douyin 六神x-helios / x-medusa解密记录学习

在某音新版本的抓包中，经常会遇到两个熟悉的字段x-helios ，x-medusa，它是新版本中风控的重要组成部分。

通常而言，我们可以使用像frida，unidbg来模拟计算出六神参数，比如说我们随便找一个23.9版本生成一个：

'X-Helios': 'RcuADv+pS6hIYDBIqK1cQvarDeE8ACQEGdfgGaKget3cvOfw',

'X-Medusa': '6ZQXZd34ggne5k3+D0AKACMsbkMV3IsRuj1JKGwOU3A2XuJzxMitXYnD5YLxpy22q3aQvuZAvrwbeJTckiPghDoJn2CUnPi5O2WHBgqLRvIYpks2rQQgLMVqU1P6pjRNsXXkZ9b8q7Hu2CCyevG/z54gwFA6BWWtiH7UeFijIjfA13bNQWUtnKj4n03QvFzXi9vnljbWRAfokG39ii+8bSw3sziqef6s8jVTKYf1R86oAjF9rs27tWeJ0hh7txGPrfkA27iqsmh6G71X2VDqYEEMnH19PNnihLXluULfG5j7d5d6Vcv6D4lJy52UCmUifyvSSCjBCdEuHuALi25Xn/mBhpOX+hFvk3aWRfbZbxXBY2VVzIMq/FHkquSbhedCkkT65CtuM6gvWoBwv2WyQ57qj1YpEg=='

但很少有人注意一点就是，六神参数既然是计算生成的，当然也可以被反推解密出来。

还是上述那个加密值，以x-medusa为例把它给反推倒下，在pb结构体中 "7" 字段的值 就代表了app的版本号。

同样的也可以反推倒出来请求的时间戳，以x-helios为例，

{'secret_key': 'xhelios', 'ts_time:': '1696044267', 'aid': '1128'}

很明显ts_time就是请求的时间戳，aid 就是抖音的渠道分发号。

所以。。。。劝大家不要。。。要遵纪守法，做一个良好的公民。