0x00：简介

        抖音作为目前流量最大、日活跃最高的平台，目前也有很多不同行业的人对它进行逆向分析研究，在抓包分析过程中，抖音的通讯会涉及到一个叫x-gorgon的签名，该签名是发送数据请求必不可少的基础参数，本贴就专门记录此次分析笔记。

0x01：抓包

        假设我们的业务需要爬虫获取抖音的热门视频列表，那么我们先通过抓包来定位到具体的接口，这里我选择使用charles工具进行抓包，具体配置https方法可以参考https://bbs.pediy.com/thread-258996.htm的方法。

        通过抓包发现接口是来自： https://aweme.snssdk.com/aweme/v2/feed/ 后面跟了很长的参数，具体字面意思分析估计是手机的型号以及抖音自己生成的一些信息，我们发现其返回的是protobuf格式，charles已经帮我们解析好了，那么我们编写python3脚本构造一个跟他一样的请求进行尝试。

        我们发现能够正常的返回数据，但是我们看到他的header除了 x-gorgon和x-tt-trace-id以外，其他的都很好理解，我们会发现，如果我们改变了URL的参数，但是header内容得不到对应的修改，就会返回不到数据，如下图所示：

0x01：分析

        那么我们就能够更加确信header里的x-gorgon对它进行了一次签名，所以我们直接jadx上手阅读一波反编译后的代码，这里我直接搜索了x-gorgon关键字，列出了以下结果：

这里我选择了hashMap.put("X-Gorgon", a3);这一行，跳转进去我们来分析一下它的代码

        这里我们看到有一个它的值是来自a3，a3则是通过String a3 = a.a(com.ss.sys.ces.a.leviathan(i, currentTimeMillis, a.a(a2 + str4 + str5 + str6)));这行代码进行获取到的结果，我们看到它传了4个参数，我们来仔细看一下这4个参数具体都是什么内容：

        a2来源：

            String b2 = tt.d(str);

            d.a(b2);

        str它就是该方法传进来的参数，我们后面可以通过hook方式来获取它的具体内容，而它会执行tt.d()、d.a() 进行2次操作，我们对其tt.d()跟进去

        我们看到它对这个字符串进行了取 ? 和 # 中间值，怀疑是url，如果是url证明它只是取了url后面的参数，那么继续看它的下一个方法：d.a() 

        我们看到这里就是进行了MD5签名取值，那么a2分析到此结束，我们继续分析第2个参数

        str4来源：

        这里非常简单，它就是枚举传进来的第二个参数map，判断如果有X-SS-STUB这个值的话就获取，反之则填充32个0，那么我们抓包发现并没有X-SS-STUB这个参数，实际上如果我们的包是POST的话它就会有，实际上它就是POST数据的一个MD5签名值。

        str5来源：

            str5也非常简单，也是枚举map里面有没有COOKIE，如果有就把COOKIE进行MD5，那么该参数也到此结束了

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！