航信增值稅開票軟體3.0安全分析及銷項發票采集方法

1.引言

航信增值稅開票軟體3.0從在線升級到獨立的安裝包發布已經有幾個月的時間了，據“坊間”流傳該增值開票軟體的安全性極高，和航信之前的增值稅開票軟體以及百旺的增值稅開票軟體相比安全性不可同日而語， 本文作者在幾個月之前曾留意過在線升級的航信增值稅開票軟體，當時也只是從表面大致分析了一下，也從直覺上感受到該開票軟體在安全性方面做的極為高超和精湛，逆向高手也會望而生畏的，

航信開票軟體3.0之前只提供了在線定向升級的方式，外面傳言是由于其穩定性有待驗證，所以只是小面積升級，現在安裝包已經發布，說明經過幾個版本的迭代，其穩定性及用戶體驗已經到了可以全國大面積升級程度了，有傳言2021年一月份開始，航信開票軟體3.0就要在全國進行大面升級推廣了，由于其支持金稅盤和稅務ukey，本文作者還比較看好航信增值稅開票軟體3.0的市場前景的，在用戶體驗和穩定向上比其競爭對手高了幾個層次，本文作者在稅務ukey推出的時候，曾預想航信不會因為稅務ukey的推出而坐以待斃，將大好的市場份額拱手想讓，果不其然，航信增值稅開票軟體3.0安裝包的發布，沒讓作者失望，尤其其在安全性方面所做的努力，讓作者看到了航信的技術實力果然是非常是很強的，非一般的小廠所能達到的，

本文作者，最近投入了很多的精力從逆向的角度對航信增值稅開票軟體進行了研究，這是作者在這么多年的逆向研究生涯中，感覺最為吃力，遇到的阻力最大的，其間作者有多次想放棄的念頭，經過一段時間的努力和付出也算稍有成果，下面作者從軟體安全的角度對其分析，并根據作者分析的成果簡述一下航信開票軟體3.0的資料庫（銷項發票）資料采集方法（作者歡迎和廣大逆向愛好者進行技術交流,QQ: 707534032），

2. 增值稅開票軟體3.0安全分析

2.1 增值稅開票軟體簡要說明

航信增值稅開票軟體3.0支持金稅盤（航信白色的盤）和稅局免費發放的稅務UKey，但航信開票軟體3.0升級之后老版本開票軟體就不能在使用了，故在升級的時候一定要考慮好，是否確實要使用航信增值稅開票軟體3.0，升級到3.0之后應該對金稅盤進行了相應的升級，也有說是服務端做了限制，至于是什么原因，作者沒有仔細進行分析（也沒有那么多的時間去進行分析），但從者個細節也能看出航信是要大力推廣3.0的，似乎有開弓沒有回頭箭的意味，以后，用戶在進行安裝3.0之前要做好考慮，以免老版本的增值稅開票軟體（金稅盤）版無法使用，引起不必要的麻煩，

圖-1 升級到3.0之后老版開票軟體不能再使用

圖2-航信增值稅開票軟體3.0快捷方式圖示

圖3-航信增值稅開票軟體3.0金稅盤登錄界面

圖4- 航信開票軟體3.0稅務ukey登錄界面

2.2 增值稅開票軟體3.0使用c++/SOUIl開發

航信老版本開票軟體使用c#開發，c#反編譯及其容易，盡管航信的開發人

員也在安全做方面也想了一些辦法進行進行加固，但效果也不盡如意，從低級訊息控制界面組件，到注入來操作開票軟體都很容易，對于逆向人員來說逆向也不不費吹灰之力，對于老版本開票軟體的安全分析請參看作者的另外的一篇博客https://blog.csdn.net/kongguoqing791025/article/details/108897319，

航信增值稅開票軟體3.0或許是明白了老版本在安全方面先天缺陷的不足的本質原因，進行了翻天覆地改變，安全性有了質的飛躍，首先航信增值稅開票軟體3.0使用c++開發，使用SOUI庫，首先使用c++開發，在逆向分析的難度就比c#提升N多倍，在軟體安全性方面不可同日而語的，在UI庫上使用的是SOUI庫，該UI庫的控制元件是沒有句柄的，如果要通過技術手段操作開票軟體3.0(例如將開票資料填充到開票軟體3.0進行開票，查詢資料等)技術難度和之前老版本相比有所提升，不過，航信3.0開票軟體對這方面保護的不太好，通過稍加分析就能分析出其UI使用的是SOUI庫，由于SOUI庫是開源的，據作者所知，已經有團隊對開票軟體3.0進行跨行程操縱的研究，并且已經有所突破，但無論如何，航信開票軟體3.0和老版本先比在軟體安全和反介入方面還是有質的飛躍的，所有的軟體在當前的CPU架構體系下是沒有絕對安全的，只有相對安全，

2.3 開票軟體3.0使用虛擬殼(VMProtected)進行了加固

航信開票軟體3.0加了令逆向作業者望而生畏，大名鼎鼎的虛擬殼(VMProtected),作者也在之前也想過如果增值稅開票軟體加入虛擬殼其分析難度會很大的，作者的擔心也果然應驗了，看來航信的技術體系里也有對逆向也是有所研究的（作者的猜測也是有根據的，也不便明說），

殼分為兩類，一類是加密殼，該殼對于有經驗的逆向開發者來說如同虛設，加與不加其實意義不大，另外一類殼就是虛擬殼，虛擬殼會在目標程式（exe,dll）中加入虛擬機，改變原來的匯編指令，改變原本簡單的匯編代碼，會呼叫虛擬機，使原本簡單的匯編代碼（機器指令）變得機器復雜，繞來繞去，使逆向分析者猶如進入萬劫不復的迷宮，分析的難度有指數及的提升，很多逆向分析者都會中途放棄的，逆向殼的另外一個大殺器，就是在匯編代碼（機器指令）中加入了校驗碼，任何試圖修改代碼的行為（破解）在運行期間都會被發現，行程會直接崩潰，另外虛擬殼可以發現對程式運行期間的分析跟蹤，不能通過設斷進行動態分析跟蹤，目前虛擬殼沒有行之有效的脫殼工具，也就是虛擬殼，作者中途也曾多次出現了放棄分析的念頭，難度真的太大了，

