抖音X-Ladon、X-Gorgon、X-Tyhon、X-Argus4个加密字段的逆向分析
发布于2021-08-28 23:10 阅读(2316) 评论(1) 点赞(25) 收藏(5)
要对一个软件进行分析,最重要是思路清晰,熟悉软件运行的基本的规则原理,找准关键代码。
很多人都想知道抖音点赞关注背后的代码是怎么实现的,但是目前为止还没看到有人把这一块说清楚。
由于逆向是一项长期、复杂的工程,碍于篇幅,在这里大概讲一下基本的抖音分析的思路流程。
运行APP,然后找点赞、关注按钮的执行代码,找到resources.arsc文件,然后结合实际经验,分析排查,你会发现点赞时用了onclick方法。
当你用fiddler过滤一下,很快,就能抓到点赞的封包,而且还会看到X-SS-REQ-TICKET、X-Khronos、X-Ladon、X-GORGON、X-Tyhon、X-Argus这些字段,X-SS-REQ-TICKET、X-Khronos这两个可以分析得出是毫秒和秒级别的时间戳,而X-Ladon、X-GORGON、X-Tyhon、X-Argus4个字段则从表面来看无从分析。而通过参数对比,会发现要实现真实的点赞行为,需要有上面4个关键的字段才行,要了解这4个字段都是怎么生成,就必须需要分析java和so层的代码。
采用打印堆栈的方法分析java和so层的代码,这时需要有足够的耐心去找到了关键函数的调用堆栈,没太好办法情况下可以一个一个hook,查看这些函数的参数、返回值和调用栈,然后找到包含了4个加密字段的函数。
在这里我们要先明白,这4个关键字段因为涉及到服务端的验证,那么客户端发送请求肯定需要带上,如果代码加载的时间晚了就来不及计算了,客户端发送的请求就没法带上这些关键字段了,从这个出发点去分析,那么就可以先确定可疑的so,再进一步对可疑的so进行静态、动态调试。在这个过程中会遇到了很多问题,每个人可能都不一样,需要一步步排查,修复。随着调试的深入,你会在内存中发现X-Argus、X-Ladon、X-Tyhon的字符串,为了进一步确认,可以从函数头开始逐行调试,但是这里会涉及到码表偏移问题,需要有一定的基础。再次不断追溯,直到确认加密字段的生成代码。然后我们绕过反调试规则,继续追溯加密字段的原文,直到获取加密字段原文,至此X-Ladon、X-GORGON、X-Tyhon、X-Argus的字段就可以被我们完全解开他们的面纱。
至于后面的重写,那就是水到渠成的事了。
原文链接:https://blog.csdn.net/beipomamu/article/details/119938083
所属网站分类: 技术文章 > 博客
作者:天使的翅膀
链接:http://www.javaheidong.com/blog/article/276598/fa0d86211c2d07cc5ddd/
来源:java黑洞网
任何形式的转载都请注明出处,如有侵权 一经发现 必将追究其法律责任
-
#1楼
2021-12-08 16:42:50
shalapu
回复
x-argus x-ladon算法有吗 加Q395296673
昵称:
评论内容:(最多支持255个字符)
---无人问津也好,技不如人也罢,你都要试着安静下来,去做自己该做的事,而不是让内心的烦躁、焦虑,坏掉你本来就不多的热情和定力