查看爬取的数据的时候，突然发现一个网站的视频不能播放了，所有的视频在播放的时候都会显示下载正式版。

这尼玛当时就尴尬了，访问播放地址就会发现，重定向到另外一个域名了。

其实不单纯是播放地址替换掉了，如果是旧版本的app同样会提示下载新版，旧版将无法正常播放。

直接对app进行抓包，抓包之后虽然能够获取m3u8地址，但是下载下载就会发现文件已经被加密了，并不是正常的播放列表。

(如何抓包，请参考：http://h4ck.org.cn/2020/07/某加密到牙齿的app数据加密分析/)
根据apk文件名大概猜测，可能被加固了，那么首先就要进行脱壳（如果不确定可以找个查壳工具看一下。）
使用反射大师进行脱壳，脱壳之前需要安装xposed。具体可以参考这个链接：https://blog.csdn.net/qq_41855420/article/details/106276824
不过需要注意的是，如果是使用夜神模拟器，不要使用文章中的xposed安装器，从下面的链接下载apk进行安装。
https://forum.xda-developers.com/showthread.php?t=3034811
其余的工具安装和脱壳，按照文章中的方法进行操作即可。
脱壳流程（gif太大了，要看的话移步github）：

脱壳之后就可以使用jadx进行分析了，将脱壳之后的class.dex进行分析。
通过搜索m3u8可以定位到如下的代码：

主要代码如下：

注意到下面的关键代码：

com.live.eggplant.base.encrypt.AESUtils.decryptByte(r4, r11)函数定义如下：

至此可以断定解密方式为aes ecb模式。那么只需要知道解密的key就可以获取真正的数据了。解密key通过com.live.eggplant.base.encrypt.EncryptUtils.getVideoKv()方法获取，定义如下：

可以看到，这是一个jni方法，通过encryptLib导出。使用ida打开对应的so文件。查看导出函数：

定位到函数体，找到对应的key：

有了key之后就可以尝试解析代码了：

解密之后的文件内容：

不过这里解析出来的文件之后相对路径，那么要想能够播放，需要在原有的文件基础上进行链接补全，将所有的ts文件路径替换为url路径。如下：

到这里本来以为就万事大吉，可以进行播放了，但是在实际播放的时候会发现一直在加载，使用ffmpeg下载会提示如下错误：

开始以为是ffmpeg下载的问题，直接用播放器播放也无法进行播放：

到这里猜测可能是ts流也进行了加密，通过上面的key同样对ts流进行解码， 解码之后可以正常播放了：

由于加密是采用的aes，而m3u8本身也支持aes加密，尝试将密钥写入key，然后通过uri进行解密：

然而这种方法无效，无法正常进行播放，猜测可能由于aes的加密方式导致的，m3u8文件的aes加密方式为aes-128-cbc 而这里的加密方式为ecb。谁知道如何直接将密钥写入key进行解密，还望不吝赐教。
既然如此，如果要在线播放就需要在线解密ts流，在服务器上实现个ts代理，将获取到的数据首先进行解密然后返回：

此时就可以正常播放了，不过由于服务器带宽，以及在线解密，有时会卡顿

github:

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！