作者：jiawen
鏈接：juejin.im/post/6890344584078721031

# 背景

之前扒過飛書的源碼，從代碼設(shè)計(jì)架構(gòu)層面里里外外學(xué)習(xí)一把，飛書還是挺“大方”的，源碼在客戶端和網(wǎng)頁(yè)端都一覽無(wú)余，不過好像新版本已經(jīng)看不到了。相關(guān)的文章由于在內(nèi)網(wǎng)技術(shù)論壇發(fā)過了不便于再發(fā)出來(lái)（泄露內(nèi)部資料會(huì)被查水表的），因此這次周末抽時(shí)間換一個(gè)鳥窩來(lái)掏一掏。

一不小心發(fā)現(xiàn)迅雷的客戶端竟然也是基于 Electron 開發(fā)的，那代碼就好扒拉了。（先吐槽一下這新版本的某lei為什么要抄釘釘?shù)慕缑?，這些年某lei都不知道自己要干什么了，每個(gè)版本都招人嫌）

# 拆解篇

一點(diǎn)背景知識(shí)說(shuō)明

基于前端技術(shù)棧 Electron 構(gòu)建的桌面應(yīng)用，本質(zhì)上都是加載本地前端資源文件，而這些文件通常是用 asar 格式（類似 windows iso 鏡像）的方式進(jìn)行打包，然后運(yùn)行時(shí)再通過掛在到內(nèi)存實(shí)現(xiàn)前端資源文件 js/css/html/img 等文件的讀取。

這么說(shuō) asar 想辦法掛載就可以隨意閱讀源碼了嗎？不是的。同時(shí) asar 會(huì)提供一套通過加密方式防止任意解壓，飛書就是這么做的，直接通過 asar extract 的方式無(wú)法解包出來(lái)。但是由于 node 端和 rust 構(gòu)建的二進(jìn)制文件如果打包到 asar 會(huì)導(dǎo)致無(wú)法鏈接到這些二進(jìn)制文件，因此需要從 asar 中獨(dú)立出來(lái)，因而導(dǎo)致有部分 js 文件仍然裸露在外面。不過即便沒有任何 js 是暴露的仍然是有辦法爆破的。

啊，跑偏了，先不談飛書，今天的主菜是迅雷。

那迅雷的前端資源文件是怎么管理的呢？

是在下想多了，不好意思，迅雷梅川酷子，都攤著在那呢，根本沒用 asar 打包/加密。

開撬

既然 js 都暴露了，也沒什么好繞的，直接植入代碼吧。我們都知道 Electron 是有 render 進(jìn)程和 Node 進(jìn)程的，接下來(lái)這一步需要猜猜看哪個(gè)文件是負(fù)責(zé) render 主進(jìn)程的？

好吧不用猜，名字都非常人類可讀，就 main-renderer（主窗口渲染進(jìn)程）。打開找到 html 文件（js也可以）插入如下這串

雙擊啟動(dòng)，調(diào)試窗口出來(lái)了，可以大致看到整體頁(yè)面結(jié)構(gòu)了

然后看了一下，迅雷的懸浮小圓圈和主窗口，分別用一個(gè) BrowserWindow 來(lái)實(shí)現(xiàn)。有趣的是那個(gè)小圓圈窗口其實(shí)并不小，鼠標(biāo)懸停出來(lái)的那個(gè)浮窗也是它的一部分，為了讓小圓圈在屏幕的任何位置都可以看到懸浮窗，所以整個(gè)小圓圈的 BrowserWindow 是大約 4 倍的懸浮窗口大小

獨(dú)立窗口的檢視界面 - 窗口實(shí)際是 4倍 浮窗大小，灰色部分全都是這個(gè)“小”浮窗所使用的 BrowserWindow區(qū)域

一點(diǎn)防御措施

從代碼來(lái)看，nodejs 進(jìn)程只有一個(gè)文件 main.js ，是 webpack 的構(gòu)建產(chǎn)物，看源碼這里的 BrowserWindow 的 webPreference 參數(shù)是把 devTools 禁用掉的，導(dǎo)致直接在命令行里敲 openDevTools 是不能檢視任意窗口的

當(dāng)然了，這里即便是混淆過了也沒關(guān)系，畢竟還是明文，把 1 改成 0，把它打開就好（雙嘆號(hào)/true/1啥都行，開心就好)。不過由于迅雷的窗口實(shí)在是太多了，下載彈窗是獨(dú)立窗口，選擇文件夾是獨(dú)立窗口，各種廣告窗口也是，需要改的配置點(diǎn)很多，這里就不列了，總共有 10 個(gè)窗口，這個(gè)配置點(diǎn)按需打開（批量替換也行，謹(jǐn)慎操作就行）。

