有的学校如果想要上网,需要通过一个认证客户端进行登录认证才允许接通网络,而这款认证客户端是由安朗(安腾)公司制作的,因其软件图标为一只蓝色或者红色的蝴蝶,所以被各大高校称之为小/蓝/红蝴蝶(为了方便以下统称为蝴蝶)。
虽然它的名字叫蝴蝶,听起来温柔亲切,但是它的“所作所为”一点都不亲切,一点都不温柔,导致同学们怨声四起。为什么呢?
因为蝴蝶对Wifi共享软件以及路由器做了相应的限制机制,使得我们无法正常使用Wifi,说是要遵循校园网一人一号的网络安全原则(其实大家心知肚明、心照不宣)。
那么为了突破蝴蝶客户端的种种限制,我们需要对其进行反汇编!

工具Tools准备

OllyDbg(反汇编工具)
Restorator(资源编辑工具)

准备开始

上面说到,蝴蝶客户端有两种,一种是蓝蝴蝶,一种是红蝴蝶,这两种客户端的区别是,红蝴蝶是3.X版本,蓝蝴蝶是4.X版本,也就是说更新来更新去,版本越来越高,有用的只是认证登录功能,其余的全都是限制,越更新越多限制,所以我们只需要对红蝴蝶动手即可。

校园网安朗客户端逆向破解分析-RadeBit瑞安全

界面修改

打开Restorator,将蝴蝶拖进工具中,在左边栏里选择需要修改的内容,按F6进入编辑模式,就能任意修改界面中的控件和文本,因为蝴蝶没有加壳处理,所以无需脱壳,非常简单。

校园网安朗客户端逆向破解分析-RadeBit瑞安全

破解多网卡限制

蝴蝶不允许多个网卡同时启用,这也是限制Wifi共享软件的其中一种手段。

校园网安朗客户端逆向破解分析-RadeBit瑞安全

打开Ollydbg,将蝴蝶拖进工具中,用最简单的爆破方法,下MessageBoxA断点,找到关键Call,关键跳,将一整段跳转patch掉,再在主程序错误处理函数入口点下断点,将下线函数patch掉,最后保持堆栈平衡即可。

校园网安朗客户端逆向破解分析-RadeBit瑞安全
校园网安朗客户端逆向破解分析-RadeBit瑞安全
校园网安朗客户端逆向破解分析-RadeBit瑞安全

去除自校验

如果想修改蝴蝶的配置文件或者卸载其自带的驱动,就会触发程序的自校验。

校园网安朗客户端逆向破解分析-RadeBit瑞安全

因为它这个自校验比较水,所以与去除多网卡限制的步骤大致相同,当然如果你想省事,也可以把所有自校验代码用NOP填充掉。有朋友问博主这些步骤为什么不写详细点,因为图片太多,当初也没有截图记录,就简述一下流程了。

校园网安朗客户端逆向破解分析-RadeBit瑞安全

去除学校官网弹窗

蝴蝶在上线成功后,会弹出学校官网的mini首页,有点烦人。
patch掉蝴蝶调用IE的函数,与上述方法相同,这里不做赘述。

校园网安朗客户端逆向破解分析-RadeBit瑞安全

最后

经过这一系列操作,就可以无障碍使用各种Wifi共享软件了。但是有两个小问题:

蝴蝶限制不允许NAT后认证没有解决
蝴蝶的软件名称和关于信息修改无效。
第一个问题解决起来比较麻烦,它是限制接入路由器的手段之一,由于系列后续会有更简单的解决方法以及路由器使用方法,所以就留给有兴趣的朋友研究了,提示一下,可以用HOOK大法,很好解决,并且已有大神做好了DLL,这里提供一下DLL的下载地址。

下载:点击下载

第二个问题的解决方法就是patch掉蝴蝶读取名称的一个函数,每次运行蝴蝶的时候都会读取文本文件C:\Windows\info.txt,里面写有XX学校宽带客户端等等字眼。