client_id 是否应当在本地生成

[lumina37]

今早研究极速版9.1.0.0的反编译源码时发现client_id（RetrofitTiebaApi.kt#L45）似乎并不像cuid_galaxy2那样可以在本地随机生成

cuid和cuid_galaxy2都在com.baidu.tbadk.core.TbadkCoreApplication的init函数中生成，而client_id在此仅有一个读缓存的动作

查找ClientId的被调位置可以发现一个setClientId函数

再追踪这个setClientId函数可以发现它在一个初始化任务中被调用

其中bfD.m15998Iq函数可以理解为post request，而请求任务bfD所对应的正是c/s/sync接口，其余红框都是json解析的配套函数

看到c/s/sync的返回数据确实包含client_id

如果不在请求参数中包含本地的client_id，那么云端会自动生成和返回一个基于当前时间戳的client_id

注：c/s/sync接口仅需要BDUSS，使用post并需要tbclient!!!签名

[n0099]

事实核查：根本不携带_client_id request param服务端也会给出相同的正常response

[HuanCheng65]

嗯，那下版本会改一下...现在比较搞不清的是新版有个参数z_id

[n0099]

@HuanCheng65 阁下给3大帖子接口加_client_type了吗？#149 (comment)
z_id是这个？ https://github.com/n0099/tbclient.protobuf/blob/d58493a70dad553b86d96c402deee8601733a903/proto/CommonReq.proto#L34

[n0099]

#145 (comment) 中引用的 https://bbs.tiebazs.com/593-1-1.html 声称c.tieba.baidu.com/c/s/sync是系统公告 系统贴吧推荐
阁下提到这个接口需要BDUSS，也就是说贴吧客户端的行为是基于BDUSS从贴吧服务端获得一个神必高信息熵字符串，然后在后续的几乎所有请求（不论该接口要不要BDUSS）中都会携带common.三大件之_client_(type|id|version)： https://github.com/n0099/tbclient.protobuf/blob/d58493a70dad553b86d96c402deee8601733a903/proto/CommonReq.proto#L4

因此完全可以合理假设这是贴吧服务端用于实现其在一段时间内（嵌入了unix timestamp因此可能有时效性）追踪同一个唯一贴吧客户端用户的罪恶遥测行径
建议立即致电四叶信安底层壬上壬上海贵族FSF EFF精神会员杨博文阁下 @yangbowen 前来评估此神必字符串的排列组合可能取值总量

[HuanCheng65]

@HuanCheng65 阁下给3大帖子接口加_client_type了吗？#149 (comment) z_id是这个？ https://github.com/n0099/tbclient.protobuf/blob/d58493a70dad553b86d96c402deee8601733a903/proto/CommonReq.proto#L34

是这个，从抓包看是访问一个url不知道怎么得到的地址然后解密得出来的...域名是sofire.baidu.com
_client_type应该是加了的

[n0099]

域名是sofire.baidu.com

https://w0.dxmstatic.com/static/wfe/protocot/thirdparty_sdk_20_01_18.html
http://sofire.bdstatic.com/secsdk/privacy.html

https://sofire.bdstatic.com/push/privacy.html
https://cloud.baidu.com/product/spp.html
https://growing.baidu.com/spp.html
https://www.yimenapp.com/kb-yimen/530/

https://www.right.com.cn/forum/thread-2864948-1-1.html
https://www.v2ex.com/t/481507
https://www.wangan.com/p/7fy7f8827a081e6f

我的评价是：挥舞奥卡姆剃刀删除加不加都不会影响服务端response结构或字段值的这种疑似tracing参数，即便在_client_version事件后还是这样

_client_type应该是加了的

那为什么阁下还需要判断author is null？ a9c6d70#diff-0ee26fd4e2648fbabbf9c179b422a0d20d0b5bf0b03fb1e14178864326dd75faR168 以及另一个pr https://github.com/HuanCheng65/TiebaLite/pull/149/files#diff-f6cd224424ff396b365dc43af2a0752691b0d85aa6a71c6da7177b5c6b153374R389

[HuanCheng65]

域名是sofire.baidu.com

https://w0.dxmstatic.com/static/wfe/protocot/thirdparty_sdk_20_01_18.html http://sofire.bdstatic.com/secsdk/privacy.html

https://sofire.bdstatic.com/push/privacy.html https://cloud.baidu.com/product/spp.html https://growing.baidu.com/spp.html https://www.yimenapp.com/kb-yimen/530/

https://www.right.com.cn/forum/thread-2864948-1-1.html https://www.v2ex.com/t/481507 https://www.wangan.com/p/7fy7f8827a081e6f

