱 fidate@gmail.com 还拥有另一个域名,idestop.com。
再用 whois 命令查询 iphonespirit.com 这个域名,发现它采用了保护手段,防止别人查询 whois 域名信息。
  1. $ whois iphonespirit.com
  2. Domain Name ..................... iphonespirit.com
  3. Sponsoring Registrar ............ HICHINA ZHICHENG TECHNOLOGY LTD.
  4. Name Server ..................... ns3.dnsv4.com
  5. ns4.dnsv4.com
  6. Registrant ID ................... whois-protect
  7. Registrant Name ................. WHOIS AGENT
  8. Registrant Organization ......... DOMAIN WHOIS PROTECTION SERVICE
  9. Registrant Address .............. 3/F.,HiChina Mansion,No.27 Gulouwai Avenue
  10. Dongcheng District,Beijing 100120,China
  11. Registrant City ................. Beijing
  12. Registrant Province/State ....... Beijing
  13. Registrant Postal Code .......... 100120
  14. Registrant Country Code ......... CN
  15. Registrant Phone Number ......... +8610.64242266
  16. Registrant Fax .................. +8610.84138796
  17. Registrant Email ................ [url=mailto:domainadm@hichina.com]domainadm@hichina.com[/url]
  18. Administrative ID ............... whois-protect
  19. Administrative Name ............. WHOIS AGENT
  20. Administrative Organization ..... DOMAIN WHOIS PROTECTION SERVICE
  21. Administrative Address .......... 3/F.,HiChina Mansion,No.27 Gulouwai Avenue
  22. Dongcheng District,Beijing 100120,China
  23. Administrative City ............. Beijing
  24. Administrative Province/State ... Beijing
  25. Administrative Postal Code ...... 100120
  26. Administrative Country Code ..... CN
  27. Administrative Phone Number ..... +8610.64242266
  28. Administrative Fax .............. +8610.84138796
  29. Administrative Email ............ [url=mailto:domainadm@hichina.com]domainadm@hichina.com[/url]
  30. Billing ID ...................... whois-protect
  31. Billing Name .................... WHOIS AGENT
  32. Billing Organization ............ DOMAIN WHOIS PROTECTION SERVICE
  33. Billing Address ................. 3/F.,HiChina Mansion,No.27 Gulouwai Avenue
  34. Dongcheng District,Beijing 100120,China
  35. Billing City .................... Beijing
  36. Billing Province/State .......... Beijing
  37. Billing Postal Code ............. 100120
  38. Billing Country Code ............ CN
  39. Billing Phone Number ............ +8610.64242266
  40. Billing Fax ..................... +8610.84138796
  41. Billing Email ................... [url=mailto:domainadm@hichina.com]domainadm@hichina.com[/url]
  42. Technical ID .................... whois-protect
  43. Technical Name .................. WHOIS AGENT
  44. Technical Organization .......... DOMAIN WHOIS PROTECTION SERVICE
  45. Technical Address ............... 3/F.,HiChina Mansion,No.27 Gulouwai Avenue
  46. Dongcheng District,Beijing 100120,China
  47. Technical City .................. Beijing
  48. Technical Province/State ........ Beijing
  49. Technical Postal Code ........... 100120
  50. Technical Country Code .......... CN
  51. Technical Phone Number .......... +8610.64242266
  52. Technical Fax ................... +8610.84138796
  53. Technical Email ................. [url=mailto:domainadm@hichina.com]domainadm@hichina.com[/url]
  54. Domain Create Date .............. 2013-03-29 19:54:24
  55. Expiration Date ................. 2014-03-29 19:54:24
复制代码
不过,我们依然可以进一步的进行 DNS 分析。
  1. $ host bbdown.iphonespirit.com
  2. bbdown.iphonespirit.com is an alias for bbdown.iphonespirit.com.51ccdn.com.
  3. bbdown.iphonespirit.com.51ccdn.com is an alias for c01.i08.sisyun.com.
  4. c01.i08.sisyun.com is an alias for c01.i08.cncsd.hadns.net.
  5. c01.i08.cncsd.hadns.net has address 61.156.242.76
  6. c01.i08.cncsd.hadns.net has address 60.210.10.77
  7. c01.i08.cncsd.hadns.net has address 61.156.157.183
复制代码
随手一搜索,我们可以发现“苹果核”使用的分发域名便是 iphonespirit.com。而苹果核使用了国内某公司的核心,不得不让人有某些联想。
  1. $ host js.pingguoyingyong.com
  2. js.pingguoyingyong.com has address 117.121.11.32
复制代码
接下来,我们用 host 命令查询这个 IP 地址,得到了一个惊奇的发现。
  1. $ host [url=http://www.kuaiyong.com]www.kuaiyong.com[/url]
  2. [url=http://www.kuaiyong.com]www.kuaiyong.com[/url] has address 117.121.11.16
复制代码
经查,海外解析地址为 .16,国内解析地址为 .32。
  1. $ curl -s --head -H"Host: [url=http://www.kuaiyong.com]www.kuaiyong.com[/url]" 117.121.11.32
  2. HTTP/1.1 200 OK
  3. Server: nginx/1.0.15
  4. Date: Sun, 22 Dec 2013 22:40:11 GMT
  5. Content-Type: text/html
  6. Content-Length: 9268
  7. Last-Modified: Thu, 19 Dec 2013 05:47:21 GMT
  8. Connection: keep-alive
  9. Accept-Ranges: bytes
  10. $ curl -s -H"Host: nosuchhost.com" 117.121.11.32 | grep '<title>'
  11. <title>Test Page for the Nginx HTTP Server on EPEL</title>
  12. $ curl -s -H"Host: [url=http://www.kuaiyong.com]www.kuaiyong.com[/url]" 117.121.11.32 | grep '<title>'
  13. <title> 快用苹果助手 </title>
复制代码
结论
由于太极的下载链接托管在了 iphonespirit.com 上,我们有理由相信太极和国内某公司或某公司投资的某些公司有某种联系。
再由于太极的 JS 资源托管到了 pingguoyingyong.com 上,我们有理由相信太极和快用助手有某种深层次的合作。还有另外一种可能太极只是快用助手的马甲。
PS:
现在打开 bbdown.iphonespirit.com,你会发现一段告示,看来已经被黑了:
致某公司
谢谢你送我们的圣诞白苹果
谢谢你送我们的捆绑太极助手
既然你们有钱和 Evad3rs 合作,再出个服务好不?白苹果了直接送台新的
这次真的很失望,因为你们已经背叛了越狱的初衷
不要继续挑战用户的底线了好吗?



