斯柯达-MYT超级真参签名授权软件逆向分析（附破解后源码）

爱好和平的小白

上个月朋友和我说新出了一款工具可以优化魔云腾环境，XHS/BD这些APP都可以秒过，让我研究一下什么原理。
因为我事情比较多，最近几天正好闲下来了，抽点时间研究一下这个东西是怎么肥事！
废话不多数直接开整，先找朋友要一个软件的安装包！

还挺大的卧槽，300多MB的软件，看来是有点东西，嘿嘿！
还是老三套，解包--反编译--翻代码。



我原以为需要费一番功夫才能弄开，结果随便一个通用脚本就解开了，太让我失望了。
接下来观察一下文件结构，初步判断部分有价值的文件mainw.pyc/APP.pyc/BL_API.py/pl.py/ZK.py，先从这几个下手看看，到底是什么魔法技术可以突破风控限制。

先来看mainw.pyc

上面是部分代码，看来摸到了登录/注册页面的代码了，但是这个代码风格好像AI写的啊，哈哈哈！

仔细看了看，找到了一个叫 piaolingAPI的密钥，估计是某一个叫piaoling的用户管理平台，看来作者是买的三方的用户管理服务，没有自己去写用户后台，感觉有点像早年易语言论坛那批人的手法，哈哈哈。
又翻看了几遍，确实没啥有价值的东西，继续看下一个（APP.pyc）


卧槽运气这么好的吗，第二次就直接摸到了核心代码了？？
不过有一说一，2025年了，还有人写代码用中文做方法名字，有点像小学生写的代码的感觉，青涩而可爱。
从代码逻辑上来看，作者应该是对魔云腾设备上传了一个谷歌证书，和设备环境，并没有朋友说的什么特殊改动，让我来找找他的谷歌证书是哪里来的。

稍微找一下果然就找到了谷歌证书部分的代码，验证了我的猜想，果然没有任何特殊操作，就只是传了一个证书和设备环境上去。
同时你们猜猜我看到了什么？？？这个天才居然把数据库地址和密码写到了软件里面！！！ 干逆向三年了，第一次遇到这种傻逼，把数据库的密码写到了前端。
分析一下整体逻辑。
1：用户打开软件下发指令。
2：软件获取数据库里面提前存好的keybox证书和机型参数数据。
3：通过魔云腾SDK写入设备。
虽然很小白的操作，但是能把他做成一个软件卖也还行。
现在，既然有了数据库地址和密码，那我不得进去看看？？朋友说这款软件号称有1000+设备参数和1000+的谷歌证书，那我要来看看到底有多少，嘿嘿！

挂梯子，上数据库看看！！！

轻松连上，哈哈哈一点安全防范都没有，真够操的，太弱智了！
仔细看看，发现只有6款机型的数据呢？？？这不是诈骗嘛，卧槽！我原以为只是技术水平差，尼玛连道德水平也这么低嘛！
仔细翻看一下数据库？？发现了一个更扯淡的事情！！



数据库里面存放的近千份谷歌证书，完全一模一样  一！模！一！样！
也就是说，他实际上整个软件可以用的证书就一个，看到的上千个证书实际上都是同一个证书？？？

很生气！感觉被耍了！!接着来看机型数据部分！
这个叫hmi的表里面 1.5GB的机型数据，居然全部都是同一个机型，他脑子有毛病，把一个机型数据复制了几千份一模一样的放在里面！！

又看了一下其他机型的数据库表，都是一样的情况，看着是几千上万个机型数据，实际上只有一个，其他都是复制的数据。


好狠的心呐！6个机型一个谷歌证书，就这点破数据也敢做成收费软件？？？
就这玩意儿也敢到处引流发广告，哈哈哈！！发一下这个人的微信号，大家警惕！

继续来看证书里面的东西，发现一个tg联系方式，赶紧联系一下，问问怎么回事！

哈哈哈哈，一个证书万人骑，还说包有效呢。感情这么个说法呢！！

tg商家丢了个购买地址，质保版110一个，非质保的35块钱一个！
就这么便宜的东西，也不舍得给兄弟们多弄一个，就放一个糊弄鬼呢？？？

又看了一下其他的文件，基本都是些没营养的东西，哈哈哈



最后总结一下：
这款软件我个人理解就是糊弄鬼的，纯骗人软件！
如果你觉得有用，你只需要自己去找我文中贴出来的那个联系方式去买证书就可以了，哈哈哈！35块钱一个，没有中间商赚差价！
有上当受骗的可以去拿着这篇文章去维权了，哈哈哈。
源代码以及整个数据库我附在这里了，需要的自取。
源代码：  https://wwuf.lanzoum.com/iOmNQ30rx4zi
数据库：https://wwuf.lanzoum.com/iDXfC30s2psh

hadesku

大佬牛逼

还想买呢，去蛋的吧

Administrator

这个家伙抖，哔哩，咸鱼都有他的身影，估计很多人被骗了

Chen2024

哈哈哈，6月份我也逆向了这个软件，但是当时没有python3.13的pyc转编译工具，https://pylingual.io/那时候也挂了，没看出代码

Name

之前也是被宣传唬住了，扒了一下裤子，然并卵。

tg商家有链接不