2020年2月

!文章中获取camf类型的解密key已不适用

原文:https://github.com/nilaoda/Blog/issues/19

例如:https://v.youku.com/v_show/id_XNDM1Nzg4MzQ4MA==.html

使用js获取的m3u8中,type为cmaf4hd3

http://pl-ali.youku.com/playlist/m3u8?vid=XNDM1Nzg4MzQ4MA%3D%3D&type=cmaf4hd3&...

观察可知,m3u8中有音频和视频两个轨道

然后音频和视频两个m3u8中,又分别包含map文件

需要做的就是将两个m3u8中的文件(包括map)都下载下来,然后使用copy /b将它们合并:

image

解密过程:

获取 key

在浏览器播放页面执行以下js代码 [ref]:

javascript:var a=prompt("key",Array.prototype.map.call(_drmKey3, n => ("00" + n.toString(16)).slice(-2)).join(""));

复制留存备用

获取视频文件KID

在视频目录执行以下命令

mp4dump.exe "蜘蛛侠:英雄远征_02.06.51.mp4" | find /I "default_KID"
default_KID = [33 41 90 a8 5a 5e 8d 0a 72 ab b9 53 08 cc 0f e5]

则KID为33 41 90 a8 5a 5e 8d 0a 72 ab b9 53 08 cc 0f e5

解密视频

mp4decrypt.exe --show-progress --key 334190a85a5e8d0a72abb95308cc0fe5:b70c5f126704b3d29cccbc87a800d1d7  "蜘蛛侠:英雄远征_02.06.51.mp4" video.mp4

解密音频

mp4decrypt.exe --show-progress --key 334190a85a5e8d0a72abb95308cc0fe5:b70c5f126704b3d29cccbc87a800d1d7  "蜘蛛侠:英雄远征_02.06.51(Audio).mp4" audio.mp4

混流

ffmpeg -i video.mp4 -i audio.mp4 -map 0 -map 1 -c copy mux.mp4

请输入图片描述

附:
http://zebulon.bok.net/Bento4/binaries/Bento4-SDK-1-5-1-629.x86-microsoft-win32-vs2010.zip

为什么会有这个需求?

如果要追踪一个js中的变量变化,一般是在开发者工具的Sources选项卡中,对js下断点。
这其中有几个不爽的地方:

  1. js文件被压缩,不方便直接下断点,一般在格式化后下断点比较方便。
  2. js文件现在越来越大,本来浏览器就已经够占内存了,在Sources选项卡进入js并格式化常常需要等很久的时间,甚至直接没有响应。
  3. 在多个地方下断点不方便,以及有的地方下了断点也进不去。

因此本方案通过Gooreplacer插件重定向特定的js请求到本地js文件来解决上述问题烦心的点。
为了本地js能够返回特定的headers,选择通过重写SimpleHTTPRequestHandler来实现,同时保证浏览器顺利请求本地文件。

以获取西瓜视频中DRM解密用的key为例

自定义返回头脚本见此或文末。
获取西瓜视频DRM解密key的关键点
地址:

https://www.ixigua.com/cinema/album/7MzYdtWv46X_7MBDgA7bPWt/

  • 打开上述地址,F12后在Network过滤js文件关键词xgplayer_encrypt
  • 可以看到该js有一些特定的返回头

请输入图片描述

  • 首先编写一个如下形式的配置文件,由于我们格式化了js,这里要去掉content-encoding和content-length,命名为config.json,实际上不需要全部的头,只需要保证有access-control-allow-origin就行

请输入图片描述
精简版配置:

{
    "host": "127.0.0.1",
    "port": 22222,
    "scripts_path": "scripts",
    "vendors~xgplayer_encrypt.b05f677a.chunk.js": {
        "access-control-allow-origin": "*"
    }
}
  • 新建scripts文件夹,将vendors~xgplayer_encrypt.b05f677a.chunk.js放在scripts文件夹里面
  • 保存配置并执行cheat_server脚本,通过访问http://127.0.0.1:22222/vendors~xgplayer_encrypt.b05f677a.chunk.js可以看到返回头与设定的全部一致

请输入图片描述

  • 打开vendors~xgplayer_encrypt.b05f677a.chunk.js进行格式化,并在window.Module.UTF8ToString(p)前面加一句debugger;

请输入图片描述

  • 设定Gooreplacer插件重定向规则,并启用,注意不需要调试的时候记得关闭

请输入图片描述

  • 现在提前F12并刷新西瓜视频地址,等待自动进入debugger处

请输入图片描述

  • 现在愉快的拿到DRM解密用的key啦

cheat_server实现代码

完整cheat_server脚本见:
https://github.com/xhlove/cheat_server

#!/usr/bin/env python3.7
# coding=utf-8
'''
# 作者: weimo
# 创建日期: 2020-01-18 01:01:09
# 上次编辑时间: 2020-02-22 18:14:01
# 一个人的命运啊,当然要靠自我奋斗,但是...
'''
import os
import sys
import json
import chardet
import datetime
import email.utils
import urllib.parse
from http import HTTPStatus
from functools import partial
from http.server import HTTPServer, SimpleHTTPRequestHandler

def load_config():
    config = {}
    config_path = "config.json"
    if os.path.isfile(config_path):
        with open(config_path, "rb") as f:
            # 只读256是为了避免读取文件太大,虽然一般不会太大
            _encoding = chardet.detect(f.read(256))["encoding"]
        with open(config_path, "r", encoding=_encoding) as f:
            config = json.loads(f.read())
    return config