# 進(jìn)程結(jié)構(gòu)

呃……然后要干啥……好像也沒什么好看的了，代碼是混淆過的，也沒有 map 文件。而且前端部分的代碼也沒什么技術(shù)含量可以說(shuō)的，哪個(gè) web 頁(yè)面都那樣。那看看進(jìn)程分工吧。

進(jìn)程樹

在進(jìn)程樹里可以看出來(lái)，幾乎全部的進(jìn)程都是 Thunder.exe，可見 Thunder.exe 作為進(jìn)程派發(fā)入口（類似 server 的網(wǎng)關(guān)，而并不直接是業(yè)務(wù)本身），用戶啟動(dòng)的時(shí)候傳參是 --StartType:DesktopIcon，隨后它喚起了兩組進(jìn)程，一組是 Electron main 進(jìn)程，main 進(jìn)程喚起相關(guān)的 renderer；然后是下載的 SDK 服務(wù) DownlaodSDKServer。

那么迅雷的進(jìn)程關(guān)系差不多是清楚了：多個(gè) Electron 窗口，對(duì)應(yīng)一個(gè) DownloadSDK。

通信方式

那么 Electron 的進(jìn)程（甭管 main-process 還是 renderer-process，統(tǒng)稱 electron進(jìn)程） 和 DownloadSDK 是如何通信的呢？

進(jìn)程間通信一般都是依靠 ipc 管道的形式來(lái)實(shí)現(xiàn)。不過迅雷似乎沒按套路來(lái)，它的 DownloadSDK 是控制臺(tái)程序，意味著很有可能是通過 stdio 的方式來(lái)進(jìn)行交互的（后續(xù)證明不是）。

通過觀察進(jìn)程打開的句柄，看到很詭異的一個(gè)現(xiàn)象：DownloadSDK 并沒有打開任何 ipc 管道，反倒是前端進(jìn)程打開了一個(gè)

前端的 ipc

而 Electron 打開的這個(gè) handler 進(jìn)程名稱，查了一下，竟然全是 Electron 進(jìn)程使用的，而且是所有進(jìn)程。

那么不妨做出一個(gè)大膽的推測(cè)：前端多窗口之間是靠自建的 ipc 通道實(shí)現(xiàn)的，而 ipc 是 1 server 對(duì) N client 的方式，那么 server 很有可能就是在主窗口上的，也就是前文看到那個(gè)及其明顯的 main-renderer 進(jìn)程，通過控制臺(tái)查看，確實(shí)如此，nodejs 的 net 方式創(chuàng)建了一個(gè) server，并且將一個(gè)叫做 __xdasIPCServerInstance 的對(duì)象暴露在全局環(huán)境供前端 js 調(diào)用，也即 jsapi。

而小窗口并不存在上述 server 實(shí)例，而相對(duì)應(yīng)的有一個(gè) client 實(shí)例

和 DownloadSDK 的通訊方式

這樣看起來(lái)就很奇葩了，前端進(jìn)程之間是通過自建的 ipc 管道通信的，但是并沒有跟 DownloadSDK 有任何通信管道，難道它倆是心有靈犀無(wú)言自通？啊這……程序員是唯物主義的！

那怎么查它到底是怎么跟前端進(jìn)程交互的呢？既然前端暴露了 server sdk instance，那意味著 DownLoadSDK 肯定是以一種 proxy 的方式暴露在這上面作為 jsapi 的。可以拿【創(chuàng)建一個(gè)下載任務(wù)api】來(lái)順藤摸瓜?？戳酥鞔翱诘?server instance 一下果然有這個(gè)方法：createTask ，應(yīng)該就是前端用于創(chuàng)建下載任務(wù)用的 api。

chrome 瀏覽器里查代碼不方便，轉(zhuǎn)戰(zhàn) vscode 看源碼，搜索 createTask 這個(gè)函數(shù)的聲明位置，看到這一段（篇幅控制，此處刪減了部分代碼）

createTask(e, t) {return n(this, void 0, void 0, function* () {          .....          }switch (e) {case h.DownloadKernel.TaskType.P2sp:              ...case h.DownloadKernel.TaskType.Bt:             ...case h.DownloadKernel.TaskType.Emule:             ...case h.DownloadKernel.TaskType.Group:              ...case h.DownloadKernel.TaskType.Magnet:             ...default:              i = !1;          }return (            ...            _.fireTaskEvent(h.DownloadKernel.TaskEventType.TaskCreated, [          );        });      }

沒跑了，證實(shí)了我前面的猜想，這個(gè) __xdasIPCServerInstance 就是 download sdk 封裝到前端的 proxy。

繼續(xù)查，這個(gè) fireTaskEvent 是怎么處理的，閱讀代碼過程繁瑣按下不提，就看這兩段代碼(有刪減整理)

