Codeooo 博客

分析13.5.10版本的__NStokensig参数逻辑，发现其计算方式未发生变化，仍使用SHA256算法。通过hook方法追踪sig的计算过程，发现涉及url路径和请求体的字典排序。验证发现某些参数为固定值。进一步分析发现sig生成采用MD5算法，并包含固定盐值。最后观察到安全组签名算法atlasSign在新版本中已发生变更，需要后续详细分析。整个过程涉及多个加密参数的计算和验证。

可通过一些定值hex进行内存搜索匹配："a2":"com.jingdong.app.mall" 或者 "a5" 的版本号等。时间戳 + 拼接a11，作为rc4的秘钥，将第一步压缩计算后的值，再进行一些查表异或算法后 得出最后拼接的20个字节动态值。该函数看伪C代码是一个 查表算法，后hook参数，可知为sha1算法。hook验证后，真机走0x215c0，0x22b00上面几个都不走。调用返回结果与真机不一致，排查不一致的地方，b5；设备初始化的一些值，只要是提供给b算法进行加密。

摘要：某东新接口如机票API采用sign加密参数，通过分析发现其32位sign值可能为MD5加密。关键函数getSignFromJni位于jdbitmapkit.so中，涉及base64编码和MD5逻辑。通过逆向分析发现，sign生成过程包含固定时间戳、base64处理、查表异或等操作，最终由明文参数与固定字符串"80306f..."进行运算得出。分析表明sign值不随入参变化，可通过还原算法用Python实现签名生成。整个流程包含多层函数调用，关键点在于追踪base64数据和MD5逻辑

输入明文：urlpath + sig， 进行hmac_sha256算法加密后再进行aes白盒加密，crc32加密后"41512700" + 随机数+"01000000" + crc32_value + 时间戳hex+ "000d00"进行自定义逻辑算法后，生成sig3。

对于快手的ios版本抓包很简单，直接vpn转发抓包方式即可，不可用代理抓包；这个和安卓的ks抓包也差不多，不过安卓还需要个hook掉一些东西才可以。ios的防护还是很低的，不像安卓中对于快手来说so中有大量花指令，手动去修改还很多，而且很类似，直接可以用脚本批量修复花指令及无法跳转的问题。https://creator-api.gifshow.com 这样的域名。快手除了正版下，还有极速版，概念版，创作版。然而看了下概念版还是风控比正版要低的多~

大家可能有疑问，为什么有时候抓的前缀，https://api5-normal-lq.amemv.com/aweme/ ，https://api6-normal-lq.amemv.com/aweme/作者这里用的frida，因为方便调试，在ios系统12-16版本都兼容，并且通杀新旧版本等。实际上这是抖音做的一个分流的方法，会在域名后面随机+数字，进行分流，减缓压力。b.在ios中，则需要手机越狱，来配个frida或者logos插件。原理就是前面ios讲到的，hook底层ssl库来实现，

搜索：x-tt-dt。

webdid注册出来，过了ks滑块激活，测试了主页，评论等接口都可以跑，平均也就2s注册一个，如果开并发那就更快了；web和app其实都一样，主要是针对于设备进行风控，web设备叫webdid;不过一切的前提在于有好的代理，我一般都是用的秒切的隧道代理。

清楚缓存，重新打开app, 点击同意按钮，会触发设备注册；很明显是一个post包，device_register可以看到请求体加密了 那么 请求体是什么呢？很老版本思路：都是直接明文注册较老版本思路：在反编译后请求体通过一个bool来判断，是否走，ttencrypt；这个地方可以hook明文也可以直接修改bool值，让抓包直接抓到明文；正常情况下，是将请求体压缩后，走ttencrypt，进行密文注册；我们接着往下走，看新版是否有变化；

前面已经公布了一些流程，除了sig3在so层，其他都是java层；目前看了下最新版，9-最新版本逻辑一致，9以下 sig3 42位。看了下参数：keyword关键词token是登陆账号的值，这里测试关键词搜索可以忽略；

