今日任务

• Fiddler 抓包测试

---

Que 0x01 问题分析

• 最终目的：分析某特定 apk，找到其中某个功能模块的函数链。

由于是 apk 较大，所以硬着头皮直接逆向分析的效率可能会极其低下，在和前辈请教之后得到一个比较直接的思路：

比如分析 Download 模块，可以对目标 app 进行抓包，提取出一个特定链接，在反汇编的文件中全局搜索这个链接，如果能够找到，那么应该能大致定位到这个 app 的 Download 模块所在的位置，从而进行更深入的分析。

那么当前的问题就由 分析某特定 apk 转变成了，对某 app 进行抓包，提取其中想要的信息，而对手机 app 进行抓包，Fiddler 是个不错的选择。

Que 0x02 Fiddler 安装

本机环境

Win10 x64

Step 1 下载

Fiddler_S3

Step 2 安装

当前环境下并没有遇到什么坑，设置好安装目录即可。

Que 0x03 使用 Fiddler 对手机流量进行抓包

Step 1 验证通信

• 确认手机和运行 Fiddler 的工作机在同一网段
• 确认手机和运行 Fiddler 的工作机能够互相 ping 通（Win10 需要关闭防火墙）

Step 2 设置 Fiddler

默认配置端口为 8888，通常并不需要做其他设置

Step 3 代理设置

各手机设置不同，本测试机为 Samsung S8。

如果已经连接了 WiFi，需要先忘记网络才能设置代理。

Que 0x04 抓包尝试

Part 1 步骤

• 在 Fiddler 中 Remove all 以防干扰
• 手机使用特定 app 访问网络，并且任意下载一个文件
• 在 Fiddler 中定位到目标条目

Part 2 包分析

Request Headers
GET /content/01/100/1100050-MP3-128K-FTD.mp3?sign=CQqSIbb5AME7PJqxVitA+/Gax0hhPTEwMDM5ODY3Jms9QUtJRE1Fdm53SXdwNFlqUlU1NHhxd3VLQlRYMExOOWdJVFNRJmU9MTUyODk4Mzg2NiZ0PTE1Mjg5NjIyNjYmcj0xOTM3Nzg3NDQ2JmY9L2NvbnRlbnQvMDEvMTAwLzExMDAwNTAtTVAzLTEyOEstRlRELm1wMyZiPXVsdGltYXRl&transDeliveryCode=SS@4@1528962266@D@20BFE04507592793 HTTP/1.1

信息不多：

• 能看出来的是使用 GET 方法访问了某个 mp3 资源来下来文件
• sign 后面应该是类似 Cookie 之类的验证
• 文件名经过多次下载相同文件测试文件名并不是随机生成

Que 0x05 验证思路

在 jadx 反汇编出的文件中全局搜索字符串

/content/01/100/1100050-MP3-128K-FTD.mp3?

最终缩小到字符串

content

也没能定位到 Download 模块。

所以这条思路应该是没法继续走下去的，或许换一个工具可能会有不同的结果，不过暂不尝试。

Que 0x06 新的思路

抓包定位的思路是通过关键字来定位指定模块，而当前想要定位的模块是 Download 模块，那么是否能通过关键字 Download 来定位模块？并且在 jadx 中全局搜索 Download 也得到一些功能模块，这里尝试分析这里定位到的文件是否是目标模块。