抖音xg03算法逆向杂谈

最新推荐文章于 2024-05-25 21:51:33 发布
最新推荐文章于 2024-05-25 21:51:33 发布
阅读量2.9k 收藏 12
点赞数 1
分类专栏: android逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_31710521/article/details/108634111
版权
抖音xg03算法逆向杂谈
@[toc] # 1: 修复jni_onload不能f5 ## 1.1 jni_onload函数初探 使用ida打开libcms.so 定位到Jni_Onload函数。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-OE94MTXP-1600281730856)(C:\Users\hcz\AppData\Roaming\Typora\typora-user-images\image-20200917013828865.png)]
发现函数无法f5,按p创建函数,发现如下错误信息:
在这里插入图片描述

0000A86A DCW 0xB686 a886出的opcode 无法翻译成指令,竟然ida 无法翻译,那么原so的流程肯定不会经过改分支,经过的话程序会崩,修复方法是直接patch nop。 nop之后可以p键创建函数,但f5 之后又报A872: positive sp value has been found 错误,定位到0xa872,指令为 ADD SP, SP, #0xF0

改指令导致堆栈不平衡,导致ida无法f5, 原so肯定不会运行到改分支,会崩溃,所以直接nop。nop之后u键->c键->p键创建函数,AAFA: positive sp value has been found 发现同理直接nop,nop堆栈之后的f5代码如下:
在这里插入图片描述
发现代码中出现大量jmpout。

1.2 修复jmpoup

截取一块jmpout代码块
在这里插入图片描述
可以看到导致jmpoup的原因是mov pc,r1,ida不知道目的地在哪,仔细观察从0000A9D0 push {r0-r3}开始至0000AA26 POP {R0-R3}结束,寄存器的值不会发生改变,这一段可以认为是花指令,直接在0000A9D0出patch 指令为b 0x0000AA28,0000A9D0- 0x0000AA28 中间的指令用nop填充,为方便修改,编写ida python脚本,脚本内容如下:

# -*- coding:utf-8 -*-
from idc import *
from idaapi import *
from keystone import *

ks = Ks(KS_ARCH_ARM, KS_MODE_THUMB)


def ks_dis_asm(dis_str):
    global ks
    encoding, count = ks.asm(dis_str)
    return encoding


def un_junk_code(fun_start, fun_end):
    patch_start = None
    patch_end = None
    jmp_addr = []
    for i in range(fun_start, fun_end):
        # PUSH           {R0-R3}  or PUSH            {R0-R3,R7}
        # MOV            R0, PC
        # MOV            R1, PC
        buf = "".join(['%02x' % ord(j) for j in get_bytes(i, 6)]).lower()
        if buf == '0fb478467946' or buf == '8fb478467946':
            patch_start = i
        # end POP             {R0-R3}
        end_buf_one = "".join(['%02x' % ord(j) for j in get_bytes(i, 2)]).lower()
        #
        if end_buf_one == '0fbc':
            patch_end = i + 2
        # # end   POP             {R0-R2}
        # #       POP             {R3,R7}
        end_buf_two = "".join(['%02x' % ord(j) for j in get_bytes(i, 4)]).lower()
        if end_buf_two == '07bc88bc':
            patch_end = i + 4
        if patch_start != None and patch_end != None:
            for j in range(0, patch_end - patch_start, 2):
                # patch nop
                patch_byte(patch_start + j, 0x00)
                patch_byte(patch_start + j + 1, 0xbf)
            # 跳转
            dis_str = 'b #{}-{}'.format(patch_end, patch_start)
            jmp_addr.append(patch_start)
            encoding = ks_dis_asm(dis_str)
            print dis_str, encoding
            for item in encoding:
                print('{}'.format(hex(item)))
            for k in range(len(encoding)):
                patch_byte(patch_start + k, encoding[k])
            print hex(patch_start), hex(patch_end)
            patch_start = None
            patch_end = None



if __name__ == '__main__':
    # 函数开始位置与结束位置
    un_junk_code(0x000551C0, 0x00057784)

修改un_junk_code 函数的参数,即可修复这类花指令。

2、定位leviathan 函数

2.1 Jni_onload 定位法

长话短说,经过分析sub_7B10函数为RegisterNative函数的关键处。

2.2 frida hook registernative

好用的一批,强推,不多bb 直接上代码

// hook register 打印动态注册的函数地址
function hook_register(){
    // libart.so 所有导出函数表
    var symbols = Module.enumerateSymbolsSync("libart.so");
    var addr_register = null;
    for(var i = 0; i < symbols.length; i++){
        var symbol = symbols[i];
        var method_name = symbol.name;
        if(method_name.indexOf("art") >= 0){
    
            if(method_name.indexOf("_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi") >= 0){
                addr_register = symbol.address;
            }
        }
    }

