今日任务
- Fiddler 抓包测试
Que 0x01 问题分析
- 最终目的:分析某特定 apk,找到其中某个功能模块的函数链。
由于是 apk 较大,所以硬着头皮直接逆向分析的效率可能会极其低下,在和前辈请教之后得到一个比较直接的思路:
比如分析 Download 模块,可以对目标 app 进行抓包,提取出一个特定链接,在反汇编的文件中全局搜索这个链接,如果能够找到,那么应该能大致定位到这个 app 的 Download 模块所在的位置,从而进行更深入的分析。
那么当前的问题就由 分析某特定 apk 转变成了,对某 app 进行抓包,提取其中想要的信息,而对手机 app 进行抓包,Fiddler 是个不错的选择。
Que 0x02 Fiddler 安装
本机环境
Win10 x64
Step 1 下载
Step 2 安装
当前环境下并没有遇到什么坑,设置好安装目录即可。
Que 0x03 使用 Fiddler 对手机流量进行抓包
Step 1 验证通信
- 确认手机和运行 Fiddler 的工作机在同一网段
- 确认手机和运行 Fiddler 的工作机能够互相 ping 通(Win10 需要关闭防火墙)
Step 2 设置 Fiddler
默认配置端口为 8888,通常并不需要做其他设置
Step 3 代理设置
各手机设置不同,本测试机为 Samsung S8。
如果已经连接了 WiFi,需要先忘记网络才能设置代理。
Que 0x04 抓包尝试
Part 1 步骤
- 在 Fiddler 中 Remove all 以防干扰
- 手机使用特定 app 访问网络,并且任意下载一个文件
- 在 Fiddler 中定位到目标条目
Part 2 包分析
Request Headers
GET /content/01/100/1100050-MP3-128K-FTD.mp3?sign=CQqSIbb5AME7PJqxVitA+/Gax0hhPTEwMDM5ODY3Jms9QUtJRE1Fdm53SXdwNFlqUlU1NHhxd3VLQlRYMExOOWdJVFNRJmU9MTUyODk4Mzg2NiZ0PTE1Mjg5NjIyNjYmcj0xOTM3Nzg3NDQ2JmY9L2NvbnRlbnQvMDEvMTAwLzExMDAwNTAtTVAzLTEyOEstRlRELm1wMyZiPXVsdGltYXRl&transDeliveryCode=SS@4@1528962266@D@20BFE04507592793 HTTP/1.1
信息不多:
- 能看出来的是使用 GET 方法访问了某个 mp3 资源来下来文件
- sign 后面应该是类似 Cookie 之类的验证
- 文件名经过多次下载相同文件测试文件名并不是随机生成
Que 0x05 验证思路
在 jadx 反汇编出的文件中全局搜索字符串
/content/01/100/1100050-MP3-128K-FTD.mp3?
最终缩小到字符串
content
也没能定位到 Download 模块。
所以这条思路应该是没法继续走下去的,或许换一个工具可能会有不同的结果,不过暂不尝试。
Que 0x06 新的思路
抓包定位的思路是通过关键字来定位指定模块,而当前想要定位的模块是 Download 模块,那么是否能通过关键字 Download 来定位模块?并且在 jadx 中全局搜索 Download 也得到一些功能模块,这里尝试分析这里定位到的文件是否是目标模块。
网友评论