我的评价是：挥舞奥卡姆剃刀删除加不加都不会影响服务端response结构或字段值的这种疑似tracing参数，即便在_client_version事件后还是这样

_client_type应该是加了的

那为什么阁下还需要判断author is null？ a9c6d70#diff-0ee26fd4e2648fbabbf9c179b422a0d20d0b5bf0b03fb1e14178864326dd75faR168 以及另一个pr https://github.com/HuanCheng65/TiebaLite/pull/149/files#diff-f6cd224424ff396b365dc43af2a0752691b0d85aa6a71c6da7177b5c6b153374R389

后面这点算是历史遗留问题...

TiebaLite/app/src/main/java/com/huanchengfly/tieba/post/api/models/PersonalizedBean.kt

Line 45 in 0c75052

val author: AuthorBean? = null

这里的model当时转kt的时候定义的问题

[lumina37]

sofire应该是一个类似sqlite的本地数据库，在app内部通过content://以及安卓的ContentProvider实现交互。z_id的生成逻辑被放在sofire里了，这部分我还在研究

[yangbowen]

建议立即致电四叶信安底层壬上壬上海贵族FSF EFF精神会员杨博文阁下 @yangbowen 前来评估此神必字符串的排列组合可能取值总量

我好像没什么能评价的，毕竟我完全不懂贴吧相关的。
关于“基于时间戳的唯一标识符有多大取值空间”，可以参考 1 类 UUID 。

[lumina37]

用frida操作了一波，发现z_id就是context.getSharedPreferences("leroadcfg", 0)中的xytk。暂时不知道这个值是不是在安装时就确定的，因为没发现赋值位置

SharedPreference的位置在/data/data/com.baidu.tieba_mini/shared_prefs/leroadcfg.xml

测试环境:
夜神模拟器7.0.5.0 Android9 x86_64
frida16.0.8

import sys

import frida

jscode = """
Java.perform(function () {
  var current_application = Java.use('android.app.ActivityThread').currentApplication();
  var context = current_application.getApplicationContext();

  let C2628g = Java.use("com.baidu.sofire.g");
  var inst_g = C2628g.$new(context)
  var xytk = inst_g.a();
  console.log(xytk);
});
"""


def on_message(message, data):
    print(message)


process = frida.get_remote_device().attach('贴吧极速版')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

输出

Z4HrG0sphczjIeE2jD-1L1pVVueGoM9TiQ4X1BweRY8YWf696TXW4iaEfhEwmW4DMoqjYMyfVBsgnXm113cSoEw

[n0099]

所以z_id有什么用，服务端必须要这个吗？提供他可以返回更多字段值吗？建议挥舞奥卡姆剃刀

[HuanCheng65]

@Starry-OvO 之前反编译11.10.8.6的时候看貌似是获取到之后整个写入这个sp...但是具体在哪忘记了，我抽空再看看

[lumina37]

所以z_id有什么用，服务端必须要这个吗？提供他可以返回更多字段值吗？建议挥舞奥卡姆剃刀

未雨绸缪，而且发帖和私信接口都与这个有关

[n0099]

所以z_id有什么用，服务端必须要这个吗？提供他可以返回更多字段值吗？建议挥舞奥卡姆剃刀

未雨绸缪，而且发帖和私信接口都与这个有关

#starry神步鸡血神后尘进军贴吧黑灰产行业生产广告机

那我盲猜是用于在发帖/私信后方便后续接收百度慧推服务端推送通知时找出客户端的唯一id，也就是说还是属于tracing遥测跟踪

[HuanCheng65]

所以z_id有什么用，服务端必须要这个吗？提供他可以返回更多字段值吗？建议挥舞奥卡姆剃刀

未雨绸缪，而且发帖和私信接口都与这个有关

#starry神步鸡血神后尘进军贴吧黑灰产行业生产广告机

那我盲猜是用于在发帖/私信后方便后续接收百度慧推服务端推送通知时找出客户端的唯一id，也就是说还是属于tracing遥测跟踪

z_id这个参数是由SP里的android_safe_sdk_open来决定是否携带的

[n0099]

经典阅读理解jvm bytecode时间

[lumina37]

