Салют, Хабр! Я думаю, каждый из вас знаком или, по крайней мере, слышал о такой прекрасной утилите как NoDPI написанной на питоне (большое спасибо @Lord_of_Rings!). Сегодня я хочу представить вам (почти) свою разработку, не требующую ни питона ни прокси. Мы будем патчить прямо на диске библиотеку chrome.dll - входяющую в пакет Chrome на Windows и лежащую в директории "C:\Program Files\Google\Chrome\Application\140.0.7339.208\chrome.dll". Цифры могут меняться в зависимости от версии. Данный патч занимает всего 8 байт и после него у нас появится YouTube.
Сначала скачаем https://boringssl.googlesource.com/boringssl это библиотека TLS/SSL, на которой построен Chrome/Chrominium.
Нас будет интересовать файл s3_both.cc вот в этом месте:
bool tls_add_message(SSL *ssl, Array<uint8_t> msg) {
// Pack handshake data into the minimal number of records. This avoids
// unnecessary encryption overhead, notably in TLS 1.3 where we send several
// encrypted messages in a row. For now, we do not do this for the null
// cipher. The benefit is smaller and there is a risk of breaking buggy
// implementations.
//
// TODO(crbug.com/374991962): See if we can do this uniformly.
Span<const uint8_t> rest = msg;
if (!SSL_is_quic(ssl) && ssl->s3->aead_write_ctx->is_null_cipher()) {
while (!rest.empty()) {
Span<const uint8_t> chunk = rest.subspan(0, ssl->max_send_fragment);
rest = rest.subspan(chunk.size());
if (!add_record_to_flight(ssl, SSL3_RT_HANDSHAKE, chunk)) {
return false;
}
}
} else {
Можно легко увидеть, что здесь пакет нарезается на chunk размером max_send_fragment и далее из этого формируются пакеты с заголовком SSL3_RT_HANDSHAKE (равно 22). Кто следил как устроен NoDPI на питоне, то там всё тоже самое, но нарезка происходит не фиксированной длины, а случайным образом. Примерно так:
while data:
chunk_len = random.randint(1, len(data))
parts.append(
bytes.fromhex("160304")
+ chunk_len.to_bytes(2, "big")
+ data[:chunk_len]
)
data = data[chunk_len:]Прекрасно, модифицируем код s3_both.cc, чтобы уменьшить размер max_send_fragment (по умолчанию он равен 16384). Таким образом пакеты начнут дробиться на кусочки. Случайность делать не будем, как выяснилось, она не нужна.
См код ниже. Новыми являются первые две строчки, остальной код не трогаем.
ssl->max_send_fragment=0x3e8;
if (1) {
while (!rest.empty()) {
Span<const uint8_t> chunk = rest.subspan(0, ssl->max_send_fragment);
rest = rest.subspan(chunk.size());
if (!add_record_to_flight(ssl, SSL3_RT_HANDSHAKE, chunk)) {
return false;
}
}
} else {А вот как это выглядит на языке Ассемблера.
