驗證碼的功能一般是防止使用程序惡意注冊、暴力破解或批量發帖而設置的。所謂驗證碼,就是將一串隨機產生的數字或符號,生成一幅圖片,圖片裡加上一些干擾象素(防止OCR),由用戶肉眼識別其中的驗證碼信息,輸入表單提交網站驗證,驗證成功後才能使用某項功能。學習驗證碼的破解/識別技術,不僅可以知道驗證碼的原理,而且可以讓你知道怎樣才能防止驗證碼被破解。
最常見的驗證碼主要有以下幾種:
1、四位數字,隨機的一數字字符串,最原始的驗證碼,驗證作用幾乎為零。
2、隨機數字圖片驗證碼。圖片上的字符比較中規中矩,有的可能加入一些隨機干擾素,還有一些是隨機字符顏色,驗證作用比上一個好。沒有基本圖形圖像學知識的人,不可破!
3、各種圖片格式的隨機數字+隨機大寫英文字母+隨機干擾像素+隨機位置。
4、漢字是注冊目前最新的驗證碼,隨機生成,打起來更難了,影響用戶體驗,所以,一般應用的比較少。
為簡單起見,破解說明主要針對是第2種類型的,先來看看網上常見的這種驗證碼的圖片:
驗證碼識別一般分為以下幾個步驟:
1、取出字模 識別驗證碼,畢竟不是專業的OCR識別,並且,由於各個網站的驗證碼各不相同,所以,最常見的方法就是就是建立這個驗證碼的特征碼庫。去字模時,我們需要多下載幾張圖片,使這些圖片中,包括所有的字符,我們這裡的字母只有圖片,所以,只要收集到包括0-9的圖片即可。
2、二值化 二值化就是把圖片上的驗證數字上每個象素用一種數字表示1,其他部分用0表示。這樣就可以計算出每個數字字模,記錄下這些字模來,當作key即可。
3、計算特征 把要識別的圖片,進行二值化,得到圖片特征。
4、對照樣本 把步驟3種的圖片特征碼和驗證碼的字模進行對比,得到驗證圖片上的數字。
使用目前這種方法,對驗證碼的識別基本上可以做到100%。
通過以上步驟,您可能說了,並沒有發現如何取出干擾素啊!其實取出干擾素的方法很簡單,干擾素的一個重要特征是,不能影響驗證碼的顯示效果,所以制作干擾素時它的RGB可能低於或者高於某個特定值,比如我給的例子中的圖片,干擾素的RGB各項值是不會超過125的,所以,這樣我們就很容易去掉干擾素了。
簡單的驗證碼只有數字和字母組成,格式統一,每次出現位置固定。下面繼續深入研究識別驗證碼,這次需要識別的目標是:驗證碼有字符和數字組成,驗證碼存在旋轉(可能左右都旋轉),位置不固定,存在字符與字符之間的粘連,且驗證碼有更強的干擾素。
我們以下圖為例進行講解。
第一步:二值化。把驗證碼的部分用 1 表示,背景部分用 0 表示出來,識別方法很簡單,我們打印出驗證碼整張圖片的 RGB ,然後分析其規律即可,通過 RGB 碼,我們很容易分辨出上面這張圖片的 R 值大於 120 , G 和 B 的值小於 80 ,所以依據這個規則我們很容易把上面的圖片二值化。
再來看看上面的第三種驗證碼圖片
剛看上去,感覺很復雜。驗證碼的圖片每次背景色都不相同,且不是單色,各個驗證碼數字的顏色每次也各不相同。貌似很難二值化,其實我們打印出其 RGB 值很容易就發現。無論驗證數字顏色如何變化,該數字的 RGB 值總有一個值小於 125 ,所以通過如下判斷 $rgbarray['red'] < 125 || $rgbarray['green']<125|| $rgbarray['blue'] < 125 我們就很容易分辨出哪裡是數字,哪裡是背景。
我們能夠找到這些規律的原因是,在制作驗證碼的干擾素時,為了使干擾素不影響數字的顯示效果,必須使用干擾素的 RGB 和數字 RGB 相互獨立,互不干擾。只要懂得這個規律,我們就很容易實現二值化。