回复

举报

魔子戒
发表于 2013-12-23 13:30:18 | 显示全部楼层
这事儿火的真快

昨晚看到的是喜讯 IOS7越狱

今天就看到 360又被推到风口浪尖了
回复

举报

飞扬丶
发表于 2013-12-23 13:33:57 | 显示全部楼层
这片文章 说明了什么  就为了说明360和太极助手有关系?
回复

举报

ZJUER
发表于 2013-12-23 13:35:43 | 显示全部楼层
本帖最后由 ZJUER 于 2013-12-23 13:45 编辑

证据链最后两步是断的……

用同一个证据链可以得出苹果和微软以及亚马逊是一家……
回复

举报

风之幻想
发表于 2013-12-23 13:35:49 | 显示全部楼层
飞扬丶 发表于 2013-12-23 13:33
这片文章 说明了什么  就为了说明360和太极助手有关系?

这篇文章表述了 太极和快用是一家 这个观点..至于在后面的...就是某个投资新闻里的了
回复

举报

堕落羔羊
头像被屏蔽
发表于 2013-12-23 13:36:14 | 显示全部楼层
飞扬丶 发表于 2013-12-23 13:33
这片文章 说明了什么  就为了说明360和太极助手有关系?

我早就告诉过你,不管这事跟360有没有关系,反正360口碑不好这是肯定了的~
回复

举报

六月离
发表于 2013-12-23 13:38:10 | 显示全部楼层
这篇文章如果没有隐射某公司的话,估计一大波人都会说这是技术帖了。
话说会锁么?
回复

举报

qianwenxiang
发表于 2013-12-23 13:38:55 | 显示全部楼层
为啥非要用linux查。。。
回复

举报

大捏捏
发表于 2013-12-23 13:45:04 | 显示全部楼层
本帖最后由 大捏捏 于 2013-12-23 13:47 编辑

快播是腾讯投资的,
为什么反盗版联盟起诉快播不起诉腾讯。按照某几楼的论调起诉快播必须起诉腾讯,因为他投资了,必须是一家的。
很奇怪的怪圈式。为了找借口,这伎俩真把网民都当成白痴了。
回复

举报

大捏捏
发表于 2013-12-23 13:48:48 | 显示全部楼层
qianwenxiang 发表于 2013-12-23 13:38
为啥非要用linux查。。。

LIUNX貌似能做到更底层的反编译。
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 20:25 , Processed in 0.124374 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表