如果想分析Android下 某个APP的网络数据交互,需要在Android手机上抓包,最常用的抓包工具非tcpdump莫属,用tcpdump生成Wireshark识别的 pcap文件,然后将pcap文件下载到电脑上,用电脑上的Wireshark加载pcap文件,通过Wireshark分析tcpdump抓取的数据。
一、安装tcpdump
为Android手机安装tcpdump,首先必须将Android手机root,现在市面上常用的root工具都很傻瓜很强大,推荐使用root精灵,将手机root以后,我们就可以为手机安装tcpdump了。
先下载tcpdump文件, 下载地址:http://xiazai.jb51.net/201502/other/tcpdump.rar
复制代码 代码如下:
adb push tcpdump /sdcard/
adb Shell
su
cat /sdcard/tcpdump > /system/bin/tcpdump
上一条命令如果提示没有权限,接着执行如下命令尝试给 /system 目录增加写权限
复制代码 代码如下:
su
mount
在mount结果中找到包含/system的一行,类似如下:
复制代码 代码如下:
/dev/block/platform/msm_sdcc.1/by-name/system /system ext4 ro,seclabel,relatime,data=ordered 0 0
去处/system前半行,即/dev/block/platform/msm_sdcc.1/by-name/system,执行如下命令:
复制代码 代码如下:
mount -o remount /dev/block/platform/msm_sdcc.1/by-name/system /system
这个时候/system就拥有写权限了,继续执行:
复制代码 代码如下:
cat /sdcard/tcpdump > /system/bin/tcpdump
chmod 777 /system/bin/tcpdump
到此为止,tcpdump就成功安装到了/system/bin/目录下,接着用如下命令还是抓包
二、使用tcpdump抓包
复制代码 代码如下:
tcpdump -i wlan0 -s 0 -w /sdcard/1.pcap
可以结束时使用Ctrl+c快捷键让tcpdump结束抓包,抓到数据会存到/sdcard/1.pcap文件内
重新打开一个终端(Terminal),执行如下命令
复制代码 代码如下:
adb pull /sdcard/1.pcap .
1.pcap文件被下载到了终端上的当前目录下
三、安装Wireshark并分析pcap文件
从Wireshark官网https://www.wireshark.org/下 载适合你系统的Wireshark,然后点击你下载后的Wireshark安装包安装好Wireshark,找到刚刚下载好的1.pcap文件,双击 1.pcap文件,1.pcap文件会自动被Wireshark打开。在Wireshark的Filter内输入如下一些过滤条件,可以更加方便地分析数 据来源。
复制代码 代码如下:
tcp.port == 80 //过滤来自80端口的TCP数据
udp.port == 12345 //过滤来自12345端口的UDP数据
ip.src == 192.168.0.1 //过滤源IP为192.168.0.1的数据
ip.dst == 192.168.0.1 //过目的IP为192.168.0.1的数据
以上过滤条件可以用and跟or相互组合,例如
复制代码 代码如下:
tcp.port == 80 and ip.src == 192.168.0.1 //过滤来自80端口,源IP为192.168.0.1的TCP数
udp.port == 12345 or ip.dst == 192.168.0.1 //过滤来自12345端口的UDP数据,或者目的IP为192.168.0.1的数据