aihuo111 发表于 2020-9-9 07:04:28

这也许是史上最牛逼,最简单的cloak方法,适用于FB google ads

本帖最后由 aihuo111 于 2020-9-10 21:34 编辑

本人从15年就一直坚持自己写cloak程序.我是程序员小白一个,有思路,没技术,只会写简单的,难的问别人.
抛开各种php判断,JS判断,硬件判断,ISP判断
今天就说一个点.可以杀死所有bot和防止spy

Google V3验证
大家应该都见过Google V2了,页面里出现谷歌验证码,问你是不是人类,还要让你识别各种图片,这个就是Google V2

那么Google已经升级到Google V3了,V3最厉害的地方是...在页面里,你看不见它.没有按钮,也不会问你是不是人类,也不会让你识别图片.它默默的在后台就判定你是不是人类了.用户体验非常好.

Google V3 是按分数评分的.

从1分-10分
你可以根据google V3得出的分数,做出相应的跳转. 例如js判断 如果分数大于或等于5分,就带个cookie跳转到你的邪恶页面,否则跳转到温柔页面.

bot机器人 得分是1分,偶尔几率会有3分,但不会超过3分,相信我..(google自家的机器人,FB机器人,都是这样的低分)

那么真人会不会有这样的低分呢....?

指纹浏览器,当你打开指纹浏览器的时候,分数也是1-3分这么低..(你还敢用指纹浏览器EMU google adsense.找死呀.)
当然.....你的新电脑就会有.

有些人可能知道google v3分数,认为这分数不靠谱.不靠谱的原因是它的分数总是在变,有时候3分,有时候7分,有时候9分.

让我慢慢讲解....当你用一台新电脑,或者指纹浏览器 打开页面时,你的分数很低,1到3分.
接着你去google搜索里搜索了一个关键词.你的分数突然飙到7分了. 然后你又刷新了一下.可能就变成9分了.再刷新一下,可能变成3分,可能变成7分.
google知道你是真人,但它认为你是一个刚出现在互联网上的新人,暂时无法对你过多评价,无法根据你的当前行为给出好评分. 这时候你的分数是摇摆不定的,上下浮动很大的...

然后你在google浏览器里登录了google账户,打开了gmail邮箱,打开了youtube.这时候你再去刷新页面.你的分数变成9分了.接着无论你怎么刷新.9分依然坚挺在那里,永远的9分了.谷歌现在已经知道你是一位真人了..手机端呢? 老外用安卓手机的,总要去应用商店下载app吧? 要用到google账户吧? 只要登录了google账户.9分妥妥的在那里.而机器人不会用真手机的.我曾经看过日志.google的机器人.伪装的很棒.但假手机就是假手机..你见过200多核cpu的手机吗? 还有就是iphone很封闭的,cpu检测参数是空值.居然还有值出来,一看就是假iphone手机.,当然cpu核数,指纹浏览器也是可以造假出来的.不管怎么造假.分数永远达不到9分的.别说9分,7分都达不到.



最后结论就是.9分才是真人. 我FB上号的时候,设定的值就是9分.大于或等于9分跳转到邪恶页面,否则跳转到温柔页面.



跑fb的时候.随着量多了,日志也丰厚了.再去分析,发现被cloak掉的7分用户还挺多的,占了总点击的3成.这点损有点心疼,每个点击都是肉啊...
这7分用户,我是这么认为的.
1.在安卓手机端没有登录google账户,
2.平时很少google搜索
3.平时很少浏览网页(带google代码的网页)

4.一台刚买不久的新手机.
5.一定不是机器人,机器人达不到7分.

于是最后我做了修改,就限定在7分.(肉会疼,没办法)





在跑fb的时候,我各种cloak判断都没加进去.我就只用了Google V3验证.把fb审核都杀死了.我也在google ads上试过,用google自家的验证服务去对抗google ads 也是有效的.当然素材是很温柔的,LP却是很暴力的ED,你懂的..


再说说adsense,如果是诱导.强点.用这招去过滤流量.没有用的.量是干净了,用户也干净了.但是用户从哪里来,到哪里去.别以为篡改了来路就行了.大家都挂google ga统计的,大家都用google浏览器的.乖乖,大数据都在它手上....在你页面里的行为.google全都知道.最早3天,最迟12天,就能判断你的量,你的点击不行...碰谁也不要碰谷歌,玩不过它的.除非你号多,玩adsense玩黑的,就是要号多,号不多,是玩不起来的.早早退出吧..可能下个月就K了.


最近发现用google浏览器做的指纹浏览器,也不行了.针对google是不行了.如果想批量养Gmail邮箱就要小心了.不是自家正统浏览器去登录自家产品,很危险.最好用火狐的指纹浏览器吧.


google的分数虽然是1-10分.
但目前我搜集了上百万的数据发现..google的分数,其实只出现几个1分,3分,7分,9分就这四个上百万的数据还没看见过2分,4分,5分,8分,10分的.
所以,很好判断,也更好看清了.就这4个分数 1,3,7,9

1分代表 绝对的垃圾
3分代表 你当前行为还不算过分
7分代表 你是真人,但我还不够了解你
9分代表 你是一位绝对的真人.我很了解你.