class MyHandler(SimpleHTTPRequestHandler):

    def __init__(self, *args, config: dict = {}, **kwargs):
        self.config = config
        kwargs["directory"] = os.path.join(os.getcwd(), config["scripts_path"])
        super().__init__(*args, **kwargs)

    def send_head(self):
        path = self.translate_path(self.path)
        f = None
        if os.path.isdir(path):
            parts = urllib.parse.urlsplit(self.path)
            if not parts.path.endswith('/'):
                # redirect browser - doing basically what apache does
                self.send_response(HTTPStatus.MOVED_PERMANENTLY)
                new_parts = (parts[0], parts[1], parts[2] + '/',
                             parts[3], parts[4])
                new_url = urllib.parse.urlunsplit(new_parts)
                self.send_header("Location", new_url)
                self.end_headers()
                return None
            for index in "index.html", "index.htm":
                index = os.path.join(path, index)
                if os.path.exists(index):
                    path = index
                    break
            else:
                return self.list_directory(path)
        ctype = self.guess_type(path)
        try:
            f = open(path, 'rb')
        except OSError:
            self.send_error(HTTPStatus.NOT_FOUND, "File not found")
            return None

        try:
            fs = os.fstat(f.fileno())
            # Use browser cache if possible
            if ("If-Modified-Since" in self.headers
                    and "If-None-Match" not in self.headers):
                # compare If-Modified-Since and time of last file modification
                try:
                    ims = email.utils.parsedate_to_datetime(
                        self.headers["If-Modified-Since"])
                except (TypeError, IndexError, OverflowError, ValueError):
                    # ignore ill-formed values
                    pass
                else:
                    if ims.tzinfo is None:
                        # obsolete format with no timezone, cf.
                        # https://tools.ietf.org/html/rfc7231#section-7.1.1.1
                        ims = ims.replace(tzinfo=datetime.timezone.utc)
                    if ims.tzinfo is datetime.timezone.utc:
                        # compare to UTC datetime of last modification
                        last_modif = datetime.datetime.fromtimestamp(
                            fs.st_mtime, datetime.timezone.utc)
                        # remove microseconds, like in If-Modified-Since
                        last_modif = last_modif.replace(microsecond=0)

                        if last_modif <= ims:
                            self.send_response(HTTPStatus.NOT_MODIFIED)
                            self.end_headers()
                            f.close()
                            return None

            self.send_response(HTTPStatus.OK)
            # self.send_header("Content-type", ctype)
            # self.send_header("Content-Length", str(fs[6]))
            # self.send_header("Last-Modified", self.date_time_string(fs.st_mtime))
            self.send_custom_header()
            self.end_headers()
            return f
        except:
            f.close()
            raise

    def send_custom_header(self):
        if self.path.startswith("/"):
            js_path = self.path.lstrip("/")
        else:
            js_path = self.path
        if self.config.get(js_path) is None:
            return
        headers = self.config[js_path]
        for key, value in headers.items():
            self.send_header(key, value)

    def send_response(self, code, message=None):
        self.log_request(code)
        self.send_response_only(code, message)
        # self.send_header('Server', self.version_string())
        # self.send_header('Date', self.date_time_string())

    def send_header(self, keyword, value):
        if self.request_version != 'HTTP/0.9':
            if not hasattr(self, '_headers_buffer'):
                self._headers_buffer = []
            self._headers_buffer.append(
                ("%s: %s\r\n" % (keyword, value)).encode('latin-1', 'strict'))

        if keyword.lower() == 'connection':
            if value.lower() == 'close':
                self.close_connection = True
            elif value.lower() == 'keep-alive':
                self.close_connection = False

def main():
    config = load_config()
    Handler = partial(MyHandler, config=config)
    server = HTTPServer((config["host"], config["port"]), Handler)
    print("Starting server, listen at: http://{host}:{port}".format(**config))
    server.serve_forever()

if __name__ == '__main__':
    main()

以下是手动获取key的方法:

下断点
Disable Cache

  • 此时在console执行btoa(String.fromCharCode.apply(null, new Uint8Array(i._sce_dlgtqredxx)))即可得到base64形式的key

得到base64形式的key

注意这里的界面方式是AES-ECB,并非AES-CBC
实际上和优酷是一类方法,所以请如果要用vvtoolbox_gui_series下载请选择AES-YK方法(v0.4.0版起)
然后通过支持aes解密的下载器配合key下载即可~

动图演示:

http://pan.iqiyi.com/ext/paopao/?token=eJxjYGBgmBQtsZUBBHZNkQAAFYwDIQ.gif
动图演示

使用须知

可通过赞助获取软件,并留言你的邮箱, 软件使用时间与赞助时长一致(5元/月)。
源代码20元,源代码+代码疑问解答30元(1个月内)。
地址:https://afdian.net/@vvtoolbox_dev

效果展示

请输入图片描述
请输入图片描述
保存到本地的m3u8文件与key文件,通过N_m3u8DL-CLI可以下载到本地
请输入图片描述

视频示例

好像录成hevc了,网页播放不了
[dplayer url="https://alime-customer-upload-cn-hangzhou.oss-cn-hangzhou.aliyuncs.com/customer-upload/1580664707151_avdmz4borexe.mp4" pic="" /]