现在最关键的问题是不知道leroadcfg.xml是何时生成的

[n0099]

#starry神发威了！ https://github.com/Starry-OvO/aiotieba/releases/tag/v3.1.2

[lumina37]

极速版不具备独立生成新版cuid_galaxy2的能力
它会优先使用com.baidu.tieba里的cuid_galaxy2
具体表现是，如果将/data/data/com.baidu.tieba_mini/shared_perfs/common_settings.xml和缓存文件/data/data/com.baidu.tieba_mini/files/libcuid.so同时删除的话，就只会输出形如693C07281680E73DEE0939642B459E59|0的以0结尾的旧版cuid_galaxy2

使用以下frida脚本hook贴吧12.35.1.0的初始化过程可以发现，新版cuid_galaxy2的生成只与这两个函数有关

frida -U -l hook_new.js -f com.baidu.tieba

// hook_new.js
Java.perform(function () {

  let z00 = Java.use("com.baidu.tieba.z00");
  z00["b"].implementation = function (bArr) {
    console.log('m22480b is called' + ', ' + 'bArr: ' + bArr);
    let ret = this.b(bArr);
    console.log('m22480b ret value is ' + ret);
    return ret;
  };

  let C17942pz = Java.use("com.baidu.tieba.pz");
  C17942pz["a"].implementation = function (bArr) {
    console.log('m49465a is called' + ', ' + 'bArr: ' + bArr);
    let ret = this.a(bArr);
    console.log('m49465a ret value is ' + ret);
    return ret;
  };

});

输出

[SM-G988N::com.baidu.tieba ]-> m49465a is called, bArr: 54,57,51,67,48,55,50,56,49,54,56,48,69,55,51,68,69,69,48,57,51,57,54,52,50,66,52,53,57,69,53,57
m49465a ret value is -78,27,22,-23,76
m22480b is called, bArr: -78,27,22,-23,76
m22480b ret value is WINRN2KM

生成的cuid_galaxy2为693C07281680E73DEE0939642B459E59|VWINRN2KM
其中WINRN2KM正是由693C07281680E73DEE0939642B459E59经过m49465a和m22480b的计算得出

所以想问问你能不能看出这两个函数长得像什么摘要算法

[HuanCheng65]

@Starry-OvO 后面这一坨是跟com/baidu/helios包里的有几个方法有关系

[lumina37]

@Starry-OvO 后面这一坨是跟com/baidu/helios包里的有几个方法有关系

如果不是什么通用算法的话我就手搓了

[HuanCheng65]

@Starry-OvO 后面这一坨是跟com/baidu/helios包里的有几个方法有关系

如果不是什么通用算法的话我就手搓了

应该说挺复杂的...一大坨...我没看出来2333（菜.jpg
这边基于11.10.8.6版本反编译得到大概是这样的过程：
|前面的部分是MD5计算的结果，原文根据Android版本的不同略有差别，Android M以下是IMEI+Android ID+一串UUID，Android M及以上则是com.baidu+Android ID
|后面的部分第一个字母固定为V，后面的部分是由|前面的部分经过比较复杂的计算得到的...我这边暂且没搞明白所以直接复制了反编译回来的代码...但大致就是先通过Lcom/baidu/helios/common/cc/b;->y([B)[B这个方法运算得到一个ByteArray然后再用Lcom/baidu/helios/common/b/a/b;->encode([B)Ljava/lang/String;这个方法得到最终的String...

[lumina37]

emmm，这两个方法我都没找到
我在com.baidu.helios.common.cc里只找到了a和n，没找到b，也没找到encode函数，你用的客户端版本号是多少？

[HuanCheng65]

@Starry-OvO 11.10.8.6

[lumina37]

可能在12.35.1.0已经不是helios负责生成了，12.35.1.0的客户端的helios下面有个DummyProvider，原本的逻辑应该是转到了混淆更复杂的com.baidu.tieba.*里面

[HuanCheng65]

刚下了个12.35.1.0的包看了下，应该是变成了Lcom/baidu/tieba/l40;->a([B)[B和Lcom/baidu/tieba/g50;->c([B)Ljava/lang/String;
另外可以来咱的telegram群组这边讨论233333
https://t.me/tblite_discuss

[n0099]

这两个函数长得像什么摘要算法

建议立即致电位运算中级高手 n0099/open-tbm#24 (comment) 四叶信安底层壬上壬上海贵族 FSF EFF 精神会员杨博文阁下 @yangbowen