Было:
00D02D21: 4883B99800000000 cmp q,[rcx][000000098],0 ;!SSL_is_quic(ssl)
00D02D29: 0F85B9000000 jnz 000D02DE8
00D02D2F: 488B4730 mov rax,[rdi][030] ;ssl->s3->aead_write_ctx->is_null_cipher()
00D02D33: 488B8010010000 mov rax,[rax][000000110]
00D02D3A: 48833800 cmp q,[rax],0
00D02D3E: 0F85A4000000 jnz 000D02DE8
00D02D44: 4D85E4 test r12,r12
00D02D47: 0F8439010000 jz 000D02E86
00D02D4D: 440FB74F10 movzx r9d,w,[rdi][010] ;ssl->max_send_fragmentСтало:
00D02D21: 66C74710E803 mov w,[rdi][010],003E8 ;max_send_fragment=0x3e8
00D02D27: EB1B jmps 000D02D44 ; if (1) --->
00D02D29: 0F85B9000000 jnz 000D02DE8 ; далее ничего не трогаем
00D02D2F: 488B4730 mov rax,[rdi][030]
00D02D33: 488B8010010000 mov rax,[rax][000000110]
00D02D3A: 48833800 cmp q,[rax],0
00D02D3E: 0F85A4000000 jnz 000D02DE8
00D02D44: 4D85E4 test r12,r12 ;приходим сразу сюда <---
00D02D47: 0F8439010000 jz 000D02E86
00D02D4D: 440FB74F10 movzx r9d,w,[rdi][010]В итоге мы поменяли всего 8 байт в файле chrome.dll по оффсету с 2D21 по 2D28
Создаём маску поиска 4883B998000000000F85B9000000488B4730 это байты с 2D21 по 2D32
Теперь маска замены: 66C74710E803EB1B0F85B9000000488B4730
Маска немного больше размером, чем 8 байт, так как иначе мы можем найти сторонний код, так как последовательность cmp q,[rcx][000000098],0 и jnz 000D02DE8 часто встречается, а если добавить еще одну команду mov rax,[rdi][030] то такая последовательность встречается в chrome.dll только один раз, что и требуется для патчинга.
Далее качаем патч-утилиту, воспользуемся этим проектом https://github.com/pbatard/winpatch, здесь кроме патча бинарного кода, также производится модификация контрольной суммы PE-заголовка и подпись кода самоподписанным SSL-сертификатом, что скорее всего излишне, но и не помешает.
Пишем bat-файл, производящий поиск chrome.dll в каталоге "C:\Program Files\Google\Chrome\Application", код более-менее универсальный, чтобы обработать все подкаталоги с разными версиями.
@echo off
taskkill /F /IM chrome.exe
timeout 2
for /r "C:\Program Files\Google\Chrome\Application" %%f in (chrome.dll) do IF EXIST "%%f" ( %~dp0winpatch.exe "%%f" 4883B998000000000F85B9000000488B4730 66C74710E803EB1B0F85B9000000488B4730 )
echo Patch done
echo Press ENTER to close window
pause
Здесь дополнительно удаляется процесс сhrome.exe (вкладки можно будет восстановить после перезапуска), иначе chrome.dll будет залочен и недоступен для патча. Далее ждём 2 секунды и скармливаем утилите winpatch.exe полный путь chrome.dll а также маску поиска и маску замены.
Пишем эти 8 строк в runme.bat и запускаем bat из-под администратора. Патч произведён!
Запускаем патченный Chrome - Youtube работает отлично! Проверено на 3х компьютерах, 2х провайдерах и 5ти версиях Chrome.
В заключение создадим самораспаковыващийся WinRar архив (это полноценный exe-файл), в который поместим утилиту winpatch.exe и runme.bat, назначим ему через диалог конфигурации привилегии администратора на запуск, это чтобы мы смогли модифицировать chrome.dll, лежащий в системной директории, а также ставим в автостарт runme.bat и контрольный вопрос - патчим Chrome? Назовём утилиту youtube_patch_v1.0.exe
Конечно, для полноценной работы нужны списки blacklist.txt - но 8 байт, это 8 байт!
Если что-то пошло не так, восстановите chrome.dll из бэкапа chrome.dll.bak
Если Chrome обновится на новую версию, конечно же, файл chrome.dll будет заменён на оригинальный и патч нужно будет повторить.
