在微信的登录请求中,有个rqt(Reliability Qualification Test)算法,在微信风控中扮演着重要角色,根据这个算法,可以对登录微信的环境可靠性进行判断,做为是否是外挂的重要依据。当然,除了这个算法,24字段里面的那么多子字段也是风控的依据。
从某个角度来说,这对安全开发者可能也是一个警示,分析的人总是前仆后继,永不会停下脚步,如果安全产品不能够迅速地调整变化,安全逻辑被分析出来也只是时间问题。攻防形势瞬息万变,双方策略的有效性总只会是一时,而对于安全防守一方来说,调整似乎总会伴随着很多问题,周期也会更长,是一个值得思考的问题。
抓包显然是没有办法看到啥的,不过我们只关心短连接,所以我们需要一个环境来触发短连接的mmtls初始化,而且我们只关心mmtls,并不关心其他的信息,所以,我们可以利用一个早期版本,理由是,早期版本可以屏蔽掉长连接,而强制使用短连接。
