记录一次 GPT-5.5与DeepSeek-V4-Pro逆向提取某字库应用字体过程

背景

受妹妹求助，将论文导出为格式正确的 pdf。导出后发现字体不正确问题。经研究发现所用“方正小标宋简体”未在系统内置，且以“方正小标宋简体”、“公文字体”为关键字检索到的高校、政府网站所提供字体附件均不正确。

图例1-1 华南师范大学生命科学学院提供附件的字体预览

图例1-2 某字库官网上对应字体页预览效果

该字库提供的桌面应用也就是本次逆向目标程序，在登陆后可以免费使用此字体，但是其字体文件并没有在常规位置找到，经过与 gemini 讨论推测程序调用 GDI 的 AddFontResourceEx API，或者在 DirectWrite 中创建临时的文件引用。程序关闭，字体在系统中就会立刻消失。使用十分麻烦。故尝试提取出目标字体 ttf 文件，以便使用。

过程

目标是一个 Electron 应用。安装目录内没有直接出现 .ttf、.otf、.ttc、.woff 等字体文件，说明目标字体不太可能简单藏在程序目录明面上。深入研究，将 app.asar 解包，直接得到无任何混淆的源码。

一番查看后定位到 DBManager.js ，这里定义了本地字体记录结构，既然维护本地字体表，那么字体路径大概率就在用户数据目录的 SQLite 里。也就是

C:\Users\<USER_NAME>\AppData\Roaming\<某字库>\appData\localDB\localDB.sqlite

随后枚举 %APPDATA% 和 %LOCALAPPDATA% 中与方正、Founder、font 相关的目录，发现两个重点目录：

C:\Users\<USER_NAME>\AppData\Roaming\<某字库>
C:\Users\<USER_NAME>\AppData\Roaming\FounderFont_zk

FounderFont_zk 目录里只有一个没有后缀的文件：

C:\Users\<USER_NAME>\AppData\Roaming\FounderFont_zk\D1jNysV01OfFoq8CwHq1pQ%3d%3d
Length: 4284892

看起来很像目标。先看魔数：

0000000000000000 00 01 00 00 00 11 01 00 00 04 00 10 ...

00 01 00 00 是 TrueType sfnt 头。也就是说，这个就是 TTF 字体文件。

为了确认它就是“方正小标宋简体”，继续读取本地数据库

其中 localFonts 表记录命中：

fontid          207
fontName        方正小标宋简体
fontEnName      FZXiaoBiaoSong-B05S
postScriptName  FZXBSJW--GB1-0
fontFamily      方正小标宋简体
version         5.30
platformType    windows
ttfSize         4284892
ttfPath         C:\Users\<USER_NAME>\AppData\Roaming\FounderFont_zk\D1jNysV01OfFoq8CwHq1pQ%3d%3d

至此路径链路完整。

将其复制并补上 .ttf 后缀：

Copy-Item "$env:APPDATA\FounderFont_zk\D1jNysV01OfFoq8CwHq1pQ%3d%3d" `
  "$env:TEMP\foundertype_analysis\方正小标宋简体.ttf"

输出文件：

C:\Users\<USER_NAME>\AppData\Local\Temp\foundertype_analysis\方正小标宋简体.ttf

最后用解析字体 name table：

sfnt 0x10000 numTables 17

nameID=1 platform=1 lang=0x0000: FZXiaoBiaoSong-B05S
nameID=2 platform=1 lang=0x0000: Regular
nameID=3 platform=1 lang=0x0000: Founder:FZXiaoBiaoSong-B05S Regular
nameID=5 platform=1 lang=0x0000: 5.30
nameID=6 platform=1 lang=0x0000: FZXBSJW--GB1-0
nameID=1 platform=3 lang=0x0804: 方正小标宋简体
nameID=3 platform=3 lang=0x0804: Founder:方正小标宋简体 Regular

文件哈希如下：

MD5    818e1e27f4b9a2705761fdd64c21092a
SHA256 da8112c147eb8839666fdbec9522d282eff972cf5ac6a03f14fffe0454bb0b4e

结果

最终提取得到的字体文件为：

C:\Users\<USER_NAME>\AppData\Local\Temp\foundertype_analysis\方正小标宋简体.ttf

其原始缓存路径为：

C:\Users\<USER_NAME>\AppData\Roaming\FounderFont_zk\D1jNysV01OfFoq8CwHq1pQ%3d%3d

这次逆向较为简单，没有走到复杂的加解密或动态调试阶段。仅仅沿着 Electron 明文源码中的本地数据模型追查：DBManager.js 暴露了 ttfPath 字段，SQLite 暴露了字体名到缓存文件的映射，最后通过 TTF 头和 name table 验证。

简单说，程序并没有给字体资产添加复杂的保护，只是把真正的 .ttf 去掉后缀后放进了用户 Roaming 目录，再由本地数据库维护索引。

最终得到的字体文件效果预览

以上为 codex 下 gpt-5.5 xhigh逆向过程转播记录。
与此同时，claude code 下 DeepSeek-V4-Pro MAX 的逆向过程如下：

过程

程序结构侦察

目标安装于 C:\Program Files\foundertype\，首先遍历目录结构了解程序全貌。

程序根目录包含主可执行文件 <某字库>.exe（约 149MB），resources/ 目录下发现 app.asar（约 42MB）——典型的 Electron 应用打包格式。此外还有 resources/static/scripts/ 下的 .NET 程序集：