Самораспаковывающийся и самозапускающийся архив, полностью готовый для патчинга, выложен на гугл-диске: youtube_patch_v1.0.exe
UPD: Версия 1.0 для Linux
Было:
041C4DCF: 4883BF9800000000 cmp q,[rdi][000000098],0
041C4DD7: 0F85BF000000 jnz 0041C4E9C
041C4DDD: 498B4630 mov rax,[r14][030]
041C4DE1: 488B8010010000 mov rax,[rax][000000110]
041C4DE8: 48833800 cmp q,[rax],0
041C4DEC: 0F85AA000000 jnz 0041C4E9C
041C4DF2: 4D85ED test r13,r13
041C4DF5: 0F84A6000000 jz 0041C4EA1
041C4DFB: 410FB74E10 movzx ecx,w,[r14][010]Стало:
041C4DCF: 6641C74610E803 mov w,[r14][010],003E8
041C4DD6: EB1A jmps 0041C4DF2
041C4DD8: 85BF00000049 test [rdi][049000000],edi
041C4DDE: 8B4630 mov eax,[rsi][030]
041C4DE1: 488B8010010000 mov rax,[rax][000000110]
041C4DE8: 48833800 cmp q,[rax],0
041C4DEC: 0F85AA000000 jnz 0041C4E9C
041C4DF2: 4D85ED test r13,r13
041C4DF5: 0F84A6000000 jz 0041C4EA1
041C4DFB: 410FB74E10 movzx ecx,w,[r14][010]Строчки для winpatch.exe для патчинга /opt/google/chrome/chrome под Windows
4883BF98000000000F85BF000000
6641C74610E803EB1A85BF000000
Для Linux сделаем нативный скрипт на bash с использованием bbe
(это аналог всем известного sed но применим для бинарных строк)
Сначала установите пакет bbe
sudo apt install bbe
Выполните следующий скрипт с правами администратора, оригинальный chrome будет сохранен в /opt/google/chrome/chrome.bak если что-то пойдет не так, можно будет его восстановить.
#!/bin/bash
FILE=/opt/google/chrome/chrome
FILE_BAK=/opt/google/chrome/chrome.bak
FILE_TMP=/tmp/chrome.$$$
if [ "$USER" != "root" ]; then
echo "Для выполнения скрипта нужны права sudo, запустите скрипт с правами суперпользователя"
exit
fi
read -r -p "Do you agree to patch v1.0 Chrome for YouTube ? [y/N] " response
if [[ "$response" =~ ^([yY][eE][sS]|[yY])$ ]]
then
if [ ! -f $FILE_BAK ]; then
cp $FILE $FILE_BAK
fi
bbe -e 's@\x48\x83\xBF\x98\x00\x00\x00\x00\x0F\x85\xBF\x00\x00\x00@\x66\x41\xC7\x46\x10\xE8\x03\xEB\x1A\x85\xBF\x00\x00\x00@' $FILE_BAK >$FILE_TMP
cmp $FILE_TMP $FILE_BAK >/dev/null
if [ $? -eq 0 ]
then
echo "Patch failed!"
exit
fi
chmod +x $FILE_TMP
cp $FILE_TMP $FILE
echo "Patch done!"
fi
Данный скрипт выложен также на гугл-диске youtube_patch_v1.0
Перед запуском сделать +x:
chmod +x youtube_patch_v1.0
sudo ./youtube_patch_v1.0
UPD: Обновление алгоритма (версия 1.1)
Всё-таки нужно пускать к сайтам, которые не поддерживают данный режим даже если нет blacklist.txt.
Поэтому в версии 1.1 сделаем так:
00D02D21: 0F31 rdtsc
00D02D23: A808 test al,8
00D02D25: 66B80040 mov ax,04000
00D02D29: 7404 jz 000D02D2F
00D02D2B: 66B8E803 mov ax,003E8
00D02D2F: 66894710 mov [rdi][010],ax
00D02D33: EB0F jmps 000D02D44
Это означает, что с вероятностью 1/2 будем устанавливать режим разделения пакетов на кусочки (размер 3e8) или же старый режим (по умолчанию 4000). В итоге, теперь все сайты должны заработать, но будут наблюдаться некоторые тормоза при первой загрузке, так как если мы не попали в нужный режим - то потребуется некоторое время на переповторы. Ну и если что-то не открывается, можете пару раз нажать перезагрузить - страница войдет в кеш браузера и всё начнёт летать.
