游戏脚本加密python

发布时间: 2024-06-14 01:21:04

⑴ 怎么用 python 模拟 js 里 JSEncrypt 模块的加密方式

PC登录新浪微博时，在客户端用js预先对用户名、密码都进行了加密，而且在POST之前会GET一组参数，这也将作为POST_DATA的一部分。这样，就不能用通常的那种简单方法来模拟POST登录（比如人人网）。
通过爬虫获取新浪微博数据，模拟登录是必不可少的。
1、在提交POST请求之前，需要GET获取四个参数（servertime，nonce，pubkey和rsakv），不是之前提到的只是获取简单的servertime，nonce，这里主要是由于js对用户名、密码加密方式改变了。
1.1 由于加密方式的改变，我们这里将使用到RSA模块，有关RSA公钥加密算法的介绍可以参考网络中的有关内容。下载并安装rsa模块：
下载：https//pypi.python.org/pypi/rsa/3.1.1
rsa模块文档地址：http//stuvel.eu/files/python-rsa-doc/index.html
根据自己的Python版本选择适合自己的rsa安装包（.egg），在win下安装需要通过命令行使用easy_install.exe（win上安装setuptool从这里下载：setuptools-0.6c11.win32-py2.6.exe 安装文件）进行安装，例如：easy_install rsa-3.1.1-py2.6.egg，最终命令行下测试import rsa，未报错则安装成功。
1.2 获得以及查看新浪微博登录js文件
查看新浪通行证url （http//login.sina.com.cn/signup/signin.php）的源代码，其中可以找到该js的地址 http//login.sina.com.cn/js/sso/ssologin.js，不过打开后里面的内容是加密过的，可以在网上找个在线解密站点解密，查看最终用户名和密码的加密方式。
1.3 登录
登录第一步，添加自己的用户名（username），请求prelogin_url链接地址：
prelogin_url = 'http//login.sina.com.cn/sso/prelogin.php?entry=sso&callback=sinaSSOController.preloginCallBack&su=%s&rsakt=mod&client=ssologin.js(v1.4.4)' % username
使用get方法得到以下类似内容：
sinaSSOController.preloginCallBack({"retcode":0,"servertime":1362041092,"pcid":"gz-","nonce":"IRYP4N","pubkey":"","rsakv":"1330428213","exectime":1})
进而从中提取到我们想要的servertime，nonce，pubkey和rsakv。当然，pubkey和rsakv的值我们可以写死在代码中，它们是固定值。
2、之前username 经过BASE64计算：
复制代码代码如下:
username_ = urllib.quote(username)
username = base64.encodestring(username)[:-1]
password经过三次SHA1加密，且其中加入了 servertime 和 nonce 的值来干扰。即：两次SHA1加密后，结果加上servertime和nonce的值，再SHA1算一次。
在最新的rsa加密方法中，username还是以前一样的处理；
password加密方式和原来有所不同：
2.1 先创建一个rsa公钥，公钥的两个参数新浪微博都给了固定值，不过给的都是16进制的字符串，第一个是登录第一步中的pubkey，第二个是js加密文件中的‘10001'。
这两个值需要先从16进制转换成10进制，不过也可以写死在代码里。这里就把10001直接写死为65537。代码如下：
复制代码代码如下:
rsaPublickey = int(pubkey, 16)
key = rsa.PublicKey(rsaPublickey, 65537) #创建公钥
message = str(servertime) + '\t' + str(nonce) + '\n' + str(password) #拼接明文js加密文件中得到
passwd = rsa.encrypt(message, key) #加密
passwd = binascii.b2a_hex(passwd) #将加密信息转换为16进制。
2.2 请求通行证url：login_url =‘http//login.sina.com.cn/sso/login.php?client=ssologin.js(v1.4.4)'
需要发送的报头信息
复制代码代码如下:
postPara = {
'entry': 'weibo',
'gateway': '1',
'from': '',
'savestate': '7',
'userticket': '1',
'ssosimplelogin': '1',
'vsnf': '1',
'vsnval': '',
'su': encodedUserName,
'service': 'miniblog',
'servertime': serverTime,
'nonce': nonce,
'pwencode': 'rsa2',
'sp': encodedPassWord,
'encoding': 'UTF-8',
'prelt': '115',
'rsakv' : rsakv,
'url': 'http//weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack',
'returntype': 'META'
}
请求的内容中添加了rsakv，将pwencode的值修改为rsa2，其他跟以前一致。
将参数组织好，POST请求。检验是否登录成功，可以参考POST后得到的内容中的一句 location.replace("http://weibo.com/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack&retcode=101&reason=%B5%C7%C2%BC%C3%FB%BB%F2%C3%DC%C2%EB%B4%ED%CE%F3");
如果retcode=101则表示登录失败。登录成功后结果与之类似，不过retcode的值是0。
3、登录成功后，在body中的replace信息中的url就是我们下一步要使用的url。然后对上面的url使用GET方法来向服务器发请求，保存这次请求的Cookie信息，就是我们需要的登录Cookie了。

⑵ 为什么python不可加密

可以加密。 python 代码加密甚至可以做到比用汇编手写混淆，用 c 手写混淆更加难以解密。具体做法略复杂仅简单说个过程。

第一级别是源码级别的混淆，用 ast 和 astor ，再自己手写一个混淆器，三五百行的脚本直接混淆到几万行，整个文件面目全非，基本可以做到就算直接放脚本给你拿去逆，除非你再写出来一个逆向前面的混淆算法的脚本来逆（在熟悉 python 的情况下需要花几天，且不说需要了解程序构造原理），手动去调试脚本几乎达到不可行的地步（话费时间再乘以 2 ）

第二级别是个性化定制 pyinstaller ， pyinstaller 会打包所有需要的库，将脚本也包含进打包的 exe ，但是， pyinstaller 有一个 stub ，相当于一个启动器，需要由这个启动器来解密脚本和导入模块，外面有直接导出脚本的工具，但是那是针对 pyinstaller 自带的启动器做的，完全可以自己修改这个启动器再编译，这样逆向者就必须手动调试找到 main 模块。配合第一级别加密，呵呵，中国就算是最顶尖的逆向专家也要花个一两周，来破解我们的程序逻辑了，就我所知，实际上国内对于 py 程序的逆向研究不多。

第三级别是再上一层，将 py 翻译为 c 再直接编译 c 为 dll ，配合第一阶段先混淆再转 c 再编译，在第一步混淆之后，会产生非常多垃圾（中间层）函数，这些中间层函数在 c 这里会和 py 解释器互相调用，脚本和二进制之间交叉运行，本身混淆之后的源码就极难复原，再混合这一层，想逆向，难。

第四级别是利用 py 的动态特性，绝大多数逆向者都是 c ，汇编出身，对于程序的第一直觉就是，程序就是一条一条的指令，后一条指令必然在这一条指令后面，然而， py 的动态特性可以让代码逻辑根本就不在程序里面，这一点不想多讲，涉及到我一个项目里的深度加密。

第五级别，数学做墙。了解过比特币原理的知道要想用挖比特币就得提供大量算力去帮网络计算 hash ，这个成为 pow ，那么既然已经采用 py 了估计已经不考虑太多 cpu 利用率了，那就可以采用 pow （还有其他的手段）确保程序运行时拥有大量算力，如果程序被单步调试，呵呵，一秒钟你也跑不出来几个 hash 直接拉黑这个 ip （这个说法可能比较难理解，因为我第四层的加密没有说明，不过意思就是拒绝执行就对了）

⑶ python 如何保密源代码

python 如何保密源代码？

游戏脚本加密python

与游戏脚本加密python相关的资讯