我們找到的 120 , 80 , 125 等阈值,可能和實際的 RGB 有出入,所以,有時二值化後,會有部分地方出現 1 ,對於驗證碼上固定位置顯示數字,這種干擾沒有太大意義。但是對於驗證碼位置不確定的圖片來說,在我們切割字符時,很可能造成干擾。所以,在二值化後要進行去噪處理。
第二步:去噪處理。去噪的原理很簡單,就是把孤立的有效的值去掉,如果噪點比較高,要求的效率也比較高的話,這裡面也有很多工作要做。幸好這裡我們不要求這麼高深,我們使用最簡單的方法就可以,如果一個點為 1 則判斷這個點的上下左右上左上右下左下右 8 個方位上數字是否為 1 ,如果不為 1 ,就認為是一個燥點,直接設置為 1 即可。
如上圖所示,我們使用此方法很容易發現紅色方框部分的 1 為燥點,直接設置為 1 即可。在判斷時我們使用了一個技巧,有時候的噪點可能是兩個連續的 1 ,所以我們計算這個點的 8 個方向上的值之和,最後我們判斷他們的和是否小於特定的阈值。
第三步:切割字符。切割字符的方法有很多種,這裡采用最簡單的一種,先垂直方向切割成為字符,然後在水平方向去掉多於的 0000 ,如下圖
第一步切割紅線部分,第二步切割藍線部分,這樣就可以得到獨立的字符了。但是像下面這種情況
按上面的方法會把 dw 字符切割成一個字符,這是錯誤的切割,所以這裡我們涉及到粘連字符的切割。
第四步:粘連字符切割。制作驗證碼時,規則字符的粘連很容易分割開,如果字符本身有縮放,變形就很難處理,經過分析,我們可以發現,上面的字符粘連屬於很簡單的方式,只是規則字符的粘連,所以處理這種情況,我們也使用很簡單的處理方式。當完成分割操作後,我們不能馬上確定分割的部分就為一個字符,要進行驗證,驗證的關鍵因素就是,切割下來的字符的寬是否大於阈值,這個阈值的取捨標准是,一個字符無論怎麼旋轉變形都不會大於這個阈值,所以,如果我們切割的塊大於這個阈值,就可以認為這是一個粘連字符;如果大於兩個阈值之和,就認為是三個字符粘連,以此類推。知道這個規則後,切割粘連字符也就很簡單了。如果我們發現是粘連字符塊,直接平分這個塊為兩個或者多個新的塊就可以。當然為了更好的還原字符,我一般都采用平分 +1 , -1 對字符塊的部分進行適當的補充。
第五步:匹配字符。對於旋轉字符的特征碼建立,有很多種方法,這裡就不做深入研究了。我這裡使用的最簡單的方式,為所有字符的所有情況建立匹配庫,所以在我提供的代碼種增加了 study 操作,其目的就是,先有人手工識別圖片的驗證碼,然後通過 study 方法,寫入特征碼庫。這樣寫入的圖片數據越多,驗證識別的准確行也就越高。
經過以上步驟,我們基本上可以識別現在互聯網上大部分的驗證碼,這裡我們都是使用的最簡單的方法,沒有使用任何 OCR 知識。
另外制作驗證碼的一些建議:
對於識別驗證碼的程序來說,最難得部分是驗證字符的切割和特征碼的建立,而國內很多程序員只做驗證碼時,總是喜歡在驗證碼加很多干擾素,干擾線,影響效果不說,還達不到很好的效果;所以,要想使自己驗證碼難於本識別,只做下面兩點就夠了
1、字符粘連,最好所有的字符都有粘連的部分;
2、不要使用規格字符,驗證碼的各個部分使用不同比例的縮放或者旋轉。
只要做到這兩點,或者這兩點的變形,識別程序就很難識別。
以上就是本文的全部內容:使用PHP對網站驗證碼進行破解,希望對大家的學習有所幫助。
