【工具分享】如何识别手机里偷数据的那些软件（适用于安卓平台）

上一篇文章中分享适用在安卓平台下的小工具，但刚发布不久，就有网民造谣说这个小工具盗取用户个人信息。我不知道这是出于一种什么心态，说这样话的人良心不会痛吗。嘤嘤嘤~出于维护个人公号的纯洁性，同时为这款Pingtools软件正身，在这里给大家分享下个人对于辨识软件“好与坏”的方法，如有不妥之处请留言交流，批评指正。

题外话：如果怀疑某手机APP盗取手机中关键数据或个人信息，获取确凿证据的方法无外乎两种，其一就是对APP上下行数据进行抓包分析，看看有没有涉及个人敏感信息；其二直接逆向分析，看看程序的各函数和具体实现功能。后者难度颇大，也不建议一般人尝试。

这里用第一种方法抓包测试Pingtools是否存在盗取账号的行为，具体步骤如下：

准备工作：
#个人电脑一台（win7 64bit）
#抓包工具：fiddle 4.2
#测试手机：小米6
#被测试软件：Pingtools
#网络环境：同一个无线网络热点，ssid：12345678

1、下载并按照提示安装抓包工具fiddler4.2。

 

2、确保测试手机和装有Fiddle软件的电脑在同一网段内（最好通过无线路由器连接），并使用ipconfig命令查看并记录电脑中无线网卡的ip地址。

由此可见，电脑的IP：192.168.1.101。

3、配置测试手机的代理。打开手机wlan设置，找到已连接到的SSID为12345678无线热点中，打开高级选项，手动添加代理，将代理主机改为192.168.1.101（按照步骤2中电脑的实际ip填入），端口号改为8888（此为fiddle默认侦听端口）。

4、配置fiddler中代理地址和端口。在主菜单Tools（工具）—Options（选项）中选中“Allow remote computers to connect”，默认Fiddler listens on port的数值为“8888”，如下图所示：

说明：1.Fiddler listens on port是手机连接fiddler时的代理端口号，默认8888即可

          2.Allow remote computers to connect是允许远程发送请求，需要勾上

5、以上操作均完成后，保存并重启fiddle，设置才能生效。之后，在测试手机中打开浏览器访问“http://192.168.1.101:8888”，下载并安装Fiddleroot certificate。做完以上操作，手机里所有上下行数据就都可以在fiddler中侦听到了。

6、分析数据。

注意：在侦听前，先把手机中后台运行的程序做一个清理或者在网络防火墙中设置只有被测试软件可以访问网络，这样可以提高效率，防止其他程序的干扰。

为方便辨识，我把所有关于被测试软件Pingtools的数据都一一框起来了。在分析之前，先大概认识一下左侧窗口中表格的内容，下面是名称和含义的对应表：

名称	含义		图标	含义
#	抓取HTTP Request的顺序，从1开始