分数上下浮动很大,代表你还没使用谷歌服务
分数稳定在9分,代表你已经在使用谷歌服务.

附送一个在线查看自己分数的google v3验证 https://recaptcha-demo.appspot.com/recaptcha-v3-request-scores.php

修正下..上面说的1-10分.有点误解.其实是0-1分 0.1,0.3,0.7,0.9

看了大家的回复.看来以后v3会对emu行业有冲击.

先到这里吧.下次再讨论其他cloak技术

有兴趣的可以找我交流,我的vx aihuo_111



Chord 发表于 2020-9-9 16:50:32

我觉得如果不清楚具体谷歌backend的逻辑 只靠猜来调整分数来cloak这个就是玄学了。:'(:'(
不过楼主分享精神还是很赞的
我理解的cloak 想要把审查人员给排除掉是很困难的 尤其是你投放美国,审核人员也是美国。他用他自己的生活环境来测试你如果你的cloak是完美的 拿他肯定要进去看到你的money page.

所以cloak更多还是要在于强逻辑把调试环境和bot给过滤掉,其他的更多可能是通过操作来延长被审核人员发现的时间(比如不跑美国,错开工作时间等等)
然后对于单纯的过滤bot和调试环境,除了常见的js fingerprint, ip, http header 的过滤条件,这几个也可以研究下Http2 fingerprint,TCP/IP fingerprinting, SSL/TLS fingerprinting (我们没做。但是理论上应该是可以作为cloak的点的)不过要做上面的fingerprint, 就不好用类似cloudflare的反向代理服务了。

testman 发表于 2020-9-9 10:19:50

蜘蛛 发表于 2020-9-9 10:14
我测试完也都是 0.9

这个就是个demo,不是测实际分数的。 NOTE:This is a sample implementation, the score returned here is not a reflection on your Google account or type of traffic. In production, refer to the distribution of scores shown in your admin interface and adjust your own threshold accordingly. Do not raise issues regarding the score you see here.

user 发表于 2020-9-9 08:06:18

这个方法厉害了,间接也可以放到防采集,风控等上面 用途很多啊

54clz 发表于 2020-9-9 08:07:51

:):):):):):)

tony11 发表于 2020-9-9 08:20:33

这个不止fb,其他也能用

archangels 发表于 2020-9-9 09:10:42

我测试了,怎么所有浏览器都是0.9,指纹浏览器的也是0.9
{
"success": true,
"hostname": "recaptcha-demo.appspot.com",
"challenge_ts": "2020-09-09T01:08:25Z",
"apk_package_name": null,
"score": 0.9,
"action": "examples/v3scores",
"error-codes": []
}

willok 发表于 2020-9-9 09:32:52

学习了,感谢分享

第零句对白 发表于 2020-9-9 09:40:55

{
"success": true,
"hostname": "recaptcha-demo.appspot.com",
"challenge_ts": "2020-09-09T01:26:04Z",
"apk_package_name": null,
"score": 0.9,
"action": "examples/v3scores",
"error-codes": []
}                  
我的也是0.9:lol

testman 发表于 2020-9-9 10:14:13

{
"success": true,
"hostname": "recaptcha-demo.appspot.com",
"challenge_ts": "2020-09-09T02:13:48Z",
"apk_package_name": null,
"score": 0.9,
"action": "examples/v3scores",
"error-codes": []
}
这个好像不太准啊。 我的也是0.9

蜘蛛 发表于 2020-9-9 10:14:45

testman 发表于 2020-9-9 10:14
{
"success": true,
"hostname": "recaptcha-demo.appspot.com",


我测试完也都是 0.9

蜘蛛 发表于 2020-9-9 10:24:43

testman 发表于 2020-9-9 10:19
这个就是个demo,不是测实际分数的。 NOTE:This is a sample implementation, the score returned here i ...

哈哈,恩研究一下 怎么搞

aries910 发表于 2020-9-9 11:05:17

有两个问题啊
gg的这个服务是免费开发给用的么
还有LZ说的这个这个指纹浏览器是啥,有大佬给个链接下载来试试么

jtq403 发表于 2020-9-9 11:15:23

卧槽牛逼

老刘 发表于 2020-9-9 12:51:23

本帖最后由 老刘 于 2020-9-9 12:58 编辑

30%误杀,这真的是宁可错杀一千。。。

分数设置7以后,流量损失多少?

紫气东来GG 发表于 2020-9-9 13:18:27

Google:今晚我把自己的ip都定为9分
FB:大哥,通融一下把我的ip定为7分呗:lol
页: [1] 2 3
查看完整版本: 这也许是史上最牛逼,最简单的cloak方法,适用于FB google ads