来咱的telegram群组这边讨论

经典搞v圈小团体

lumina37/aiotieba@1f2c248

#starry神正式进军c/cpp/rust底层系统语言领域

[n0099]

也就是说还是属于tracing遥测跟踪

cuid_galaxy2是百度统计用的跨域跟踪url querystring，就像阿里系网站的spm https://www.gairuo.com/p/spm 和google analytics的utm_*
他以前还会被追加到网页端出站链接上：

例如某google search index之

https://www.perfare.net/
?cuid=baidutiebaapp266d7d86-6f18-42b5-b61b-d716cdb23991
&cuid_galaxy2=6CF3E8B6E635CD3AE1E72C082ED9963A%7CO
&cuid_gid
&timestamp=1577203677573
&_client_version=10.3.8.41
&nohead=1

https://blog.csdn.net/lovesmiles/article/details/102685514
还有一个神必jsonp： http://unionsug.baidu.com/su?ie=UTF-8&wd=libcuid

[yangbowen]

这两个函数长得像什么摘要算法

建议立即致电位运算中级高手 n0099/TiebaMonitor#24 (comment) 四叶信安底层壬上壬上海贵族 FSF EFF 精神会员杨博文阁下 @yangbowen

诶，我看看……

iArr[0] = (byte) ((sArr[0] >> 3) & 31);
iArr[1] = (byte) (((sArr[0] & 7) << 2) | ((sArr[1] >> 6) & 3));
iArr[2] = (byte) ((sArr[1] >> 1) & 31);
iArr[3] = (byte) (((sArr[1] & 1) << 4) | ((sArr[2] >> 4) & 15));
iArr[4] = (byte) (((sArr[2] & 15) << 1) | ((sArr[3] >> 7) & 1));
iArr[5] = (byte) ((sArr[3] >> 2) & 31);
iArr[6] = (byte) (((sArr[4] >> 5) & 7) | ((sArr[3] & 3) << 3));
iArr[7] = (byte) (sArr[4] & 31);

感觉是 Base32 之类的东西。这段位运算的功能其实是，把 sArr 里的 5 个字节拆成 40 个位然后每 5 位塞到 iArr 的一个 byte 里面。 sArr 元素的范围是 0~255 ， iArr 则是 0~31 。

---

外循环i2每次遍历bArr的 5 个字节，(bArr.length + 4) / 5的意思是除以 5 向上取整。内循环i4遍历这 5 个字节，依次填入sArr的 5 个元素当中。（末尾）空缺部分填 0 ，i3表示这个 5 字节块里实际有几个非填充字节。

sArr里的 5 个字节里每 5 个位放进iArr的一个元素，刚好放满 8 个元素。

不妨把这个while改写成for：

int i6;
for (i6 = 0; i6 < 8 - m22481a; ++i6) {
   // this.f90491a 应该就是 Base32 alphabet
   // 根据 alphabet 可以区分它是 Base32 的哪种变种
   char charAt = this.f90491a.charAt(iArr[i6]);
   // this.f90493c 为真的情况下转为小写
   if (this.f90493c) charAt = Character.toLowerCase(charAt);
   byteArrayOutputStream.write(charAt);
}
// this.f90492b 为真的情况下末尾填充等号字符
if (this.f90492b) for (; i6 < 8; ++i6) byteArrayOutputStream.write('=');

结合上面的int m22481a = m22481a(i3)，m22481a的功能应是，根据这个 5 字节块实际占了几个字节，计算对应的 8 个 Base32 符号里实际需要几个。所以这部分就是先输出确实被原输入用到的部分的 Base32 字符，然后可能末尾填充等号字符。

[n0099]

经典baseXX n0099/open-tbm#24 (comment)
回顾经典之 https://github.com/qntm/base65536

[lumina37]

@yangbowen 感谢解读，刚验证了一下发现m22480b确实就是base32

import base64

src = b''.join(i.to_bytes(1, 'big', signed=True) for i in [-78, 27, 22, -23, 76])

print(base64.b32encode(src).decode('ascii'))

输出

WINRN2KM

[yangbowen]

顺带一提，代码不要发图片就好了……因为文本方便一点点手动变换，图片就只能看着。

[lumina37]

