抖音xgorgon和设备注册算法

X-Gorgon参数分析

被下架重新发一次
抖音版本里面加了好几个算法，mas,X-Gorgon，X-SS-STUB，X-Khronos算法，很多关键key之间有相互关联，只要有一个环节算错了，就会请求不到数据。xgorgon从03开头到现在的04开头，8.8.0版本后就使用了04开头的xgorgon算法，代码混淆，难度偏大。

最近搞出开了04的算法，xlog，设备注册算法激活。feed算法等。费了很大的功夫，

xgorgon的算法在libcms.so中，在JNI_Onload中动态注册jni函数。

算法用ollvm混淆了，主要是流程平坦化，流程混淆和运算替换。

java层相关代码

该函数的参数，经过xposed hook打印如下：

arg0=https://aweme-eagle.snssdk.com/aweme/v1/feed/?type=0&max_cursor=0&min_cursor=0&count=6&volume=0.0&pull_type=0&need_relieve_aweme=0&ts=1569139730&app_type=lite&os_api=25&device_platform=android&device_type=Redmi%205A&iid=86972354596&ssmix=a&manifest_version_code=180&dpi=320&uuid=868028030408902&version_code=180&app_name=aweme&version_name=1.8.0&openudid=d727ef1328c8469e&device_id=47737739781&resolution=720*1280&os_version=7.1.2&language=zh&device_brand=Xiaomi&ac=wifi&update_version_code=1800&aid=1128&channel=douyin_huitou_and13&_rticket=1569139731076&as=aad07cfa185d872c13d07c&cp=fa68d07cfa18d07cfa6030&mas=01199323b3b959f9d33319b9b985de0bf7f9d33319f3b3f973d323
arg1={x-ss-tc=[0], cookie=[qh[360]=1; odin_tt=82b9ba91abcf2b3e9685195c095bfe8ae538e25abae8210ffbaf9adfd2dd8e4e65e89a5bf21be9b8591ca6786280ccb9], accept-encoding=[gzip], user-agent=[com.ss.android.ugc.aweme/800 (Linux; U; Android 7.1.2; zh_CN; Redmi 5A; Build/N2G47H; Cronet/58.0.2991.0)], x-ss-req-ticket=[1569139731068]}

可看出：

参数1为url的完整地址 包含请求参数
参数2为header信息

签名返回值

{X-Gorgon=0404c124d000135224fe272bdf75f1c39cb9bd5e2ff04ee9b5577, X-Khronos=1569139731}

可看出返回X-Gorgon 与 X-Khronos 参数，然后追加到请求头中进行请求

主要是X-Gorgon和X-SS-STUB.之后经过抓包抖音接口，查看Java层,so层代码。

X-SS-STUB是post请求时body部分的md5值，但是在为空的情况下，有时候不参与加密，有时候参与加密，具体接口需要具体分析

X-Khronos比较简单就是一个unix时间戳

X-Gorgon是对cookie,X-SS-STUB,X-Khronos,Url进行混合加密之后的参数。这里也区分情况，有些接口只有url和X-Khronos参与接口加密，有些是url，X-Khronos，X-SS-STUB参与接口加密，有些则是所有都进行接口加密。

设备注册分析

经测试每个某音设备ID,每天只能请求300次左右，超过这个次数，就会提示访问请求太频繁了，解决办法就是模拟注册生成设备ID。

其中最核心的参数就是 device_id和iid 代表了一个新生成的设备ID。

效果如图:

注册出来的设备ID,如图