【分享】不限网络环境! 对单一APP"实时"抓包

大胖 · 发表于 2015-5-30 23:06

本帖最后由大胖于 2015-5-30 23:21 编辑

这阵子因为分析一款android游戏所以尝试抓包
但发现古歌上似乎没人提供＂针对指定app"实时"抓包＂的方法，本人的方法不限定只抓http包(Fiddler)，对网路环境的要求也非常低(标题夸大了些)  且能实时抓，虽然文章叙述冗长实际上操作很简单的　
在此分享我的方法：

1.在电脑上使用 CCProxy 架设 socks5 server。

2.android端借由 ProxyDroid，使APP透过电脑的socks5 server代{过}{滤}理联网。

3.电脑执行 Wireshark，并使用Filter功能，过滤出APP和socks5 server间的通讯。

  3.1 要过滤出我们要的信息需要稍为了解socks5协议，大体上流程：1.socks5 client与socks5 server 的特定port建立连接。2.client告诉 server 欲连结的host的 IP 和 Port，由server 向 host 建立连结。3.此后只要 client send server 什么，server就send host 什么；server从host recv 什么，client 就从 server recv什么，socket协议不会额外包装讯息。

  3.2 Capture Filter：(src 192.168.23.1 and src port 10800 and dst 192.168.23.2) or (src 192.168.23.2 and dst 192.168.23.1 and dst port 10800) ，说明: 192.168.23.2 是 android端IP，192.168.23.1是电脑IP，10800是socks5 server的 port。Capture Filter语法很直观，src代表 source ip ; dst代表 destination ip

我表达能力不好，将就将就...文中很可能有错误的理解还请各位指出谢谢哦~

补充: 虽然我的网路环境是 android连上电脑分享的 wifi , wireshark对无线网路的介面监听
其实无论 android使用何种方式连网甚至 android和电脑不同局网  此方法都适用的(例如手机3G上网也可以)
只要你知道 android端的 ip和 socks5 server的 ip(本机 IP)，即可透过 wireshark的 filter过滤出来(因为有过滤，不会有其他杂讯的)
缺点是，同时只能对一个 app抓包若 android上有一个以上的 app透过同一个 socks5 server连网，wireshark将无法分辨是哪一个app的封包。

补充:
关于 Capture Filter, 我认为应该再说清楚些!

src                               dst
APP -----------------> socks5 server
IP 定值                         IP 定值
port 不定                   port 定值
因此  (src 192.168.23.2 and dst 192.168.23.1 and dst port 10800)
_______________________________________________________

   src                                  dst
socks5 server -----------------> APP
IP 定值                         IP 定值
port 定值                   port 不定
因此  (src 192.168.23.1 and src port 10800 and dst 192.168.23.2)

mcevilrock · 发表于 2015-5-30 23:16

楼主需要 Fiddler.....
不过fiddler只能抓http包.
如果有无线网卡的话,可以共享个热点,Wireshark完全可以抓热点的包..
当然,socks5也是一种方法...

大胖 · 发表于 2015-5-30 23:27

mcevilrock 发表于 2015-5-30 23:16
楼主需要 Fiddler.....
不过fiddler只能抓http包.
如果有无线网卡的话,可以共享个热点,W ...

透过WIFI当然可以，但会抓到其他APP的包，而我选择socks5的原因，一是ProxyDroid能只让一个app代{过}{滤}理上网（因此没杂讯了），二是socks5协议简单抓到的包不需再解包

yangbing965 · 发表于 2015-6-2 00:04

这样抓的包针对HTTPS的不好吧，平常用fiddler的多点，还是用笔记本+Wireshark，用无线网卡共享热点来抓来得便捷

lthink · 发表于 2015-6-6 03:31

呵呵,这个不错啊

帐号		自动登录	找回密码
密码			注册[Register]

[Android 分享] 【分享】不限网络环境! 对单一APP"实时"抓包

免费评分