某宝APP数据爬( 二)hook x-sign算法解密分析

网上有不少资料可以参考具体逆向分析到app中那个方法也就不再重复，直接说思路过程：
参考资料：吾爱**大师的 MtopSDK逆向分析

工具：木木模拟器、jadx-gui、手淘APP9.13.0、Charles、xposed
先上几个图：



仔细琢磨上面说的参考资料结合jadx分析看到上面图片上的代码。
再抓包取任意页面的包取出资料和请求头中包含的x-sign、x-sgext、x-mini-wua。。。等信息看一看、分析一下然后去逆向app中找方法分析。
再把jadx分析的签名方法抽出来写成js ，我这边是通过python调用js 传参获取出 签名。
在测试js获取出来的签名是否可以成功获取到数据。下面是调用一次接口获取到的签名数据
{
wua: “FKr2_DmXgvslIZkzhfKjBuiMWTAuRxH4JVyYwM1SgFCfGD4T28iKOhL830o7xTyxXi833x+gWBp8g5UWnxy8CoTRHG9NX5UwaFok8WYHM1ftRXGRr7z4FSWJWsAYnuN+5mJWcDuPV3eItUNl+u18ypOHG5eu/q3jEJ+IfCUOfb2qjS/+PNJzCRKeGhLvt7W5udQp/HdB7wld16IzdgbLat+2MEcYJ3+1E+W8Z7j6jo/N3nsxEpXmWcWhmRSoHxXEuZIkYUPjNaQtQakSLxpp2OajdaDSBUhOysbfD+RFv95KQsJOSbH7J6+m/8vBVsebH0VqgnhyJjPQIIisbQyLUpPhZL2zw+TXFHe54+tKzHlk4yXhesLElXTdFy0MbTeiDr3/17R8KVb9lUatf5ITpT2weFg==”,
x-mini-wua: “HHnB_6GmTtOeuwdkCMKyhCgL8CDkahxEQtQNxrcsSVJJ7yx77w9HVsWA4610tcKU+/Qzcs70PR6plS3AWwnQFyvRfDRbH+/7W/nZ7j2P4FItFgRAb0lzQZqA7DVHBdxA75x8Q”,
x-sgext: “JAG7pXI5ds78b0CE23FM7Q==”,
x-sign: “azYBCM002xAALfdUCwyFS/3t+5vyaodd/vWOaADDOHStGiPqD2lE+dFwxAqi0739gh+DwVWNiUAUVzNRp2SzGiVqJs33bfdd9233Xf”,
x-t: “1602081910”,
x-umt: “pH1Lf4NLOkJi0zV1WOSqB1QnScotB+He”
}
成果展示见上一篇帖子。表述粗糙，有需要的童靴可以私我交流方法。

需技术支持+vx：htmlparser