Выглядит так, что первый раз youtube несколько тупит, но потом ситуация проясняется, так как накладные расходы у нас только на момент установления соединения, когда тело ролика качается - ничего лишнего нет.
В итоге новые строки для патча такие:
4883B998000000000F85B9000000488B4730488B
0F31A80866B80040740466B8E80366894710EB0F
Новый bat-файл v1.1
@echo off
taskkill /F /IM chrome.exe
timeout 2
for /r "C:\Program Files\Google\Chrome\Application" %%f in (chrome.dll) do IF EXIST "%%f" ( %~dp0winpatch.exe "%%f" 4883B998000000000F85B9000000488B4730488B 0F31A80866B80040740466B8E80366894710EB0F )
echo Patch done!
echo Press ENTER to close window
pause
Собранную с помощью WinRar версию v1.1 выложил на гугл-диск youtube_patch_v1.1.exe
UPD: Обновление алгоритма (версия 1.2)
Предыдущая версия (1.1) работает для всех сайтов, но с тормозами. Поэтому в версии 1.2 сделаем выбор сайтов по ScrollLock, выглядит это так:
012FF271: 48C7C191000000 mov rcx,000000091
012FF278: FF155262EE0D call GetKeyState
012FF27E: A801 test al,1
012FF280: 66B8E803 mov ax,003E8
012FF284: 7504 jnz 0012FF28A
012FF286: 66B80040 mov ax,04000
012FF28A: 66894710 mov [rdi][010],ax
012FF28E: EB04 jmps 0012FF294Это означает, что если клавиша ScrollLock (rcx = VK_SCROLL 0x91) нажата и горит на клавиатуре соответствующий значок - то будем работать с YouTube, если нажать ScrollLock ещё раз и лампочка погаснет - тогда Chrome работает по-старому, без патчей.
Выглядит очень даже хорошо, работаешь-работаешь сайт login.microsoft.com открывается нормально, вдруг захотелось в YouTube глянуть одним глазком, жмешь ScrollLock и смотришь без тормозов. Обратно - опять ScrollLock.
Единственный недостаток патча - так как вызывается системная функция GetKeyState, то патч применим только для конкретной версии, а именно 141.0.7390.66 - эта сейчас последняя. Для других адрес GetKeyState поедет и будет мусор, приводящий к GPF (падению Chrome).
Для других версий нужно будет настроить релокейшены для GetKeyState, например вот как это сделать с помощью hiew.exe. Сначала патчим, потом запускаем
dumpbin.exe /IMPORTS chrome.dll | findstr GetKeyState
получаем на экране адрес функции
000000018D5CE3E0 0 GetKeyState
Ищем эти байты в chrome.dll - жмем F4,F7 и вбиваем E0 E3 5C 8D 01
находим их в файле по смещению (это которая с точкой)
00000001`8F1DF6B0: E0 E3 5C 8D.01 00 00 00
и возвращаемся на наш патч (начало оффсет 12ff271) и делаем этот адрес вместо
call q,[00DEE6252] -> call q,[.18F1DF6B0] (не забываем про точку)
и мусор превращается в call GetKeyState прямо в коде.
В итоге новые строки для Chrome 141.0.7390.66 такие:
4883B998000000000F85B9000000488B4730488B8010010000488338000F85 48C7C191000000FF155262EE0DA80166B8E803750466B8004066894710EB04
Новый bat-файл v1.2
@echo off
taskkill /F /IM chrome.exe
timeout 2
for /r "C:\Program Files\Google\Chrome\Application\141.0.7390.66" %%f in (chrome.dll) do IF EXIST "%%f" ( %~dp0winpatch.exe "%%f" 4883B998000000000F85B9000000488B4730488B8010010000488338000F85 48C7C191000000FF155262EE0DA80166B8E803750466B8004066894710EB04 )
)
echo Patch done!
echo Press ENTER to close window
pause
Собранную с помощью WinRar версию v1.2 (сработает только для Chrome 141.0.7390.66) выложил на гугл-диск youtube_patch_v1.2.exe
