数据保护和数据爬取

数据的保护和爬取好比是矛和盾。数据需要保护，但是数据产生之后会有大量的爬取需求。
如何实现数据的保护和爬取值得我们思考。

数据保护

App方面的保护

设备的注册
设备的激活
各个数据接口的sig保护或者Json和byte的转换
运维监控系统的搭建，监控用户请求异常的报警。屏蔽相关的device数据请求。

App API接口数据保护。

使用https双向验证，保证数据不能被charles、fiddler、mitmproxy给拦截到。其中android可以设置noproxy防止抓包工具抓取，ios可采用https证书来保证数据的安全。
数据sig的保护：可以通过url地址和body串联，同时使用base64加密，并且核心加密点使用so文件或者动态库，在加密的过程中so和app之间双向验证。以android举例，核心加密方法放置在secret()方法放置在A.so文件中，在apk调用A.so的secret()方法，且secret()方法中会回调apk验证签名是否正确。
token的保护：用户所分配的token和计算出来的sig，来计算tokensig。
接口请求字段的保护：请求的api接口去除基地址外，使用sig混淆，计算出sig3。
通过以上的4层加密，实现了App数据的保护。

web数据保护

web端页面基本上都可以看到源码;比如是html、css、js等。但web端的数据也有一定的数据保护策略。相关字段保存在cookie中

web 对应的web did以及对应的sid随机生成应对爬虫大规模爬取数据。
web打开网页频繁时弹出滑块验证码，实现对爬虫的拦截。其中滑块的验证码才使用aes和base64通过滑块过程计算得到相关的data,后端验证其data的正确性。其中js部分已经使用webpack混淆打包。
web页面核心数据使用指定的字体的加密。比如粉丝关注量和收藏人数等。数字会单独抽取为ttf字体，每次获取该网页时都会有不同的字体。
其中上述1和3都可以通过对应的脚本来还原对应的接口请求，滑块的保护策略逆向破解需要一点时间。

数据的爬取

提到数据爬取，基本上就需要采用数据保护的逆向过程。

App逆向实现数据爬取

主要过程

分析android和ios app，抓取对应的接口请求。android设备或者模拟器需要root，安装xposed或者蒙面，实现ssl的突破。ios设备需要越狱。
android 采用的网络框架基本上都是okhttp；ios采用的基本上AFN。
安装jadx,分析android apk，分析接口，得到加密点。
定位得到的加密点，分析url和header以及body的合并策略，分析接口请求的sig。
使用xposed或者unidebug或者frida、java、python等还原url和header以及body的合并策略或者将对应的url和header以及body送入到so中。其中调用so文件的过程中，会有so和apk之间的双向验证；比如需要apk的签名。
还原设备注册的逻辑。这个基本上对应的请求基本上都会是加密的字节流，需要使用xposed或者hook工具hook对应的方法。实现对应的设备注册。
设备风控的突破：基本上到了这里基本上是最难的一步。需要使用IDA工具来定位设备注册得到的device_id进行激活；使用IDA工具调试的时候基本上都会有遇到app异常崩溃的问题，因为apk开启了反调试的功能；防止逆向破解。

sig、设备注册、设备激活破解完成之后，APP的接口基本上就可以无限的提取数据了。但对应的得到的device_id在大批量的提取数据时，会落入运维的异常报警。当报警之后，该device_id会被封禁30分钟-60分钟。
所以使用App大规模爬取时，需要无限量的设备池子：激活的device_id。

web端数据的爬取

分析cookie，破解对应的web_device_id以及抽取随机产生sid的js脚本。
分析字体信息，实现对字体信息的动态提取。
分析滑块验证码或者点击验证码等核心逻辑，还原其激活过程。