某短视频平台最新sig3字段算法分析(一)

前言

最近看到手里的某短视频APP来了兴致，特意拿来分析记录下，整个系列文章大概分为抓包，java层分析，so定位，so去花，unidbg，算法还原等几个部分，这几篇文章会记录下我的整个调试过程，前面的文章会比较基础，入门级玩家基本可以略过了，因为考虑到文章的连续性我这边还是会记录发表下。

抓包

因为需要对关键字段的算法进行分析，所以个人习惯还是要先抓下协议看一下，先不管别的用BurpSuite抓个包出来看下

抓到后总体感觉进包速度跟APP的流量不太匹配，感觉大概率是走了其他协议。既然抓到的包里面有sign字段，就先从sign字段入手看下

用frida hook看下调用栈

var ins_C82880ba = Java.use("com.kuaishou.weapon.ks.ba");
ins_C82880ba.a.overload('java.lang.String', 'java.lang.String').implementation = function(a, b) {
    var ret = this.a(a, b)
    show_stacks()
    console.log(ret)
    return ret
}

后面根据调用栈顺藤摸瓜分析就好，最后找到了发送函数发现跟okhttp有关

试着将okhttp的接口发送与接收接口打印一下看看

var ins_okhttp = Java.use("okhttp3.OkHttpClient")
ins_okhttp.newCall.overload('okhttp3.Request').implementation = function(a) {
    console.log(a);
    //show_stacks()
    return this.newCall(a);
}
         
var ins_RealCall = Java.use("okhttp3.RealCall");
ins_RealCall.execute.overload().implementation = function() {
    //show_stacks()
    var ret = this.execute();
    console.log(ret.toString())
    return ret
}

找到了__NS_sig3字段，这个是我们需要分析算法的字段，之前Burp Suite抓不到包的原因也出来了，走的是quic协议。

接口定位

直接在代码搜索__NS_sig3进行定位

一直往里面进

调用接口找到了

SO定位

直接搜索C0526k开始