最近在研究某验4逆向分析，以前没弄过这种，所以爬了很多坑，就是把分享给大家~

1.这个gcaptcha4.js需要逆向，我的方法很笨就是将_ᕶᕴᕹᕶ()这个蝌蚪文打印处来，全局替换一下，然后Unicode这种代码，同样方式处理一下，这样我们就得到了相对能看懂的代码了，然后我们就可以打断点调试了

2.这里用到了AES、RSA、MD5等算法，需要了解一下，AES和RSA这部分的代码是需要扣出来的，MD5我是自己搞了一个。

3.应用网站请求接入某验4，会返回captcha_id，然后xxxxx/load？，载荷我们能获取，加载资源，返回我们需要的，框起来的东西和箭头指的东西都是后面要用的。

4.到了关键地方了，xxxxx/verify?，这个链接是校验我们的，断点入口，我们参数先转到string然后加密，然后得到W

5.加密部分分析，有人说md5没有地方用啊，其实在AES和RSA中都有使用，在RSA中反推guid使用，在AES中生成pow_sign中使用。

6.其他的部分都是比较好弄的

7.常见的问题：

‘error’: ‘param decrypt error’ ，这个问题是W做的不对，人家没认出来你是谁
‘forbidden’ ， 认出你是谁了，但是你的参数不对，AES、RSA对了

8.某验官方比较好过，没有那么多坑，其他的应用就校验比较严格，祝好运~