搜索：x-tt-dt。

其他：pip install -U capstone。最新版的xg, 已经 从0404变更为8404了。

本章测试一个作品的评论及翻页：以及前面的抓x包方式，在专栏里也有很多，xposed抓包过sslping，通用版本等；int。

新的设备注册又可以使用了，注册出来的deviceid及iid，可以用于采集方面，比如评论数据，作品列表页等。

其他：pip install -U capstone。

本章测试

使用了quic协议，最近需要分析下X音抓包，网上找了下教程，在看雪上看到一遍17.3版本修改so过sslping的方式，照着去弄了下，结果发现方式已经失效了。我们看到了X音在java层也可以进行hook让他走http协议，不走quic协议，这个大概就是抖音灾备降级方案，可以降级处理。用 frida-spwan模式调试下，我试了几种方式可都没有成功，后编写了下xposed插件可以试用了，且很稳定抓包。失效也很正常，毕竟是一年以前的教程了，不过我妥妥的吃了一波瓜。

dy|ks|xy

由于之前文章被删，分开重新发帖。

适用于所有版本，及极速版。

由于dy的libmetasec_ml.so满足了内层函数，且无上下文关联，又没签名效验；所以目前造成了一些计算出来的值被标记了，跟真机不一样而且xa的长度也是对不上；例如 rdata为全局并非一直写死的状态；没设备id 没ktoken 没launsk 而且emu 也会被检测；此案例最为经典，可单独直接运行so，无签名方案可不放置apk调用；真机的情况，真机启动的时候会初始化每次；

由于x 的libmetasec_ml.so满足了内层函数，且无上下文关联，又没签名效验；所以目前造成了一些计算出来的值被标记了，跟真机不一样而且xa的长度也是对不上；例如 rdata为全局并非一直写死的状态；没设备id 没ktoken 没launsk 而且emu 也会被检测；此案例最为经典，可单独直接运行so，无签名方案可不放置apk调用；真机的情况，真机启动的时候会初始化每次；下面是dy15大版本的xg~

【代码】 XGorgo加密0408。

==========逆向必备：函JNItrace是一个基于Frida框架的Hook jni方法的库。https://github.com/chame1eon/jnitrace加密函数定位：https://github.com/lasting-yang/frida_hook_libart.gitdump 脚本修复加密sohttps://github.com/lasting-yang/frida_dumpfrida hook模板：so :https://blog.csdn.net/weixin_3892

SRB的tiny风控，成功运行x-mini-sig|x-mini-mua。

【代码】抖音设备注册。

【代码】抖音X_Gorgon 0404。

市面上已经很多分析步骤了。咱们这里直接上干货源码。

由于之前文章被删，分开重新发帖。

都使用了quic协议，最近需要分析下抖X抓包，网上找了下教程，在看雪上看到一遍17.3版本修改so过sslping的方式，照着去弄了下，结果发现方式已经失效了。=====================搜索接口==========================================New===更新快手|抖音及极速版通杀抓包=======New================验证下风控严格一些的==========登陆发验证码接口。===========评论=========

发送任务：# -*- coding: utf-8 -*-# @Author : Codeooo# @Time : 2021/10/27import jsonimport uuidimport randomfrom db.RedisDB import RedisDBalphabet = ''.join(str(uuid.uuid4()).split('-'))def deviceRandom(): # android iD: androidid = "a

==========逆向必备：加密函数定位：https://github.com/lasting-yang/frida_hook_libart.gitdump 脚本修复加密sohttps://github.com/lasting-yang/frida_dumpfrida hook模板：so :https://blog.csdn.net/weixin_38927522/article/details/122124012java:https://blog.csdn.net/weixin_3892

手机号验证码登陆：1. 发送验证码接口 (requestMobileCode)： https://id.kuaishou.com/pass/kuaishou/sms/requestMobileCode参数：直接curl生成python代码去测试一下：# -*- coding: utf-8 -*-# @Author : Codeooo# @Time : 2021/10/11import requestsheaders = { 'Connection': '

快手扫码登陆1.二维码生成接口：https://id.kuaishou.com/rest/c/infra/ks/qr/start响应值imageData为base64编码的二维码图片2.检测过期状态https://id.kuaishou.com/rest/c/infra/ks/qr/scanResult3.效验Loginhttps://id.kuaishou.com/rest/c/infra/ks/qr/acceptResult4.回调登陆接口：https://id.kuaisho

快手passToken,ph,st参数刷新1. Login分析 :可以查看下面文章：https://blog.csdn.net/weixin_38927522/article/details/121333045https://blog.csdn.net/weixin_38927522/article/details/121362949登录后 -->返回 set-cookie(did，passToken, userid)–>response响应(kuaishou.server.web_