本篇旨在通过研究三角洲外桂与相关术语,为读者分享我个人对于一些灰产信息搜集的经验与流程,本文仅侧重信息搜集与分析角度。
核心目标是:1. 找到外桂软件 2. 优化开桂成本使最低
信息搜集的前期要素
本文的核心是围绕三角洲手游外桂的内容,因此核心准备有以下几点:
一台手机,根据个人进行购买,建议是花最少的钱买最好用的手机(也就是性价比最高的二手手机)
刷ROOT,如果你不懂什么是ROOT,建议自行补充相关知识与教程
安装相关模块等,并对手机进行一定伪装,防止三角洲检测到异常环境
科学上网,V2rayN,Clash都可以
安装Telegram并注册账号(我记得一年前国内手机号还能随意注册,现在国内手机号必须交钱才行了)
外桂软件的搜集与使用
如果读者选择从咸鱼上进行购买,也是可行的,一般会发一个apk安装包附带一个有时效性的通行码,只需要安装外桂程序后并给予root权限,就能开始使用。但本篇从信息搜集角度讲,肯定是不建议这样操作的,这里仅提起该姿势(毕竟从目的角度讲是相同的)
这里着重介绍Telegram上如何进行搜寻:
首先,由于Telegram本身是没有搜索机制的,仅能通过准确用户名搜索到对应用户,而没有搜索引擎进行模糊匹配等,因此我们需要先添加一个搜索机器人,例如极搜等。如果读者已经长时间接触Telegram,自然会发现相关广告并添加了该机器人
然后,开始搜索三角洲手游关键词等内容,一般情况下,会搜寻到各种发卡网,这里所有的外桂均类似于从咸鱼购买,我们需要找到更好的外桂,这里可以搜寻公益外桂相关关键词,即可以找到一些聊天记录,例如在某个群组中,某人提到了某个关键词。
得到关键词后,我们可以通过该关键词找到目标公益外桂群组,或者是近似群组
或者是有些人分享出过去版本的外桂,可以下载运行后,发现作者一般会留下相关群组的名称,可以直接搜寻加入
这里列举出到目前为止加的一些群组和外桂名称:
- 林羽
- 美国
- 黑雪
- 六花
- Dra
- 牛逼哥
都是公益的桂,可以通过群组的聊天记录直接下载最新的sh文件,并通过MT管理器给予root权限后运行,关于安装部分,实际上各群组并没有给出相关非常详细的安装流程与运行流程,毕竟都是公益了,所以得自己琢磨。而在交流群组中也是相同的,一般很少会有好心人指导如何去安装使用,更多的则充满戾气吧(个人体感),要么就是蔑视感十足的发话,要么就是半瓶水响叮当的争吵,和传统的技术交流群完全不同
当然,到这里,外桂就可以使用了…吗?并不能,因为如果手机并不是先天体质,很有可能会出现若干新的问题,秉持着出现问题,解决问题,下面将并非是线性地进行解释,而是更倾向于在遇到的诸多问题后的个人理解,以及相关术语的解释,并非完全正确,请辩证看待
各术语黑话以及个人解释
此处解释为发散性解释,即个人想到哪些写哪些。由于各术语并没有一个非常权威的资料进行总结,因此只能看个人理解以及各群组成员的聊天中进行辅助理解
过验证
此术语频繁出现在 林羽 公益辅助中,其含义为使用林羽辅助的过程中,程序会先检测是否过了telegram验证,即是否加入了林羽的群组,但是在部分情景下安装telegram不方便,因此林羽实际上在群组的最早期就发放了过验证.sh,需要自行向过往的群组文件记录进行查询得到。而 美国 公益辅助中,则是在一定时间内需要在目前群组发送验证数字
纯C
system call,即辅助使用纯C语言编写,通过系统调用在内核态进行读取,而三角洲手游的权限默认在用户态,因此高打低,显然难以检测
内核
通过各种驱动直接在内核态进行读取内存,甚至修改内存,而因为本身处于内核态,因此行为更难以被检测到
下发
当账号出现异常时,会被服务器下发检测文件,此时原本的辅助解密算法将失效,一般会导致聚框的情况发生。解决方案一般是挂端口,或者是清理环境,清理下发文件
端口
类似于开启了一个代理,具体原理暂且不明,能够解决下发导致的聚框问题,甚至能够在一定程度上防止封号,但是技术细节在多个群组中询问无果
裸奔
即不挂端口,此时缺少端口提供的防护能力,容易导致封号
加解密聚闪框
加密 顾名思义是对敌人坐标进行了加密,不能直接读取到具体坐标
解密 则是作者通过分析后知道了加密算法,从而进行解密得到具体坐标
聚框 一般出现所有敌人都遁入地下的情况,此时一般是因为下发导致原本读取坐标的位置发生了改变,而辅助依旧解密原地址,从而导致所有敌人处于一个不变的奇怪的位置,或是位置错乱
闪框 一般是环境异常,或者是辅助读入了陷阱地址,导致所有敌人在屏幕上乱闪,若不及时停止辅助,可能导致封号
拉闸和谐
两个词一个意思,表示某个辅助无法继续使用,类似于熄火了,需要等待作者进行更新。或者是因为官方暗改了加密机制,或者是大版本更新,导致某个或全网辅助都无法使用了
数据号
需要通过专用的上号器进行上号,每个数据号的格式为#access_token=XXX&otherparams,优点是价格便宜,能够以极低的价格买到资产相当高的账号,缺点就是几乎只能一次性使用,若目标账户修改了密码则直接失效。这里合理怀疑这些数据号是通过类似于直播间扫码代肝任务等渠道将一些受害者用户的账号数据进行售卖,也就是黑号。
冻结
账号在不同设备登录是概率触发保护,从而引发账号冻结,如果是数据号则直接使得该数据号几乎失效,如果是自己的账户,则需要通过ACE小程序进行解冻操作。对应的术语有 防冻结 模块,但是价格过于昂贵,因此没有试用过,貌似是可以让一些数据号不被冻结。
最后的总结与感受
类似于外桂这样的灰产信息,其搜寻难度是远高于普通信息的。对于某个正规软件,或者是常见科技术语,都能通过搜索引擎,或者目前的大模型,再不济也能通过加入一些相关交流群,都能很好获得这些术语的定义与解释。但是在灰产信息中,这些术语黑话很多人都在说,但是很少人知道其中具体的含义与实现细节,更多的人只知道如何使用,比如知道挂端口能够防护聚框,能够解决下发问题。同理,如何去理解这些术语,又需要花费一些成本去实际体验才能摸索其具体含义。与开源社区更不同的是,其中的交流氛围是极其恶劣的,几乎很难去与大部分人进行交流。
最后这里也算是水了一篇文章吧,后续如果有机会,说不定会研究一些具体的细节,但是因为我并从事安卓逆向相关的内容,因此还是先这样了吧。