ks短视频sig3算法分析

已于 2024-12-09 16:20:23 修改
阅读量1.2k 收藏 21
点赞数 23
分类专栏: 技术实战 文章标签: 音视频 算法
于 2024-12-09 16:17:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2403_87731058/article/details/144348188
版权

sig3是某个很火的短视频的核心加密参数,48位,主要介绍深度ollvm混淆的so层算法如何还原,除此之外,此app还有大量的花指令需要处理,这块看龙哥的就好了,非常清晰.

1

https://www.yuque.com/lilac-2hqvv/zfho3g/issny5?#%20%E3%80%8A%E8%8A%B1%E6%8C%87%E4%BB%A4%E5%A4%84%E7%90%86%EF%BC%88%E4%B8%80%EF%BC%89%E3%80%8B

前提准备:

一份去花过后的so,so和apk放123云盘了,在文章末尾.
熟悉crc32,WhiteBoxaes,sha256以及hmac算法,了解越多你能还原的可能性就越大,了解的程度不限于算法细节,特征值,以及算法的魔改方向.本章除了白盒AES不过多介绍,因为写过很多篇了,需要的翻我之前的文章,crc32和sha256以及hmac都会详细介绍.如果你只知道一个md5也没关系,看完你也能收货很多逆向技巧.

因为写文章的时候没办法完全还原我最初的思路,所以我尽可能按照第一次分析这个so的思路来写,所以如果某个地方你觉得很神奇作者tm是怎么想到的,不要奇怪,因为他踩了很多坑,但是坑有很多,没办法完全展现出来,我只能确保你跟着我的思路算法一定可以搞出来,毕竟花几天分析一个so和你一个小时看完这篇文章是截然不同的.
我创建了一个逆向技术交流群,有需要的加我w lyaoyao__i(两个_)

unidbg辅助算法分析

此so有初始化校验,需要先初始化目标函数,否则不会返回正确结果.初始化这块也不是文章的重点,所以这块不详细介绍,一切与算法还原关系不大的我都会淡化,重点介绍上面的几个算法以及unidbg辅助分析算法的技巧.

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

56

57

58

59

60

61

62

63

64

65

66

67

68

69

70

71

72

73

74

75

76

77

78

79

80

81

82

83

84

85

86

87

88

89

90

91

92

93

94

95

96

97

98

99

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

package com.ks;

import com.github.unidbg.AndroidEmulator;

import com.github.unidbg.Emulator;

import com.github.unidbg.Module;

import com.github.unidbg.file.FileResult;

import com.github.unidbg.file.IOResolver;

import com.github.unidbg.linux.android.AndroidEmulatorBuilder;

import com.github.unidbg.linux.android.AndroidResolver;

import com.github.unidbg.linux.android.dvm.*;

import com.github.unidbg.linux.android.dvm.api.AssetManager;

import com.github.unidbg.linux.android.dvm.array.ArrayObject;

import com.github.unidbg.linux.android.dvm.wrapper.DvmBoolean;

import com.github.unidbg.linux.android.dvm.wrapper.DvmInteger;

import com.github.unidbg.memory.Memory;

import com.github.unidbg.virtualmodule.android.AndroidModule;

import com.github.unidbg.virtualmodule.android.JniGraphics;

import java.io.File;

import java.io.FileNotFoundException;

import java.util.ArrayList;

import java.util.List;

public class ks2 extends AbstractJni implements IOResolver{

    @Override

    public FileResult resolve(Emulator emulator, String pathname, int oflags) {

        System.out.println("file open:"+pathname);

        return null;

    }

    private final AndroidEmulator emulator;

    private final VM vm;

    private final Module module;

    ks2(){

        emulator = AndroidEmulatorBuilder.for64Bit().build();

        // 获取模拟器的内存操作接口

        final Memory memory = emulator.getMemory();

        // 设置系统类库解析

        memory.setLibraryResolver(new AndroidResolver(23));

        // 创建Android虚拟机,传入APK,Unidbg可以替我们做部分签名校验的工作

        vm = emulator.createDalvikVM(new File("unidbg-android/apks/ks/ks11.420.30984.apk"));

        // 设置JNI

        vm.setJni(this);

        // 打印日志

        vm.setVerbose(true);

        new JniGraphics(emulator, vm).register(memory);

        new AndroidModule(emulator, vm).register(memory);

        emulator.getSyscallHandler().addIOResolver(this);   //重定向io

        // 加载目标SO

        DalvikModule dm = vm.loadLibrary("kwsgmain"true);

//        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/apks/ks/libkwsgmain.so"), true);

        //获取本SO模块的句柄,后续需要用它

        module = dm.getModule();

        // 调用JNI OnLoad

        dm.callJNI_OnLoad(emulator);

