环境:Windows, 安装真机(可以获取Root权限), adb, Wireshark, tcpdump
原理: 使用 tcpdump 进行抓包, 然后用 Wireshark 进行分析
1.获取手机Root权限, 可以使用刷机精灵等
2.安装android usb windows(Windows环境Android系统手机USB驱动程序)
1).下载此驱动程序
2).把手机用USB连接到电脑
3).我的电脑->右键->设备管理器->便携设备->更新驱动程序->浏览(刚下载的驱动)
3.下载安装 adb (点我下载)
把adb.exe、AdbWinApi.dll、AdbWinUsbApi.dll复制到 C:/Windows/System32目录下, 即可在 DOS 命令下使用 adb 命令
4.下载 tcpdump(点我下载), 并使用 adb push 命令上传到手机目录(查看手机目录 可以使用 adb shell 进入命令行模式使用 ls 等查看)
adb push tcpdump所在目录 tcpdump要放到手机中的目录
如果此时出现 "failed to copy 'XXX' to 'XXX': Permission denied"错误, 可以换个手机目录进行推送
5.执行手机中的 tcpdump 文件
adb shell #进入手机的 shell 命令行模式
su #使用 Root 权限, 此时手机会提示是否给予 Root 权限
./tcpdump -p -vv -s 0 -w capture.pcap #开始抓包 保存到 capture.pcap 文件
如果此时出现: "tcpdump: cannot execute - Permission denied" 是文件操作权限不够引起的, 因为某个目录时作为一个分区挂载到文件系统的, 所以要看看挂载到文件系统的权限, 输入 mount 命令查看, 出现一个ro的话表示已只读方式挂载, 此时还不能写入文件, 需要重新挂载, 可以使用如下语句对此文件系统的权限进行修改
mount -t yaffs2 -o remount,rw,noatime,nodiratime /storage/sdcard0 #其中 /storage/sdcard0 可以更改为你的 tcpdump 文件所在文件系统
6.从手机导出 tcpdump 的抓包文件
adb pull 手机某个目录/capture.pcap 电脑目录
7.用wirshark分析(用wirshark打开6中从手机导出到电脑的文件)