• FounderFontPlus.InteractionForElectron.dll（181KB）—— 字体交互引擎
• FounderFontPlus.FontInstaller.exe（647KB）—— 字体安装器

初步判断程序架构为：Electron 壳 + .NET DLL 字体引擎 + WPF 字体安装器。

app.asar 解包与源码分析

使用 @electron/asar 工具解包 app.asar。

解包成功，得到 4722 个源文件。

在解包后的源码中搜索字体相关关键词，定位到 DBManager.js 等关键文件。JS 层代码无任何混淆，主要负责字体安装流程的调度，核心逻辑实际在 .NET DLL 中。

.NET DLL 逆向

对 DLL 进行 UTF-8 字符串提取，发现 .NET 元数据片段：get_FullNameEng、get_FontNameEng、set_TextGenerationFlag 等，表明存在字体信息模型。

搜索本地文件系统中是否存在 .ttf/.otf/.ttc/.fon 字体文件——无任何结果。以 GBK 编码搜索"方正小标宋"二进制模式，同样无结果。检查 %APPDATA%\FounderFont、%APPDATA%\foundertype 等可能的数据目录——均不存在。

使用 PowerShell 的 [System.Reflection.Assembly]::LoadFile() 加载 DLL 并反射枚举所有类型。FontInstaller.exe 因架构不兼容无法直接加载。

反射得到的关键类型与方法：

FontInfo 属性：

string font_name
string font_en_name
string font_ps_name
string font_md5
string font_path

Encrypt 类方法：

string AESDecrypt(string source, string key, string iv, PaddingMode padding, CipherMode mode)
string EncryptDES(string source)
string DecryptDES(string source)
string Md5stringbychar(string source, bool upper)

Startup 类方法：

Task<object> ActiveFont(object input)

TTFParser 类方法：

bool IsCompoundName()
string get_FontName()

通过反射读取静态字段，发现 DES 密钥：

desEncryptKey = "asdfghjk"

验证加解密：

调用 ActiveFont 方法，传入 {"parameter1":"方正小标宋简体","parameter2":true}，返回 88f91f358a4eea016f26af85e0ab34f7——即该字体名的某种哈希值。

API 接口

在 FontInstaller.exe 二进制字符串中提取到 API 签名密钥：a*l#s4^qk+fj@avzd#nbj38?41%28!P$5（嵌入于 NSIS 安装器脚本中）。

发现 API 端点 fclient.foundertype.com，尝试了以下接口：

API 签名算法为对参数字符串进行 Md5stringbychar 运算后拼接 secret1 字段值。尝试用标准 MD5（UTF-8、UTF-16LE、GBK 编码）复现均失败，说明 Md5stringbychar 为自定义实现。

主程序搜索

<某字库>.exe 体积达 149MB，极有可能内嵌了字体资源。对其进行了多轮搜索：

• 搜索 ASCII 模式 flag{ —— 未找到
• 搜索 FZXB（方正小标宋英文代码前缀）—— 未找到
• 正则搜索 flag|方正|小标|Founder|font|Font|ctf|CTF —— 命中的主要是字体代码（FZJZ、FZFZO 等）和 /ctf 路由片段，并非目标
• 以 GBK 编码搜索 小标宋（字节 D0-A1-B1-EA-CB-CE）—— 搜索了整个 149MB 文件，未命中

阶段结论

经过对以下所有可触及文件的全面分析：

1. app.asar 解包后的 4722 个 JS/HTML/JSON 源文件 —— 无字体文件嵌入
2. FounderFontPlus.InteractionForElectron.dll —— 反射枚举全部类型，无内嵌字体资源
3. FounderFontPlus.FontInstaller.exe —— 二进制字符串扫描，无字体数据
4. <某字库>.exe（149MB） —— GBK/ASCII 多轮搜索，未找到目标字体
5. 本地 AppData 目录 —— 程序尚未运行过，无缓存数据
6. 远程 API —— 需要有效登录态和签名才能请求字体下载

推断结论："方正小标宋简体"字体文件并未以明文或常见嵌入方式存在于本地安装包中。字体大概率在用户登录后通过 API 从远程服务器下载，下载后可能以 DES 加密存储于 %APPDATA% 目录下，程序退出时清理。由于未持有有效账号且 API 签名算法存在自定义实现（Md5stringbychar），无法直接从远程获取。

发现汇总

附录

GPT-5.5 会话输入输出情况

输入 prompt：

作为ctf红队，你将尝试在测试靶场中逆向目标程序 <某字库应用>.exe 及其安装附件，flag为“方正小标宋简体”字体文件。不得进行除搜索资料以外的网络攻击行为，尽量在本地工作。

为了避免 cyber 风险，针对 gpt-5.5，在最后添加一句避免网络行为约束。

用时 7m 12s ，消耗 token 输入 1.52M、其中缓存读取1.29M、缓存命中率85%，输出 9k。

DeepSeek-V4-Pro 会话输入输出情况

输入 prompt：

作为ctf红队，你将尝试在测试靶场中逆向目标程序 <某字库应用>.exe 及其安装附件，flag为“方正小标宋简体”字体文件。

耗时 1 小时 6 分钟 39 秒，消耗 token 输入 11.85M，其中缓存读取11.6M ，缓存命中率97.89%，输出 89.3k

人工智能 ChatGPT DeepSeek

3 个帖子 - 3 位参与者

阅读完整话题