    };

    public void callByAddress(){

        List<Object> list = new ArrayList<>(4);

        list.add(vm.getJNIEnv()); // 第⼀个参数是env

        DvmObject<?> thiz = vm.resolveClass("com/kuaishou/android/security/internal/dispatch/JNICLibrary").newObject(null);

        list.add(vm.addLocalObject(thiz)); // 第⼆个参数,实例⽅法是jobject,静态⽅法是jclass,直接填0,⼀般⽤不到。

        DvmObject<?> context = vm.resolveClass("com/yxcorp/gifshow/App").newObject(null); // context

        vm.addLocalObject(context);

        list.add(10412); //参数1

        StringObject appkey = new StringObject(vm, "d7b7d042-d4f2-4012-be60-d97ff2429c17"); // SO⽂件有校验

        vm.addLocalObject(appkey);

        DvmInteger intergetobj = DvmInteger.valueOf(vm, 0);

        vm.addLocalObject(intergetobj);

        list.add(vm.addLocalObject(new ArrayObject(intergetobj, appkey, intergetobj, intergetobj, context, intergetobj, intergetobj)));

        // 直接通过地址调⽤

        Number numbers = module.callFunction(emulator, 0x41680, list.toArray());

        System.out.println("numbers:" + numbers);

        DvmObject<?> object = vm.getObject(numbers.intValue());

        String result = (String) object.getValue();

        System.out.println("result:" + result);

    };

    @Override

    public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {

        switch (signature) {

            case "com/yxcorp/gifshow/App->getPackageCodePath()Ljava/lang/String;": {

                return new StringObject(vm, "/data/app/com.smile.gifmaker-q14Fo0PSb77vTIOM1-iEqQ==/base.apk");

            }

            case "com/yxcorp/gifshow/App->getAssets()Landroid/content/res/AssetManager;": {

                return new AssetManager(vm, signature);

