游戲腳本加密python

發布時間: 2024-06-14 01:21:04

⑴ 怎麼用 python 模擬 js 里 JSEncrypt 模塊的加密方式

PC登錄新浪微博時，在客戶端用js預先對用戶名、密碼都進行了加密，而且在POST之前會GET一組參數，這也將作為POST_DATA的一部分。這樣，就不能用通常的那種簡單方法來模擬POST登錄（比如人人網）。
通過爬蟲獲取新浪微博數據，模擬登錄是必不可少的。
1、在提交POST請求之前，需要GET獲取四個參數（servertime，nonce，pubkey和rsakv），不是之前提到的只是獲取簡單的servertime，nonce，這里主要是由於js對用戶名、密碼加密方式改變了。
1.1 由於加密方式的改變，我們這里將使用到RSA模塊，有關RSA公鑰加密演算法的介紹可以參考網路中的有關內容。下載並安裝rsa模塊：
下載：https//pypi.python.org/pypi/rsa/3.1.1
rsa模塊文檔地址：http//stuvel.eu/files/python-rsa-doc/index.html
根據自己的Python版本選擇適合自己的rsa安裝包（.egg），在win下安裝需要通過命令行使用easy_install.exe（win上安裝setuptool從這里下載：setuptools-0.6c11.win32-py2.6.exe 安裝文件）進行安裝，例如：easy_install rsa-3.1.1-py2.6.egg，最終命令行下測試import rsa，未報錯則安裝成功。
1.2 獲得以及查看新浪微博登錄js文件
查看新浪通行證url （http//login.sina.com.cn/signup/signin.php）的源代碼，其中可以找到該js的地址 http//login.sina.com.cn/js/sso/ssologin.js，不過打開後裡面的內容是加密過的，可以在網上找個在線解密站點解密，查看最終用戶名和密碼的加密方式。
1.3 登錄
登錄第一步，添加自己的用戶名（username），請求prelogin_url鏈接地址：
prelogin_url = 'http//login.sina.com.cn/sso/prelogin.php?entry=sso&callback=sinaSSOController.preloginCallBack&su=%s&rsakt=mod&client=ssologin.js(v1.4.4)' % username
使用get方法得到以下類似內容：
sinaSSOController.preloginCallBack({"retcode":0,"servertime":1362041092,"pcid":"gz-","nonce":"IRYP4N","pubkey":"","rsakv":"1330428213","exectime":1})
進而從中提取到我們想要的servertime，nonce，pubkey和rsakv。當然，pubkey和rsakv的值我們可以寫死在代碼中，它們是固定值。
2、之前username 經過BASE64計算：
復制代碼代碼如下:
username_ = urllib.quote(username)
username = base64.encodestring(username)[:-1]
password經過三次SHA1加密，且其中加入了 servertime 和 nonce 的值來干擾。即：兩次SHA1加密後，結果加上servertime和nonce的值，再SHA1算一次。
在最新的rsa加密方法中，username還是以前一樣的處理；
password加密方式和原來有所不同：
2.1 先創建一個rsa公鑰，公鑰的兩個參數新浪微博都給了固定值，不過給的都是16進制的字元串，第一個是登錄第一步中的pubkey，第二個是js加密文件中的『10001'。
這兩個值需要先從16進制轉換成10進制，不過也可以寫死在代碼里。這里就把10001直接寫死為65537。代碼如下：
復制代碼代碼如下:
rsaPublickey = int(pubkey, 16)
key = rsa.PublicKey(rsaPublickey, 65537) #創建公鑰
message = str(servertime) + '\t' + str(nonce) + '\n' + str(password) #拼接明文js加密文件中得到
passwd = rsa.encrypt(message, key) #加密
passwd = binascii.b2a_hex(passwd) #將加密信息轉換為16進制。
2.2 請求通行證url：login_url =『http//login.sina.com.cn/sso/login.php?client=ssologin.js(v1.4.4)'
需要發送的報頭信息
復制代碼代碼如下:
postPara = {
'entry': 'weibo',
'gateway': '1',
'from': '',
'savestate': '7',
'userticket': '1',
'ssosimplelogin': '1',
'vsnf': '1',
'vsnval': '',
'su': encodedUserName,
'service': 'miniblog',
'servertime': serverTime,
'nonce': nonce,
'pwencode': 'rsa2',
'sp': encodedPassWord,
'encoding': 'UTF-8',
'prelt': '115',
'rsakv' : rsakv,
'url': 'http//weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack',
'returntype': 'META'
}
請求的內容中添加了rsakv，將pwencode的值修改為rsa2，其他跟以前一致。
將參數組織好，POST請求。檢驗是否登錄成功，可以參考POST後得到的內容中的一句 location.replace("http://weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack&retcode=101&reason=%B5%C7%C2%BC%C3%FB%BB%F2%C3%DC%C2%EB%B4%ED%CE%F3");
如果retcode=101則表示登錄失敗。登錄成功後結果與之類似，不過retcode的值是0。
3、登錄成功後，在body中的replace信息中的url就是我們下一步要使用的url。然後對上面的url使用GET方法來向伺服器發請求，保存這次請求的Cookie信息，就是我們需要的登錄Cookie了。

