一、基础编码类算法

1. Base64编码

• 数据特征：长度通常为4的倍数，包含A-Za-z0-9+/=字符，常有==或=结尾

• 位置特征：HTTP Basic认证头、图片Data URL、JSON中的长字符串字段

• 网络特征：Content-Transfer-Encoding: base64响应头

1. 简单数据混淆：API参数轻微混淆，如data=SGVsbG8gV29ybGQ=

2. 图片内联：<img src="data:image/png;base64,iVBORw0KGgo...">

3. 认证信息：Authorization: Basic dXNlcjpwYXNz

• 在线工具：CyberChef、Base64解码器

• Python库：base64、binascii

• 浏览器：atob()/btoa()函数

2. 十六进制编码

• 仅包含0-9a-fA-F字符，长度为偶数

• 可能有0x前缀或:、分隔符

• 常见于颜色值、MAC地址、内存数据表示

1. 颜色代码：CSS中的#FF5733

2. 硬件标识：00:1A:2B:3C:4D:5E

3. 简单ID混淆：数据库ID用十六进制表示

二、哈希算法类

3. MD5/SHA系列哈希

• 固定长度：MD5(32字符)、SHA1(40字符)、SHA256(64字符)

• 字符集：十六进制小写（有时大写）

• API签名：参数排序后哈希，常用于防篡改

1. API签名验证：sign = md5(api_key+timestamp+secret)

2. 密码存储：password_hash = sha256(password + salt)

3. 文件校验：下载文件的MD5/SHA256校验和

4. 请求防重放：nonce+timestamp的哈希

1. 彩虹表攻击：针对无盐哈希，使用预计算的哈希-明文对

2. 字典攻击：针对简单密码

3. 重放攻击：直接复制有效签名（需注意时间戳/nonce）

4. 算法重现：分析JS代码，重现签名逻辑

三、对称加密类

4. AES加密

• 数据特征：密文长度为16字节倍数，Base64编码

• 密钥特征：128/192/256位密钥，可能硬编码或动态生成

• IV特征：CBC模式需要16字节IV，常与密文一起传输

• 代码特征：CryptoJS.AES、cipher.update等关键词

1. API参数加密：请求体整体AES加密后发送

2. 本地存储加密：LocalStorage敏感数据加密

3. 实时通信加密：WebSocket消息加密

4. 文件加密传输：下载文件解密

1. 静态分析：搜索AES、encrypt、decrypt、CryptoJS等关键词

2. 动态调试：在加密函数设置断点，捕获密钥和IV

3. Hook技术：使用Frida等工具拦截加密函数调用

4. 网络分析：捕获密钥交换请求（如果有）

5. DES/3DES加密

• 密钥长度：DES(56位/8字节)、3DES(168位/24字节)

• 分组大小：8字节

• 常见于金融系统、旧企业系统

四、非对称加密类

6. RSA加密

• 密钥特征：公钥包含模数n和指数e（常为65537）

• 格式特征：PEM格式（BEGIN PUBLIC KEY）、JWK格式

• 代码特征：JSEncrypt、publicKey、encrypt等关键词

• 数据特征：加密结果长度固定（与密钥长度相关）

1. 登录密码加密：前端用RSA公钥加密密码后传输

2. 会话密钥交换：TLS握手过程中的密钥协商

3. 数字签名：API请求签名验证

4. 许可证验证：软件激活码验证

1. 固定公钥：直接提取硬编码公钥，Python模拟加密

2. 动态公钥：分析公钥获取API，先获取公钥再加密

3. 密钥交换：分析完整的TLS-like握手过程

4. 绕过思路：尝试不加密的旧接口、参数污染等

五、前端特有加密技术

7. JavaScript混淆与加密

1. 变量名混淆：var _0x1a2b = ['\x68\x65\x6c\x6c\x6f'];

2. 控制流平坦化：大量switch-case结构

3. 字符串加密：运行时解密字符串

4. 代码压缩：单行、无空格、短变量名

5. 自执行函数：(function(){ ... })();

1. 格式化工具：Prettier、JSBeautify、Chrome开发者工具

2. 反混淆工具：de4js、jsnice、AST解析器

3. 动态调试：Chrome DevTools、Fiddler、Frida

4. AST分析：Babel Parser、Esprima

8. WebAssembly加密

• 加载.wasm文件或从二进制数据实例化

• 使用WebAssembly对象：WebAssembly.compile、WebAssembly.instantiate

• 性能敏感场景：大量数据加密、游戏保护

1. 定位WASM模块：查找.wasm文件请求或Blob数据

2. 导出函数分析：使用wasm2wat等工具反汇编

3. 动态Hook：Hook WebAssembly导入/导出函数

4. 模拟执行：使用WASM运行时执行关键函数

9. 浏览器环境检测

1. WebDriver属性：navigator.webdriver

2. 插件特征：navigator.plugins.length

3. 字体列表：通过Canvas检测字体

4. 硬件信息：屏幕分辨率、CPU核心数

5. 行为特征：鼠标移动轨迹、点击频率

1. Puppeteer/Playwright：模拟真实浏览器环境

2. 中间人修改：修改响应，移除检测代码

3. Hook覆盖：覆盖检测函数返回值

4. 浏览器自动化：Selenium with undetected-chromedriver

六、证书与SSL相关

10. SSL Pinning（证书绑定）

• 普通代理无法抓包（HTTPS请求失败）

• 错误信息包含证书验证失败

• 常见于移动端App、金融应用

1. 反编译修改：修改App的证书验证逻辑

2. Frida Hook：Hook SSL验证函数

3. 系统级证书安装：Root后安装用户证书到系统区

4. 虚拟机调试：在已破解的环境运行

11. 双向TLS认证

• 连接建立需要客户端证书

• 常见于银行、企业内部系统

1. 提取客户端证书：从App或浏览器导出

2. 模拟客户端：在爬虫中使用客户端证书

七、自定义加密算法

12. 自研加密算法

• 无法识别为标准算法

• 混合多种简单变换：XOR、移位、替换等

• 代码可读性差，有意混淆

1. 识别输入输出：找到加密函数入口和出口

2. 跟踪数据流：从明文跟踪到密文每一步变换

3. 提取变换逻辑：分离出XOR、置换、查表等操作

4. 重现算法：Python实现相同的变换序列

八、综合应对策略框架

标准分析决策树