// 片段一(e.getDownloadSdkVersion = function () {let e = a.join(__rootDir, "../bin/SDK/DownloadSDKServer.exe");return v.getFileVersion(e);}),
// 片段二y = l.default(o.join(__rootDir, "../bin/ThunderHelper.node"));let F = "/ssdkver " + u.DownloadKernelManager.getDownloadSdkVersion();B.push(F)y.shellExecute(0, "open", o, B, H, "SW_SHOW");

很顯然，DownloadSDK 是通過一個(gè) ThunderHelper.node 的 nodejs addon 模塊來(lái)啟動(dòng)、通信的。

我們知道, nodejs 可以通過 ffi 等方式實(shí)現(xiàn)內(nèi)存共享，以達(dá)到兩個(gè)進(jìn)程不需要通過 pipe/sock 等管道就達(dá)到通信的目的。而通過工具觀察 Thunder.exe 的喚起關(guān)系、句柄關(guān)系，兩者的關(guān)系就更加一目了然了：ELectron 前端進(jìn)程加載 DownloadSDK 進(jìn)程，并且通過 \Sessions\5\BaseNamedObjects\xx@22123720|SendShareMemory 這種內(nèi)存通道來(lái)實(shí)現(xiàn)的通信，句柄一一對(duì)應(yīng)上了。

# 總結(jié)

扒拉了半天，扒完了有點(diǎn)空虛是怎么回事

• 迅雷的代碼架構(gòu)關(guān)系是輕 node 而重前端，把所有的 node 加載、進(jìn)程管理、多窗口通信都放在前端進(jìn)程的主窗口進(jìn)程里。關(guān)于這個(gè)做法，我尊重而不認(rèn)同。前端進(jìn)程不應(yīng)該做太重的底層交互，尤其是 js 這種單線程語(yǔ)言，天然的就運(yùn)行效率低，而且主窗口使用這么頻繁就不怕卡住嗎

• Electron 天然就有 ipc 通信能力，完全可以在 node 端做一個(gè)消息網(wǎng)關(guān)，達(dá)成每個(gè)窗口通信的能力，完全不需要自建一個(gè) ipc server-client 體系?？赡苓@也是一開始就把大量工作放在前端(主窗口)了導(dǎo)致后期的程序設(shè)計(jì)受限。說(shuō)不定是個(gè)歷史包袱

• 用一個(gè) node addon 的方式來(lái)跟 DownloadSDK 來(lái)通信，這點(diǎn)是可以點(diǎn)個(gè)贊的，雖然是業(yè)界標(biāo)準(zhǔn)（飛書是通過rust，基本原理類似），但是我目前所負(fù)責(zé)的業(yè)務(wù)并沒有做到這樣，所以在慚愧的同時(shí)也給它點(diǎn)個(gè)贊

• 迅雷使用的 Electron 版本是 9.2.1，vscode 也是這個(gè)版本，好神奇！非常好奇為何業(yè)界都用這個(gè)版本，事實(shí)上 electron 9.x 最新版本已經(jīng)更新到 9.3.3 了（2020年10月28日）這個(gè) 9.2.1 有什么魔力讓業(yè)界都用它嗎

• 這里說(shuō)明一下，Electron 從 6.0 開始就不支持 windows7(非sp1) 及以下的版本了。

• 我在 win7 系統(tǒng)上用迅雷安裝器安裝迅雷最新版本，發(fā)現(xiàn) electron 用的是 1.8.6 版本

• Electron 的主入口是處理過了的，通過 Thunder.exe 程序干了很多除了啟動(dòng)前端以外的事情，這個(gè)定制還是挺棒的，因?yàn)檫@樣就可以把各種進(jìn)程模塊管理起來(lái)，不會(huì)出現(xiàn)多個(gè)獨(dú)立進(jìn)程。就我所看到的不少 Electron 應(yīng)用其實(shí)都沒有定制過。

• 以上是純粹技術(shù)挖掘，沒有破壞到迅雷的核心機(jī)密，僅做學(xué)習(xí)交流使用哈~

看完這篇文章，你有什么收獲嗎？歡迎在留言區(qū)與大佬們一起討論~

戀習(xí)Python
關(guān)注戀習(xí)Python，Python都好練
推薦閱讀：
用 Python 寫一個(gè)安卓 APP
GitHub 上 25 個(gè) Python 學(xué)習(xí)資源，墻裂推薦！
微軟最強(qiáng) Python 自動(dòng)化工具開源了！不用寫一行代碼！
別這樣直接運(yùn)行Python命令，否則電腦等于“裸奔”
年輕人不講武德，竟用Python讓馬老師表演閃電五連鞭！
手把手教你使用Python庫(kù)打造一款簡(jiǎn)易黑客工具
新版《鹿鼎記》史上最低分?! 我們用數(shù)據(jù)分析來(lái)盤一盤韋小寶
有趣的二維碼：用 Python 制作二維碼

好文章，我在看??