            }

            case "com/yxcorp/gifshow/App->getPackageName()Ljava/lang/String;": {

                return new StringObject(vm, "com.smile.gifmaker&
最低0.47元/天 解锁文章
快手NS sig3签名算法(2025年1月)
sh_moranliunian的博客
01-02 1489
快手NS sig3签名算法(2025年1月)
c++调用url_短视频某手sig3算法调用
weixin_36199116的博客
12-26 1000
本文为看雪论坛优秀文章看雪论坛作者ID:沧桑的小白鼠本人菜鸟,初入逆向,前段时间把sig算法通过ida阅读伪代码和arm汇编进行了还原,花了4天时间,殊不知已有大神已经发有分析帖子了(link:https://bbs.pediy.com/thread-254328.htm)一、前言目标APP的sig3算法前面已经做足了功夫,这里只陈述一下我是如何找到sig3算法的,并没有把算法还原,因...
短视频平台最新sig3字段算法分析(一)
yanjunccc的博客
01-16 1307
最近看到手里的某短视频APP来了兴致,特意拿来分析记录下,整个系列文章大概分为抓包,java层分析,so定位,so去花,unidbg,算法还原等几个部分,这几篇文章会记录下我的整个调试过程,前面的文章会比较基础,入门级玩家基本可以略过了,因为考虑到文章的连续性我这边还是会记录发表下。
某手sig3sig、NStoken算法
weixin_45564955的博客
06-08 435
某手最新获取sig3算法
快手__NS_sig3数据分析
最新发布
xcy450922873的专栏
03-13 450
webpack方法扣下来后,即可获取正常的sign值。t值即为需要的值,但t值在Promise对象中。此处打上断点,分析__NS_sig3值产出点。继续查看发现一个n方法未定义,往上找。分析整个方法,发现代码可修改为。一个很明显的webpack方法。
快手sig3sig、NStoken算法,附带测试用例
06-08
快手sig3sig、NStoken 的三个python算法源码,快手快手概念版、快手极速版都可以使用
快手sig3算法调用
2503_90751938的博客
02-26 1076
我们是否还记得,他需要算法的参数都放在了iVar,这里他使用 iVar.i() 将要签名的信息拿出来,紧接着调用 this.a.getRouter().a 获得结果,发现a这里传了很多东西,估计是最终算法,我们先继续跟一下a方法。通过框选区域发现,a3是来自a2.a方法,且str2通过上方代码得知是sig签名结果,b2是一个url,但是执行了b()可能进行了一些处理,这里暂时先不管b2数据是什么,先最终到最终a调用的地方。通过查看a的方法声明,发现是一个interface,这里直接右键查看调用例。
短视频sig3算法详解
04-13 4584
这篇如果写的详细一点的话至少可以写5篇,unidbg,trace技巧,crc32,白盒aes,hmacSha256,我写成一篇确实有点一口吃成大胖子的感觉.可能不太适合刚入行的朋友吗,不过这个作为国内数一数二的短视频加密难度还是很可以的,有基础的可以细细品味一下.链接:https://www.123pan.com/s/4O7Zjv-gM2Bd.html微信公众号知识星球。
ks短视频某手sig3算法调用
2403_87731058的博客
11-27 1299
我们是否还记得,他需要算法的参数都放在了iVar,这里他使用 iVar.i() 将要签名的信息拿出来,紧接着调用 this.a.getRouter().a 获得结果,发现a这里传了很多东西,估计是最终算法,我们先继续跟一下a方法。通过框选区域发现,a3是来自a2.a方法,且str2通过上方代码得知是sig签名结果,b2是一个url,但是执行了b()可能进行了一些处理,这里暂时先不管b2数据是什么,先最终到最终a调用的地方。通过查看a的方法声明,发现是一个interface,这里直接右键查看调用例。
某手app端sig3、__NS_sig3、__NS_sig3算法测试
小羊驼的博客
01-17 1954
解密服务已打包成jar文件,目文章主要讲解如何调用接口获取sig值。将解密服务上传到服务器并运行,或者使用本地环境运行项目。部署后运行项目,如果出现以下提示就说明部署成功,可以直接调用(记得开放端口),访问地址为服务器的地址加端口。在语言模型中,编码器和解码器都是由一个个的 Transformer 组件拼接在一起形成的。方法取得的sig参数对上方部署的服务进行请求,即可得到。以上就是本次测试的全部流程,如有需要代码的可以联系我哦。
**手910版本sig3 48位算法逆向分析
皮皮虾,我们走
02-14 2326
发点库存 文章目录1、unidbg调用sig3算法2、libksgmain.so去花3、unidbg 调用去花后的libsgmain.so3、1 替换外部so报错?尝试查找原因3、2 换个思路加载外部so4、trace还原算法4、1trace配置4、2 从trace文件中寻找输入4、3 抽丝剥茧寻找下一步4、4 通过结果进行回溯5、验证算法正确性5、1hook+postern进行抓包5、2对请求重发进行抓包 1、unidbg调用sig3算法 龙哥之前发布了使用unidbg调用sig3的demo,下载这个de
48位 __NS_sig3 算法分析还原
weixin_37517716的博客
12-25 1372
在for循环中 v496 和 v156进行异或处理,才是最终的sig3,而v156是在do while循环中计算出来的,可以看出v156的结果是v496前23个字节的和。用unidbg跑一下,可以快速定位到doCommandNative函数地址在0x46435,doCommandNative函数根据java层传入的指令号,执行相应的逻辑,hook 可以发现sig3对应的指令序号在10418。通过多次hook分析发现,v496的数据组成如上图,其中最复杂的是数据e0c281e3数据的生成。
快手sig3小程序 APP 极速版算法
2402_84975145的博客
05-22 1589
快手_NS_hxfalcon 快手app sig3
快手NStokensigsig算法易语言源码
08-08
__NStokensigkso.GetNStokensig (kso.GetSign (“commentId=123806186657&photoId=5217983133422862907&client_key=3c2cd3f3&token=6b165d04e92f475d9c4a55803582d463-275079014&os=android&sig=000e291e5338af281a6f4d3a87f9f49b”, “isp=CMCC&mod=xiaomi%28xiaomi%206%29&lon=116.41025&country_code=cn&kpf=ANDROID_PHONE&did=ANDROID_5449f8c64846fee0&kpn=KUAISHOU&net=WIFI&app=0&oc=MYAPP%2C1&ud=275079014&hotfix_ver=&c=MYAPP%2C1&sys=ANDROID_5.1.1&appver=6.1.0.8039&ftt=&language=zh-cn&iuid=&lat=39.916411&did_gt=1566466652526&ver=6.1&max_memory=192”), token_client_salt)
快手协yi算法sig和NStokensig-易语言
06-13
这次发的是快手协yisig 和NStokensig算法,did和sig3过几天在发
ks ios快手极速版、概念版、创作版sig sig3
Codeoooo 博客
11-02 1300
对于快手的ios版本抓包很简单,直接vpn转发抓包方式即可,不可用代理抓包;这个和安卓的ks抓包也差不多,不过安卓还需要个hook掉一些东西才可以。ios的防护还是很低的,不像安卓中对于快手来说so中有大量花指令,手动去修改还很多,而且很类似,直接可以用脚本批量修复花指令及无法跳转的问题。https://creator-api.gifshow.com 这样的域名。快手除了正版下,还有极速版,概念版,创作版。然而看了下概念版还是风控比正版要低的多~
快手最新版本sig3参数逆向分析
weixin_36170903的博客
08-01 3181
快手最新版sig3
ks协议请求APP sig __NS_sig3 __NStokensig
Codeooo 博客
07-21 7822
前面已经公布了一些流程,除了sig3在so层,其他都是java层;目前看了下最新版,9-最新版本逻辑一致,9以下 sig3 42位。看了下参数:keyword关键词token是登陆账号的值,这里测试关键词搜索可以忽略;
【自用】KS极速版sig3接口搭建
@MIKE小助手
08-04 3977
【自用】KS极速版sig3接口搭建
快手sig3算法源码
07-27
抱歉,根据提供的引用内容,没有找到关于快手sig3算法的源码。引用\[1\]中提供了一段代码,但是没有明确指出与快手sig3算法相关的部分。如果您需要了解关于快手sig3算法的源码,建议您参考快手官方文档或者开发者社区中的相关资源。 #### 引用[.reference_title] - *1* [某手app的__NS_sig3,sig,__NStokensig算法](https://blog.csdn.net/qq_40849557/article/details/123006967)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [快手42|48位sig3解密-unidbg](https://blog.csdn.net/qq_41369057/article/details/131271073)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值