看來航信在反逆向和軟體安全方面在增值稅開票軟3.0版本做足了功夫，不得不嘆服航信為此所作出的努力，

圖5-航信開票軟體3.0加的虛擬殼

圖6-航信開票軟體3.0中的虛擬

2.4 軟體架構方面的安全加固

航信增值稅開票軟體3.0的啟動是通過skfpshell.exe進行啟動的，該行程啟動skfp.exe,然后再通過管道操作skfp.exe進行UI初始化，所以直接運行skfp.exe在表象上看是沒有任何反應的，Skfpshell.exe只是啟動者和做必要的初始化，skfp.exe才是開票軟體的應用程式，

這似乎看起來沒有什么特別之處，但加以虛擬殼，在軟體安全，反逆向方面發揮了重要的作用，因為開票軟體的核心的初始化（包括重要的演算法）都在skfp.exe，skfpshell.exe只是行程啟動者，讓逆向分析者很難進行核心演算法的逆向分析介入機會，航信開發者按軟體安全方面所做的考量，不得不嘆服，并向其致敬，

但該機制也是一把雙刃劍（不得不說智者千慮也有一失），逆向高手加以利用會有意想不到的效果，作者再此不再展開講述，

圖-7 航信開票軟體3.0通過啟動跳轉進行安全加固

2.5 航信加強版的AES加密演算法

作者在對組態檔加密演算法進行分析的時候，從組態檔來看第一直覺反應是該先對資料進行加密，加密后的結果在進行base64，但加密演算法是對稱加密還是非對稱加密？或者還是類似數字信封的加密方式哪？你要是什么？作者通過進一步的跟蹤分析，發現應該是類似AES的加密演算法，使用的是128位的密鑰，于是作者很竊喜，使用AES進行解密，出乎意料的是解密不了，

作者通過對其近萬行的加密的相關的匯編指令進行分析（這個程序真的很辛苦，搞得作者眼花繚亂，頭暈腦漲！），最終分析出該加密演算法是借鑒了AES得加密演算法和核心思想（關于AES的加密演算法作者在此不在展開敘述，有興趣的朋友可以查閱相關的資料），但演算法的復雜度和強度遠遠在AES之上，例如擴展密鑰AES是44字，而演算法的擴展密鑰確長達128字，進行行列轉換的S盒子也有256位元組擴展到256字，加解的輪數也比AES多，并且加密演算法也使用到128位的xmm系列暫存器和128位的指令，其性能是很高的，

從該加密演算法的設計和實作足可以看出航信的硬實力，該演算法不是隨便就能實作的，并且使用自己的加密演算法加大了逆向分析的難度，不得不再次第航信努力和能力嘆服，

圖-8 開票軟體組態檔加密

2.6 動態資料庫密碼加固

航信之前兩個版本的資料使用的都是固定的密碼，而且密碼兩個資料庫密碼是相同的，資料庫密碼作者在此就不在說了，不過知道該密碼的業內同仁或許會會意的“呵呵”一笑，或許是開發人員有所暗戀，但無所表達，以此寄托，又或許是開發人員對最愛的暗暗表達了海枯石爛的愛意（權當調侃，勿以為真），航信老版本對資料庫安全的加固可以參看我之前相關的博客，再此不再累述，

航信增值稅開票軟體3.0版本或許是借鑒了百旺開票軟體的思路（百旺資料庫軟體的安全分析請參看作者之前的博客https://mp.csdn.net/editor/html/108563048），也使用了動態密碼，該動態密碼的演算法和百旺無比部分伯仲，沒有可圈可點高明之處，但是，航信增值稅開票軟體對資料庫引擎的保護，確實是下足了功夫，思想和安全和百旺相比要精彩的多，

2.7 利用反模塊化的思路進行安全加固

軟體開發的模塊化的好處已經業界被認可了許多年，早也深入人心，對于軟體開發的初學者來說，其思想和好處也能說得頭頭是道，精彩不斷，但作者要說的是模塊化是軟體安全的勁敵，模塊化程度越清晰，逆向難度越低，逆向作業不費吹灰之力就能利用開發人員辛辛苦庫的成果，想必航信增值開票軟體3.0的架構者或開發人員已經深諳此道，在這方面做的極為專業，讓逆向作業者無空可鉆，

航信增值稅開票軟體的最核心的演算法，核心的模塊，包括資料庫引擎都編譯到了skfp.exe里，關于資料庫引擎的實作（sqlite3.dll）更是精彩，按照常規的做法資料庫操作無怪乎sqlite3_initialize,sqlite3_open,sqlite3_key幾個函式打開資料庫然后再指向查詢操作等，但航信的開發者完全不按這個套路出牌，讓人摸不著頭腦，不得不說其關于資料庫引擎得實作及其精彩，情節跌宕起伏，不亞于一部大戲，不得不為航信開發者得智慧所折服，

3. 增值稅開票軟體0銷項發票提取方法

作者通過對增值稅開票軟體3.0的研究（其程序極為漫長和辛苦），開發了增值稅開票軟體3.0資料庫資料瀏覽工具，歡迎和廣大逆向技術愛好者進行技術交流，QQ：707534032，該工具的使用說明檔案下載路徑https://download.csdn.net/download/kongguoqing791025/13733270，