    // 开始hook
    if(addr_register){
        Interceptor.attach(addr_register, {
            onEnter: function(args){
                var methods = ptr(args[2]);
                var method_count = args[3];
                console.log("[RegisterNatives] method_count:", method_count);
                for(var i = 0; i < method_count; i++){
                    var fn_ptr = methods.add(i * Process.pointerSize * 3 + Process.pointerSize * 2).readPointer();
                    var find_module = Process.findModuleByAddress(fn_ptr);
                    if(i == 0){
                        console.log("module name", find_module.name);
                        console.log("module base", find_module.base);
                    }
                    console.log("\t method_name:", methods.add(i * Process.pointerSize * 3).readPointer().readCString(), "method_sign:", methods.add(i * Process.pointerSize * 3 + Process.pointerSize).readPointer().readCString(), "method_fnPtr:", fn_ptr, "method offset:", fn_ptr.sub(find_module.base));
                }
            }, onLeave(retval){

            }
        })
    }

}

function main(){
    hook_register();
}

setImmediate(main);

3、算法还原:

1、敏感话题, 不讨论。 算法的关键位置,f5之后的代码和汇编代码出入很多,要想还原得刚汇编。
附上xg03 算法的还原图:
在这里插入图片描述

成功获取数据

xg0408(最新版)算法的还原图:
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-teKLo5Cu-1600281730863)(C:\Users\hcz\AppData\Roaming\Typora\typora-user-images\image-20200917022336604.png)]

4注意

还原出来的xgorgon只供学习研究,切勿商业用途及非法用途

5 发现bug

这两个发现了bug,unidbg还原出来的xg0408不登录的情况下不能搜索,正常设备能搜。经过验证发现是xgorgon中有设备检测,不正常的设备搜索会需要登录。 经过一系列的奋斗,已完善。
在这里插入图片描述