⑵ 為什麼python不可加密

可以加密。 python 代碼加密甚至可以做到比用匯編手寫混淆，用 c 手寫混淆更加難以解密。具體做法略復雜僅簡單說個過程。

第一級別是源碼級別的混淆，用 ast 和 astor ，再自己手寫一個混淆器，三五百行的腳本直接混淆到幾萬行，整個文件面目全非，基本可以做到就算直接放腳本給你拿去逆，除非你再寫出來一個逆向前面的混淆演算法的腳本來逆（在熟悉 python 的情況下需要花幾天，且不說需要了解程序構造原理），手動去調試腳本幾乎達到不可行的地步（話費時間再乘以 2 ）

第二級別是個性化定製 pyinstaller ， pyinstaller 會打包所有需要的庫，將腳本也包含進打包的 exe ，但是， pyinstaller 有一個 stub ，相當於一個啟動器，需要由這個啟動器來解密腳本和導入模塊，外面有直接導出腳本的工具，但是那是針對 pyinstaller 自帶的啟動器做的，完全可以自己修改這個啟動器再編譯，這樣逆向者就必須手動調試找到 main 模塊。配合第一級別加密，呵呵，中國就算是最頂尖的逆向專家也要花個一兩周，來破解我們的程序邏輯了，就我所知，實際上國內對於 py 程序的逆向研究不多。

第三級別是再上一層，將 py 翻譯為 c 再直接編譯 c 為 dll ，配合第一階段先混淆再轉 c 再編譯，在第一步混淆之後，會產生非常多垃圾（中間層）函數，這些中間層函數在 c 這里會和 py 解釋器互相調用，腳本和二進制之間交叉運行，本身混淆之後的源碼就極難復原，再混合這一層，想逆向，難。

第四級別是利用 py 的動態特性，絕大多數逆向者都是 c ，匯編出身，對於程序的第一直覺就是，程序就是一條一條的指令，後一條指令必然在這一條指令後面，然而， py 的動態特性可以讓代碼邏輯根本就不在程序裡面，這一點不想多講，涉及到我一個項目里的深度加密。

第五級別，數學做牆。了解過比特幣原理的知道要想用挖比特幣就得提供大量算力去幫網路計算 hash ，這個成為 pow ，那麼既然已經採用 py 了估計已經不考慮太多 cpu 利用率了，那就可以採用 pow （還有其他的手段）確保程序運行時擁有大量算力，如果程序被單步調試，呵呵，一秒鍾你也跑不出來幾個 hash 直接拉黑這個 ip （這個說法可能比較難理解，因為我第四層的加密沒有說明，不過意思就是拒絕執行就對了）

⑶ python 如何保密源代碼

python 如何保密源代碼？

游戲腳本加密python

與游戲腳本加密python相關的資訊