豆瓣app 网络请求签名算法分析与解密

查看 190|回复 12
作者:Frank丶   
安卓逆向-豆瓣app签名算法分析与解密
1、背景介绍
2、工具准备
3、Fildder抓包
3.1 配置fildder代{过}{滤}理
3.2 配置安卓模拟器的代{过}{滤}理
3.3 为安卓模拟器安装证书
4、抓取豆瓣APP的网络请求
5、反汇编豆瓣APP
6、定位签名计算位置
7、获取豆瓣APP的签名
8、HMAC Hash加密逻辑分析
9、代码实现
10、注意事项
完整工程上传到了GitHub上,仅限于研究使用,如不能运行请看注意事项
项目地址:https://github.com/bestyize/DoubanAPI
1、背景介绍
豆瓣上有很多精品的图片资源,但是豆瓣的网页端写的不咋地,在下发图片链接直接随着html一起下发了,造成了很大的资源浪费,对我们解析数据也带来了不必要的麻烦。

好的解决方式是数据通过json下发,豆瓣的移动端app就是通过下发json数据实现的通信,看到下面的图,是我抓包后得到的json数据,是不是更加清晰和好解析呢。

但是,豆瓣为了防止api被第三方使用,对api的使用做了校验。本文的目的就是逆向豆瓣app,获取豆瓣的签名算法,让我们可以自由地使用豆瓣API。
2、工具准备
本文中用到的软件和工具如下
[table]
[tr]
[td]项目[/td]
[td]描述[/td]
[td]链接[/td]
[/tr]
[tr]
[td]豆瓣app

豆瓣, 算法

tangxu1995   

大佬问下 一般的APK 都能反编译?
还有就是jadx中文版给个链接 呗 麻烦了 给你加分了
uav   


xyelyleh 发表于 2020-10-9 10:37
分析的很详细,要是我直接hook 得到bf7dddc7c9cfe6f7 完事。哈哈

+1 hook最省事儿,不过楼主分析过程很不错
xyelyleh   

1024
禁止使用代{过}{滤}理
文件加壳,不能反编译
这两个有教程吗
litianping   

分析的很详细,要是我直接hook 得到bf7dddc7c9cfe6f7 完事。哈哈
isroot   

666666666666,前排学习了
AyangLe   


Frank丶 发表于 2020-9-7 15:30
大佬问下 一般的APK 都能反编译?
还有就是jadx中文版给个链接 呗 麻烦了 给你加分了

jadx在爱盘里面有:https://down.52pojie.cn/Tools/Android_Tools/jadx-1.1.0.zip
除了加壳的都能反编译
为你一人   

学习学习
天空宫阙   

感谢分享,学到了。
_知鱼之乐   

学习了。
您需要登录后才可以回帖 登录 | 立即注册

返回顶部