上篇文章给大家推荐了一款开源的v_jstools插件,可以自动一键补全浏览器环境。
但有的小伙伴觉得,补浏览器环境其实还好说,找加密参数的加密入口反而更难一些。
那么问题来了:有一键补环境的插件,有没有方便找入口点的插件?
有,当然是有的。下面给大家介绍这款插件也是开源的,可能你们也使用过,插件名称叫篡改猴,也就是我们常说的油猴插件。
一、核心功能
这款插件功能很强大,我们主要使用它的Hook功能,然后在Hook位置插桩。简单来说,就是会监控你指定的某个参数,在这个参数进行赋值的时候,给它断点下来。
你不需要知道参数从哪里来、怎么生成的。你只需要告诉油猴:
“帮我盯着__ac_signature,它一出现,就给我断下来。”
然后刷新页面,它自己就会带你直接去赋值现场。
二、油猴插件安装步骤
请根据你使用的浏览器选择下方对应的安装方式:
| 浏览器 | 推荐方式(商店正常) | 备选方式(商店打不开时) |
|---|---|---|
| Chrome | Chrome 网上应用店安装 | 1. 下载 官方CRX文件 2. 按下方【CRX手动安装教程】操作 |
| Edge | Edge 外接程序商店安装 | |
| Firefox | Firefox 附加组件商店安装 | Firefox一般可正常访问,无需备选 |
CRX手动安装教程(适用于Chrome/Edge商店打不开时)
第一步:下载CRX文件
点击上方备选链接下载 tampermonkey_stable.crx 文件
第二步:进入扩展程序页面
Chrome:地址栏输入 chrome://extensions/ 并回车
Edge:地址栏输入 edge://extensions/ 并回车
第三步:开启开发者模式
在页面右上角找到“开发者模式”开关,将其打开
第四步:拖拽安装
将下载好的 .crx 文件,直接拖拽到扩展程序管理页面中
第五步:确认添加
松开鼠标后,浏览器会弹出确认框,点击“添加扩展程序”即可
安装后的通用步骤
- 固定插件:安装完成后,浏览器右上角会出现一个带有黑色方块的Tampermonkey图标,点击它并选择“固定”
- 创建脚本:右键点击插件图标 → 选择“添加新脚本” → 删除编辑器中默认生成的代码
- 粘贴代码:将Hook代码完整粘贴进去
- 保存启用:按下
Ctrl + S(Mac为Cmd + S)保存,确保脚本列表中的复选框为勾选状态 - 生效:刷新你想要调试的目标网站,脚本就会开始工作了
三、实战演示:Hook抖音 __ac_signature
在之前的《抖音__ac_signature参数逆向与脚本开发》这篇文章中,我们有使用到这个插件,并且成功找到了__ac_signature的赋值位置,从而找到了加密入口。
还是以__ac_signature作为演示,详细讲解一下使用方法。
1. 让AI帮你写Hook脚本
像这种cookie里面的参数,我们可以直接写一段提示词,叫DeepSeek给我写一段Hook代码:
“写油猴代码,cookie里面的__ac_signature在赋值时给我断下来”
它会直接生成如下脚本:
// ==UserScript==
// @name Hook __ac_signature
// @namespace http://tampermonkey.net/
// @version 1.0
// @description 拦截__ac_signature赋值并断点
// @author You
// @match *://*/*
// @grant none
// @run-at document-start
// ==/UserScript==
(function() {
'use strict';
const cookieSetter = Object.getOwnPropertyDescriptor(Document.prototype, 'cookie').set;
Object.defineProperty(Document.prototype, 'cookie', {
set: function(value) {
if (value.includes('__ac_signature')) {
debugger; // 命中目标,自动断点!
}
return cookieSetter.call(this, value);
},
configurable: true
});
})();
2. 安装并启用脚本
我们把DeepSeek给我们生成的油猴脚本,点击右上角的油猴图标,选择“添加新脚本”,把这个粘贴进去保存。
然后在油猴面板中勾选这个脚本,启动油猴。
3. 刷新页面,成功断下
在抖音界面刷新一下,看到代码就成功断下来了。
4. 顺藤摸瓜,找到加密入口
一般断下来的位置都是在给参数赋值,基本上离加密入口不会太远。在堆栈里面往上面跟几步,一般都会到加密逻辑。
查看右侧的“调用堆栈(Call Stack)”,沿着堆栈向上点击几层,你通常就能找到真正生成加密值的地方。
四、扩展:Hook请求头里的其他参数
除了可以Hook cookie里面的值,我们还可以Hook请求头中的其他参数,比如x-s、x-gorgon、sign等。
只需要换一下提示词:
“写油猴代码,请求头里面的x-s在赋值时给我断下来”
DeepSeek会生成对应的脚本,用法完全一样。
五、为什么不用全局搜索?
有小伙伴可能会问:为什么不直接用全局搜索?
因为很多情况下你搜不到。参数名可能是动态拼接的('__ac_' + 'signature'),可能来自服务端下发,可能藏在混淆代码里,甚至可能是在WebSocket或wasm中。
全局搜索搜不到的时候,用油猴Hook就是最直接的办法——别搜了,让它自己送上门来。
六、小结
现在逆向可以走“偷懒”路线:
- 环境检测过不去 →
v_jstools帮你一键补环境 - 加密入口找不到 → 油猴Hook帮你精准定位
两个工具配合使用,能省下你80%翻代码的时间。
文章中用到的油猴脚本,已经全部贴在上面了,复制粘贴就能用