记个笔记

使用以下frida脚本追踪12.x版本中生成cuid_galaxy2的关键函数com.baidu.tieba.pz.a(byte[])->byte[]
用于校验第三方实现的正确性

import sys

import frida

jscode = """
Java.perform(function () {
  var C19380sz = Java.use("com.baidu.tieba.sz");
  C19380sz["a"].implementation = function (c3121b, i, i2, i3) {
    console.log('a is called ' + 'i: ' + i + ', ' + 'i2: ' + i2 + ', ' + 'i3: ' + i3);
    console.log('c3121b:');
    logc3121b(c3121b);
    var ret = this.a(c3121b, i, i2, i3);
    console.log('a ret value is ' + ret);
    return ret;
  };

  var C17942pz = Java.use("com.baidu.tieba.pz");
  var inst_pz = C17942pz.$new();
  var buffer = Java.array('byte', [54, 57, 51, 67, 48, 55, 50, 56, 49, 54, 56, 48, 69, 55, 51, 68, 69, 69, 48, 57, 51, 57, 54, 52, 50, 66, 52, 53, 57, 69, 53, 57]);
  var res = inst_pz.a(buffer);
  console.log('res is ' + res);

  function logc3121b(c3121b) {
    var a_field = c3121b.getClass().getField('a');
    var a = a_field.get(c3121b);
    var buffer = Java.array('long', a);
    for (var i = 0; i < buffer.length; ++i) {
      console.log('a: ' + buffer[i]);
    }
    var b_field = c3121b.getClass().getField('b');
    var b = b_field.get(c3121b);
    console.log('b: ' + b);
    var c_field = c3121b.getClass().getField('c');
    var c = c_field.get(c3121b);
    console.log('c: ' + c);
  };
}
);"""


def on_message(message, data):
    print(message)


process = frida.get_remote_device().attach('百度贴吧')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

期望输出

m41293a is called i: 8, i2: 32, i3: 0
c3121b:
a: 283472090
b: 1
c: false

m41293a is called i: 0, i2: 32, i3: 1
c3121b:
a: 4164714771
b: 1
c: false

m41293a is called i: 1, i2: 32, i3: 1
c3121b:
a: 2539511983
b: 1
c: false

m41293a is called i: 7, i2: 32, i3: 1
c3121b:
a: 3149251330
b: 1
c: false

res is -78,27,22,-23,76

[n0099]

所以到底什么是-78, 27, 22, -23, 76或者说b2 1b 16 e9 4c或者说WINRN2KM？百度统计拿这个固定的magic num来跨域tracing吗？

顺带一提，代码不要发图片就好了……因为文本方便一点点手动变换，图片就只能看着。

建议立即使用 https://open.youtu.qq.com
与此同时我还在研究如何使用百度paddleocr/imagemagick/opencv赋能google tesseract从而实现对tbm中5.25m张存量图片的ocr任务

[lumina37]

所以到底什么是-78, 27, 22, -23, 76或者说b2 1b 16 e9 4c或者说WINRN2KM？百度统计拿这个固定的magic num来跨域tracing吗？

只是一个测试用例

[lumina37]

cuid_galaxy2 和 c3_aid 的C实现 _cuid.c

[HuanCheng65]

@Starry-OvO 您

[n0099]

Starry-OvO/aiotieba@d916647 (#95) starry神发威了！

[lumina37]

z_id来源于一个动态加载的dex

使用如下frida脚本跟踪xytk的写入位置

setImmediate(function () {
  Java.perform(function () {

    function printStack() {
      Java.perform(function () {
        var Exception = Java.use("java.lang.Exception");
        var ins = Exception.$new("Exception");
        var straces = ins.getStackTrace();
        if (straces != undefined && straces != null) {
          var strace = straces.toString();
          var replaceStr = strace.replace(/,/g, "\r\n");
          console.log("=============================Stack strat=======================");
          console.log(replaceStr);
          console.log("=============================Stack end=======================\r\n");
          Exception.$dispose();
        }
      });
    }

    var sp = Java.use("android.app.SharedPreferencesImpl$EditorImpl");
    sp.putString.overload('java.lang.String', 'java.lang.String').implementation = function (arg1, arg2) {
      if (arg1 == "xytk") {
        console.log("[SharedPreferencesImpl] putString -> key: " + arg1 + " = " + arg2);
        printStack();
      }
      return this.putString(arg1, arg2);
    }

  });
}
)

