PCAPdroid抓包工具APP 是一款功能強(qiáng)大的安卓網(wǎng)絡(luò)抓包與流量分析軟件，專為網(wǎng)絡(luò)開發(fā)人員和安全研究人員設(shè)計(jì)。它能夠?qū)崟r抓取設(shè)備的網(wǎng)絡(luò)數(shù)據(jù)包，并支持深入分析網(wǎng)絡(luò)流量，幫助用戶識別應(yīng)用程序之間的通信內(nèi)容和數(shù)據(jù)傳輸細(xì)節(jié)。PCAPdroid支持多種協(xié)議和數(shù)據(jù)格式，能夠生成詳細(xì)的流量報(bào)告，滿足網(wǎng)絡(luò)調(diào)試、性能優(yōu)化和安全檢測等多方面需求。

PCAPdroid使用教程

1、實(shí)時抓包

顯示為就緒狀態(tài)后，點(diǎn)擊就緒或上面的開始按鈕:arrow_forward:便可開始捕獲，之后到連接頁面可以實(shí)時查看所有的連接：

不難發(fā)現(xiàn)，這些連接會標(biāo)注是哪些APP進(jìn)程產(chǎn)生，并顯示目的域名、協(xié)議、端口，以及連接狀態(tài)等基本信息。

1）過濾特定目標(biāo)

左圖通過搜索框過濾特定目標(biāo)主機(jī)，可以看到這些連接目前已經(jīng)是關(guān)閉狀態(tài)(CLOSED)，因?yàn)橛玫氖嵌踢B接場景；任意點(diǎn)選一個連接可以看到概覽信息，包括連接持續(xù)時間，訪問的URL、協(xié)議、進(jìn)程APP和進(jìn)程ID，以及產(chǎn)生的流量大小和載荷長度：

2）查看HTTP請求和載荷

此外，HTTP以及載荷選項(xiàng)可以清晰看到這條TCP連接，所請求的內(nèi)容和響應(yīng)的內(nèi)容：

這些文本可以任意復(fù)制或?qū)С觥?/p>

甚至可以顯示為十六進(jìn)制格式，點(diǎn)擊右上角的格式轉(zhuǎn)換即可，如右圖所示：

2、保存為PCAPNG格式進(jìn)行分析

1）解鎖并啟用PCAPNG格式轉(zhuǎn)儲選項(xiàng)

存儲為PCAPNG格式，付費(fèi)后解鎖的功能，目前價(jià)格是13港幣即可解鎖，并且解鎖后允許進(jìn)行TLS解密，在設(shè)置里面勾選即可：

2）設(shè)置數(shù)據(jù)包轉(zhuǎn)儲

數(shù)據(jù)包轉(zhuǎn)儲分為三類：

HTTP服務(wù)器轉(zhuǎn)儲：安卓將會啟動一個HTTP服務(wù)，提供PCAP包的下載；

PCAP文件：直接以PCAP格式文件存儲到手機(jī)；

UDP導(dǎo)出器：發(fā)送PCAP文件到一個遠(yuǎn)程UDP接收器。

沒有特殊需求，最直截了當(dāng)?shù)姆绞浇ㄗh選擇第二種。

3）實(shí)時抓包并保存為pcapng格式

以第二種轉(zhuǎn)儲方式為例，點(diǎn)擊就緒進(jìn)行抓包，會以時間格式對數(shù)據(jù)包文件進(jìn)行命名：

之后暫停抓包，在文件管理器里找到我們轉(zhuǎn)儲的抓包文件：

導(dǎo)出到電腦上使用wireshark打開看看

打開后是標(biāo)準(zhǔn)的數(shù)據(jù)包格式和完整交互的報(bào)文，包括TCP握手、DNS查詢、TLS握手等，到這一步幾乎已經(jīng)秒殺目前市面上所有的安卓端抓包軟件。

ICMP和UDP也能全部捕獲到

4）wireshark安裝lua插件顯示APP名稱

可選項(xiàng)，官方提供了一個lua腳本，在wireshark中啟用此腳本后，可以看到每一個數(shù)據(jù)幀對應(yīng)的進(jìn)程APP是誰

前提：

①開啟了PCAPdroid Trailer選項(xiàng)，并禁用了PCAPNG格式（禁用PCAPNG格式依然不影響你轉(zhuǎn)儲PCAP格式文件）：

3、解密https/tls報(bào)文

解密HTTPS/TLS報(bào)文，前提需要安裝一個附加組件，并且使用這個附加組件來啟動app。

1）安裝PCAPdroid-mitm

在設(shè)置頁面勾選TLS解密，點(diǎn)擊下一步會提示你如何安裝附加組件：

2）導(dǎo)出并安裝CA證書

PCAPdroid mitm使用mitmproxy代理TLS會話，因此需要導(dǎo)出PCAPdroid mitmproxy的CA證書，并且在安卓系統(tǒng)設(shè)置里安裝證書，證書名稱任意

3）啟用TLS解密功能

安裝完畢后，使用PCAPdroid mitm打開PCAPdropid，在設(shè)置里便可成功勾選啟用TLS解密功能：