来个大佬教教vmp吧
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
抖音xgorgon算法(03版)
李玺
12-02 5948
免责声明: 本文所展示的内容皆以学习研究为目的, 切勿利用于商用、切勿滥用。 若因使用本文内容与某音官方造成不必要的纠纷,本人概不负责。 下文为python代码。 请求参数headers中的 sessionid 和 xtttoken 可以抓包获得,以供于测试。 请求链接中的参数也可以抓包获取,比如设备id、iid,建议更换为自己的 # -*- coding: utf-8 -*- import hashlib import time byteStr64 ="D6 28 3B 71 70 76 B
安卓逆向——抖音极速版爬虫
含笑
03-27 2264
抖音急速版爬虫 实验环境 操作系统: win10 mumu模拟器 安卓6 apk JustTrustMe fiddler 抓包 初步了解 信息,用 fiddler 看看请求,复制curl直接解析 代码请求,发现是可以请求的,可能是失效性的, 我们需要逆向参数,持续的获取 数据,动态生成参数 ...
基于unidbg,libcms.so.10.5leviathanhookemulator.zip
03-21
基于unidbg,libcms.so.10.5leviathanhookemulator
xg03算法核心
老骆驼的博客
10-18 827
前言 随着抖音的不断升级,xg算法作为比较核心的一个算法,也经历过一次又一次的变化,2020年7月份的时候使用03的算法还可以使用,经过几个月的时间不晓得的还能不能,毕竟也没有继续深入研究抖音算法了,这个行业水太深了,凭借着自己那一点逆向基础可能还不足以跟上抖音大佬们更新迭代的步骤,因此把之前弄的一套xg03的源码分享给大家。仅仅作为学习可以的。 核心 @RestController public class XGorgonSell { protected static final String
抖音a_bgous逆向教程
最新发布
qq_62137572的博客
05-25 2347
接下来我们刷新页面,查看控制台的日志信息,可以看到函数的输出包括了true、false、数字以及一长一短的字符串,仔细观察就可以发现这两段字符串是。,如下图所示我们在此函数位置设置一个日志断点,日志的输出值就改为函数输出(注意一定要把本行的其他不相关断点去除,例如图中的灰色断点)第二步我们已经找出了可能的位置,而且此处的代码做了jsvmp混淆,因此我们对此处的代码进行进一步的分析,参数的位置,可以看到此处的代码做了混淆,因此我们要着重进行分析。之外的其他所有参数,因此我们猜想另一个字符串就是我们所需要的。
TikTok(抖音国际版)逆向,全球的小姐姐们,我来啦!
努力,可能成功!放弃,注定失败!
02-21 6008
开源地址 首先抛出GitHub地址吧~多多支持指点,谢谢。AYTikTokPod 简述 iOS逆向工程指的是软件层面上进行逆向分析的过程。 在一般的软件开发流程中,都是过程导向结果。在逆向中,你首先拿到的是结果,然后是去分析实现这个结果的过程。理清过程之后,才开始进行逆向的代码编写,在整个流程中,分析过程的占比是90%,代码书写的过程只占10%。所以本篇更多的讲的是一个思路,代码其实很日常 ...
抖音播放接口探索-----逆向
m0_62740662的博客
04-10 817
重要的事情说三遍声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关! 本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除!声明本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者
研究抖音私信名片逆向分析
jiangpy2000的博客
11-10 2062
研究抖音私信名片制作逆向分析 android分析抖音分享选择用户页面com.ss.android.ugc.aweme.im.sdk.chat.ChatRoomActivity 内私信卡片转发com.ss.android.ugc.aweme.im.sdk.relations.RelationSelectActivity 用户选择页面 卡片类型为om.ss.android.ugc.aweme.im.sdk.chat.model.ShareWebContent 继承AbsShareWebContent...
抖音六神最新算法
jmm18363027827的博客
08-26 5915
process = frida.get_usb_device().attach('抖音')# HOOK指定类的所有重载方法。# 指定要附加的设备app。搜索:x-tt-dt。
xg_shortestPath_最短路径算法_
09-29
在提供的`xg_shortestPath.py`文件中,应该包含了一个使用迪杰斯特拉算法的Python实现,它可能定义了一个函数,接受一个图(表示为邻接矩阵或邻接表)、起始节点和目标节点作为输入,返回最短路径及其长度。...
vDownload-xg-1.0
06-01
可以选择清晰度,下载速度非常快!
10.4版本libcms.so文件
08-14
10.4版本libcms.so文件,so文件是unix(一个系统的名字)的动态连接库,是二进制文件,作用相当于windows下的.dll文件
XG_474
04-02
标题“XG_474”可能代表一个特定的技术项目或设备型号,而描述中提到的“XG_474.rar”是一个压缩文件,包含了关于这个主题的详细信息和额外的技术资料。从标签“XG_474其它知识”我们可以推测,这个压缩包可能包含了...
12.XGBoost代码.zip_12.xg_12xg.com_XGBoost算法_almost6op_region1k2
07-15
压缩文件里有xgboost算法的源代码,可以直接运行,帮助初学者
GetXGorgon0404.zip
04-27
XGorgon,或者称为X-Gorgon,是一款与抖音相关的工具,可能用于数据分析、内容处理或其他与视频平台交互的功能。在深入探讨之前,我们需要了解这个软件的基础知识和运行环境。 首先,让我们关注“VC_redist.x64.exe...
douyin ios六神
China Honker 博客
11-06 3563
ios版本的六神算法,以及ios越狱过检测抓包logs插件。抖音 ios六神算法
Frida学习笔记之hook基础
的博客
12-02 1175
普通方法可直接hook 重载方法需+ overload(‘对应类型’) 构造方法为$init 静态字段直接通过 类.字段名.value = ‘new’ 来修改 非静态需要通过Java.choose(‘类’,{ onMatch中修改 }) Java.enumerateClassLoaders()可用来hook动态加载的dex 内部类/匿名类 $+名字 堆栈定位打印log var log = Java.use(“android.util.Log”).getStackTraceString(Ja.
android jni (jni_onload方式)
qq_33782617的博客
12-27 8964
JNI(Java Native Interface),Java本地接口,是为方便java调用C或者C++等本地代码所封装的一层接口。由于Java的跨平台性导致本地交互能力不好,一些和操作系统相关的特性Java无法完成,于是Java提供了JNI专门用于和本地代码交互。 NDK(Native Development Kit),是android提供的一个工具合集,帮助开发者快速开发C(或C++)的动态库,并能自动将.so和java应用一起打包成apk。NDK集成了交叉编译器(交叉编译器需要UNIX或LINUX系统
抖音__ac_nonce,__ac_signature分析与生成方法
pass_sky的博客
12-13 4381
参考API地址文档:http://api.itfaba.com/。$jsvmprt 是为生成__ac_signature做准备的通过加密算法生成。通过对比发现第一次请求生成了COOKIE :__ac_nonce。第一次请求并不会返回数据页面而是进行第二次请求才返回数据页面。一般程序语言调用JS有些语法不支持,算法API。第二次请求中多了些COOKIE值 _为什么两次请求返回数据不一样呢?经过分析发现第一次请求返回的数据。
抖音app xg xk算法在哪个方法里
07-15
抖音App的XG(Xigua)和XK(Xiaokang)算法抖音内部使用的推荐算法,它们的具体实现细节不是公开的,并且可能会随着抖音版本的更新而有所改变。因此,我无法提供确切的方法名称或位置。 这些算法通常是在抖音服务器端进行处理和计算的,将用户的行为数据、个人喜好、社交关系等信息进行分析,然后生成个性化的推荐内容。 如果你是开发者,想要了解更多关于抖音推荐算法的信息,建议参考抖音官方开发文档或者与抖音开发者支持团队联系。他们可以提供更详细和准确的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值