APP网络行为监控测试，5种抓包方式及其实践方法总结

APP网络行为监控测试，5种抓包方式及其实践方法总结

0x00 摘要

于逆向分析之际，于移动端开发之时，常常会有对APP的网络行为予以监控测试之需求，本文归纳一些抓包思路，且对其使用方法开展实践。

于抓包这个领域里面，算得上是综合排名处于首位的工具（实际上，其自带的命令行工具更为厉害）。

这里对5种抓包方式作出了总结记录，只要掌握其中一种，便能开展实践，热切欢迎各位一同交流共享。

0x01 基于

实验步骤：

1.在电脑主机那儿，运用猎豹 Wifi 这类工具，把热点开启，让所要测试的手机去连接这个热点，然后记录下它的 IP 地址。

1.2 使用 对以上 IP 地址进行捕获

——

1.3 总结

此方法具备简单、粗暴以及高效的特性，能够把所捕获的数据包随时予以保存，从而便于在后续展开分析，或者用于开展PCAP可视化分析。

关于命令行工具 在此不做赘述，感兴趣的读者自行研究。

0x02 基于

实验环境：

去下载，然后安装安卓虚拟机，于这个模拟器的环境之中开展实践操作，针对实体手机的状况也是如此，不过有个前提，那就是手机一定得 ROOT 才行。

笔者仅在 系统下测试，未在 iOS 系统下实验

实验步骤：

2.1 说明

模拟器中自带的 工具，位于：//xbin/ 目录下

2.2 数据包捕获

借助adb shell命令，于CMD模式里连接模拟器，通过su切换到root模式去抓包。

#!bash
tcpdump -vv -s 0 -i eth1 -w /sdcard/capture.pcap

参数说明：

-vv：获取详细的包信息（注意是两个 v 不是 w）

-s 0：不限数据包的长度，如果不加则只获取包头

捕获数据包的名称以及其存储位置，在本例的路径下，数据包的名称是.pcap，而其存储位置包含在 -w xxx.pcap 之中，其中 xxx.pcap 是捕获数据包的名称以及存储位置。

捕获指定的网卡，是 -i eth1，在虚拟机里，使用命令能查看相关信息，通常的 ip 地址都是 10.xx.xx.x。

若你期望指定所捕获数据包的长度，可运用 -c 参数哦，比如以 -c 128 这样的形式，当捕获完毕后，直接按下 Ctrl + C 就行啦。

2.3 数据分析

将捕获到的数据包拖到本地使用 进行查看：

#!bash
adb pull /sdcard/capture.pcap C:	mp

TIPS：将数据包文件 push 到手机上命令为

#!bash
adb push C:	mpcapture.pcap /sdcard/

0x03 基于 4

实验步骤：

3.1 下载 4

3.2 设置 4

打开，Tools-> （配置完成记得重启 ）

3.3 设置手机代理

首先，获取安装 4 的 PC 对应的 IP 地址（）：

确保手机和 PC 是连接在同一个局域网中！！！

如下针对手机予以设置（此乃笔者运用小米测试机时的操作），点击手机里的“设置”，接着点击“Wi-Fi”，随后挑选已然连接的wifi，最后将代理设置变更为手动。

下载 的安全证书

利用手机浏览器去访问，访问的是：8888，之后点击“ ”，紧接着就安装证书，如此便可。

至此，已经全部设置完毕。

3.4 数据包捕获

再度开启，4，随后将手机里的浏览器予以打开，对任意网址展开访问，抓包以后所呈现的信息如下：

Enjoy！

0x04 基于

实验环境：

win7 + v3.11

平日使用，大多是基于MAC OS，笔者于mac平台以及另外的平台都做过试验，操作的过程与思路大体相同，所以，本文将win7作为测试环境。

实验步骤：

4.1 捕获 http 数据包

手机设置代理：

打开 即可捕获数据包（Proxy —— Proxy ）：

4.2 捕获 https 数据包

手机端安装证书：

手机或者 均可直接访问 ，然后根据图示点击证书安装

设置 ：

选择 Proxy —— SSL —— —— Add

于弹出的表单之内，填写Host域名，此域名即你所想抓取数据包链接的主机名，并且填写对应的Port端口，在此处该端口有着相当于过滤的作用。

当然，你能够采用更为粗暴的方式，那便是使用通配符，比如说你要是想要捕获全部的https包，在此处，也能够直接全都变为空，这意味着捕获所有的主机以及端口，又或者，都分别填写“*”这个星号，以此来匹配所有的字符，进而捕获所有的https。

0x05 基于

实验步骤：

5.1 捕获 http 数据包

PC 端 设置：

手机端代理设置方法同以上 3.3 4.1

打开 即可捕获 http 数据包：

5.2 捕获 https 数据包

手机端设置好代理之后，使用浏览器访问：

这儿有个问题，下载的证书是der格式，而我们手机端安装的是crt格式，得用浏览器转一下格式，要先在其中导出der格式证书，接着导入火狐浏览器，随后从火狐浏览器导出证书格式为crt。

打开火狐浏览器：工具——选项——高级——证书——查看证书

成功捕获 https 数据包

0x06 总结

若是在停止捕获数据包之际，把或关闭掉，那么这个时候手机端就不能够正常去访问网络，究其原因是设置了代理，所以在这个时候就得把代理给关闭，如此一来便可正常浏览网页了。

对于多数走代理的应用而言，存在两种选择，无需进行root操作，一旦完成配置，便可终身使用这些选择所对应的功能；对于不走代理的App，则能够借助特定手段捕包，之后利用另一工具查看捕包结果；最为简单便捷的方式便是第一种方法，即「0x01. 基于 」。

罗列于上的全部工具，均有着各自的优点与不足，身为读者的你，能够依据工作所处的环境，按照自身需求来加以使用，个人观点认为，在一般情形下，运用 + 亦或是 + ，便能够达成各个平台的抓包分析任务。

以上工具里，仅有能够针对抓包进程进行交互式操控的；它所支持的协议数量最多，并且处于更底层的位置，具备强大的功能，然而却显得过于沉重。