命令行执行

frida -U -l .\hook_sp.js -f com.baidu.tieba_mini

期望结果

[SM-G988N::com.baidu.tieba_mini ]-> [SharedPreferencesImpl] putString -> key: xytk = 0557B1C261E824D33D06755C3E0F12019B
=============================Stack strat=======================
android.app.SharedPreferencesImpl$EditorImpl.putString(Native Method)
com.baidu.sofire.x0.cCooCCCcCoCc.CcooOoocOOo.OoccOCcoCCcC(SofirePreferences.java:234)
com.baidu.sofire.x0.occOOOOOoOo.CcoOOcCOOo.CcooOoocOOo(CommonUtilPartC.java:252)
com.baidu.sofire.x0.occOOOOOoOo.ccOcCOooOOcO.OoccOCcoCCcC(CommonUtilPartG.java:76)
com.baidu.sofire.x0.OCoOCOoOoO.CcooOoocOOo.OcCOcOOoCC(NetworkEngine.java:418)
com.baidu.sofire.x0.OCoOCOoOoO.CcooOoocOOo.OoccOCcoCCcC(NetworkEngine.java:876)
com.baidu.sofire.x0.oocOcccccoo.OoccOCcoCCcC$4.doRun(EnvironmentDetector.java:381)
com.baidu.sofire.x0.occOOOOOoOo.OoccOCcoCCcC.OcCOcOOoCC.run(SecRunnable.java:28)
java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1167)
java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:641)
java.lang.Thread.run(Thread.java:764)
=============================Stack end=======================

[SharedPreferencesImpl] putString -> key: xytk = WD_wOVfkMMmJuGnfuZp1UPzOQktsyALDjZmB6X8O-OyLB2seIIIefMBVt2DaHkor4a996ny0ExBFNBIve2IANIg
=============================Stack strat=======================
android.app.SharedPreferencesImpl$EditorImpl.putString(Native Method)
com.baidu.sofire.x6.OoccOCcoCCcC.ccoooCoooOoO.OoccOCcoCCcC(SofirePreferences.java:98)
com.baidu.sofire.x6.oCOCcooCCoC.CoOOccCoooOO.OoccOCcoCCcC(PolicyUtil.java:282)
com.baidu.sofire.x6.occOOOOOoOo.OOCoOOOoOo.OoccOCcoCCcC(HandleZidChecktor.java:192)
com.baidu.sofire.x6.occOOOOOoOo.CcoOOcCOOo$7.OoccOCcoCCcC(RpSD.java:343)
com.baidu.sofire.x6.oCOCcooCCoC.OcCOcOOoCC.OoccOCcoCCcC.run(FinRunnable.java:28)
java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1167)
java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:641)
java.lang.Thread.run(Thread.java:764)
=============================Stack end=======================

[SharedPreferencesImpl] putString -> key: xytk = WD_wOVfkMMmJuGnfuZp1UPzOQktsyALDjZmB6X8O-OyIBQ8Zk8ovoGfiqZfHiPuBae_yTWe-AQ6v4X1y5WT5mTw
=============================Stack strat=======================
android.app.SharedPreferencesImpl$EditorImpl.putString(Native Method)
com.baidu.sofire.x6.OoccOCcoCCcC.ccoooCoooOoO.OoccOCcoCCcC(SofirePreferences.java:98)
com.baidu.sofire.x6.oCOCcooCCoC.CoOOccCoooOO.OoccOCcoCCcC(PolicyUtil.java:282)
com.baidu.sofire.x6.occOOOOOoOo.OOCoOOOoOo.OoccOCcoCCcC(HandleZidChecktor.java:192)
com.baidu.sofire.x6.occOOOOOoOo.CcoOOcCOOo$4.OoccOCcoCCcC(RpSD.java:245)
com.baidu.sofire.x6.oCOCcooCCoC.OcCOcOOoCC.OoccOCcoCCcC.run(FinRunnable.java:28)
java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1167)
java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:641)
java.lang.Thread.run(Thread.java:764)
=============================Stack end=======================

[lumina37]

留档

我的评价是：客户端参数还原的最后一座高峰

动态加载的dex位于/data/data/{PackageName}/files/.tmp/1-4.1.4.2.zip改成apk之后直接jadx打开，组装逻辑位于函数com.baidu.sofire.x6.occOOOOOoOo.OOCoOOOoOo.OoccOCcoCCcC

xytk的赋值位置有两个，不要搞混了，上面这个才对应permanent zid

zid的原始请求json

{
    "1": "",
    "2": "com.baidu.tieba_mini",
    "3": "",
    "4": "3B92F4025F6181B37BC2CEF5F2129E67|0",
    "5": "1007113",
    "6": 1675172431954,
    "7": "",
    "8": "740017",
    "9": "x6",
    "10": "4.1.4.2",
    "11": "",
    "12": "",
    "13": 1,
    "14": 1,
    "module_section": [
        {
            "token": "3B92F4025F6181B37BC2CEF5F2129E6782",
            "ut": "3B92F4025F6181B37BC2CEF5F2129E6782",
            "magic": "wwqlDj6YyE4ApMIxMZ71EnutjiF7T8TV5yFxuJDK5cW6/4qlvKK/NcaeTe75bkx5B",
            "token_rt": "",
            "mz": "3B92F4025F6181B37BC2CEF5F2129E67|0",
            "ds": "2",
            "zid": "3B92F4025F6181B37BC2CEF5F2129E67|0",
            "act_st": "0",
            "chn_st": "0",
            "os_ver": "28",
            "reason": {
                "1": 1,
                "2": 0,
                "3": 1675172431951,
                "4": 3
            },
            "tp": "3",
            "tk": "3B92F4025F6181B37BC2CEF5F2129E6782#",
            "pd": "2956",
            "lrc": "0",
            "cc": "",
            "lre": "",
            "ipo": "1",
            "rmf": "00116751724240000201190040869",
            "15091": "0",
            "15082": "00116751724240000201190040869",
            "15083": "f6rdan-CDAkamjZZ7dCC9qVOJRAyY4IWYEPabHpcPLmufa_UWcV8zo8X3PdqiFA3IsHJSdnyHhvH7YMba9hOyaAScKB42zHlJ6qyU56xkFSB0kd_K_ac1HnzQ-j4L7K75x1WN1KBlulNfnKdcmEbcm2xfXhD8Fo0UD4e37iPnKY=",
            "15006": "1",
            "cuid": "693C07281680E73DEE0939642B459E59|VWINRN2KM"
        }
    ]
}

返回

{
    "token": "r92Z-2hhGHdoYCdoL9R18qAF6RX2s9wPlercbXOz2CYyjiSg2T6kNQChNaR4tarmYcaeax52Eqp_99DtsINspOg",
    "st": "56",
    "ver": "4.0.1",
    "nc": "0",
    "nt": 5,
    "op": 4,
    "da": [
        1,
        6,
        1
    ],
    "saws": "",
    "mts": "",
    "rmf": {
        "1": "",
        "2": "00116752376740010102449993047",
        "3": "cjm5Cxku3MV7co8HruoUQdFLrAk50M_sQxqjOM64vGEZTiL0FJldgebGDOMjuOBgaNapHDJCadFeM7xlV83ceoZk2v267GAF3urTv2KXV50="
    }
}

完整头部

  | POST /c/11/z/100/740017/1675172431/20a5e64ec9f17dd99c54c2ae7c514154?skey=%2F9YOITK4o%2FXrqthrWLm2%2Bg%3D%3D%0A HTTP/1.1
-- | --
x-device-id | 76e4d5ab08d1ec631f79e881095e0dfe
x-client-src | jar
User-Agent | x6/740017//4.1.4.2
Pragma | no-cache
Accept | */*
Content-Type | application/x-www-form-urlencoded
Accept-Encoding | gzip
Accept-Language | zh
x-sdk-ver | sofire/3.3.9.8.2
x-plu-ver | x6/4.1.4.2
x-app-ver | com.baidu.tieba_mini/
x-api-ver | 28
Host | sofire.baidu.com
Connection | Keep-Alive
Content-Length | 608

[n0099]

com.baidu.sofire.x6

https://github.com/n0099/open-tbclient/commits/src/com/baidu/sofire 在哪儿？

动态加载的dex位于/data/data/{PackageName}/files/.tmp/1-4.1.4.2.zip

所以是要运行时启动客户端后才会在app-specific storage里生成这个.zip.dex？疑似jvm元编程之asm hack
但即便是元编程他也会有藏在某处的生成代码如 https://en.wikipedia.org/wiki/Quine_(computing) ，除非他直接从百度服务端下载一个.zip.dex文件，那用户断网时首次启动客户端怎么办？

另外我已经基于starry神所提及的jadx对210个历史版本客户端提取了.proto文件，对260个客户端提取了所有.java文件以供阁下方便通过git toolchain查阅参考代码变迁