一. 前言
在app逆向种,我们不能像js逆向中借助dev-tool在浏览器抓包和调试代码,所以我们必须得借助其他抓包软件来抓取手机的的包,在利用反编译工具来反编译来找到加密位置,成功给他逆向出来。今天我要给大家介绍的一款抓包软件就是charles,反编译软件就是jadx
二.charles抓包
2.1 抓包的原理
话不多说,我们看图!
2.2 charles安装并破解
我们打开下面这个网站,下载安装一直点击下一步就好了
破解的话(主要是我当时破解忘记截图了,大致参照一下就好了)
点help,然后register(我因为配置过了所以是unregister)然后输入我给大家的什么代码
Name: Just For Testing
Serial: 230ADA2020DFBD108E(我也是找的,如果过期了可以参加其他教程)
这样的话就成功破解成功了
2.3 抓取手机的http包
1.必须保证,手机和电脑处于同一个路由器
2.关闭防火墙(关闭步骤在下图)
3.电脑端charles做如下配置
这个9888也要记住,一会要用到
记住这个本机ip地址,很关键
4.手机端配置
看到这两个你们是不是得知道(忘记了该打)
一个是http那里配置的端口
一个是本电脑的ip地址
2.4 抓取手机https的包
问:http和https有什么区别
答:https=http+ssl,ssl也就是证书,所以说,我们就要在手机上安装charlse的证书
注意:
1 安卓 7 以下的设备[真机不多见了],安装完证书,就可以使用,可以抓https的包了
2 安卓7 以上设备,安装完证书---》只是用户证书----》需要把证书做成系统证书--》借助于 magisk+模块move cert---》手机必须root
3 总结:现在市面上见到的手机---》基本都是8及以上的版本---》必须root 才能抓 https的包
所以说,我们就需要两步,安装证书,下载movecert模块
1.下载证书
电脑保持这个页面,然后手机访问 chls.pro/ssl 就能自动下载这个证书
2.下载后,手机打开:安全---》加密与凭据---》安装证书---》CA证书--》仍然安装---》选中下载的--》安装完成
3.手机打开:设置--》安全--》加密与凭据---》信任的凭据--》在用户证书下,目前不能用
-此时可以看到用户证书和系统证书。
4.下载movecert,并且在magisk里面安装,这个我就不多说了,重启之后就发现这个到了系统下面
tips:我在浏览器找的movecert都安不上,我这个也上传不上来,需要的可以加我绿泡泡
问:系统证书和用户证书的区别?
答:
在 Android 系统中,有两种类型的证书:用户证书(User Certificates)和系统证书(System Certificates)。
用户证书(User Certificates):用户证书是由特定用户生成或颁发的数字证书。这些证书通常用于用户身份验证和安全通信。用户证书可以用于加密和解密数据,数字签名以及建立安全连接。用户证书通常由用户自己创建,例如,用于加密电子邮件、VPN连接或身份验证。
系统证书(System Certificates):系统证书是由 Android 系统或设备制造商预装的证书。这些证书通常用于系统级别的安全功能,如应用程序签名验证、SSL/TLS 连接等。系统证书通常用于验证应用程序的真实性和完整性,以确保它们没有被篡改或恶意修改。这些证书由 Android 操作系统或设备制造商管理和维护。
系统证书包括以下几种类型:
代码签名证书:用于验证应用程序的签名,以确保应用程序的真实性和完整性。
安全通信证书:用于建立 SSL/TLS 连接,保护设备和服务器之间的通信安全。
根证书:根证书用于验证其他证书的真实性。Android 系统预装了一组根证书,用于验证 SSL/TLS 通信中的服务器证书。
用户证书和系统证书在安全和身份验证方面扮演不同的角色。用户证书由用户自己管理,用于个人身份验证和加密通信。而系统证书由操作系统或设备制造商管理,用于验证应用程序和保护系统级别的通信安全。
三.反编译工具下载
因为jadx需要依赖java环境,所以我们先安装jdk
3.1 安装jdk
这里我们选择1.8版本的
安装好,在cmd输入java -version就好
证明安装成功
3.2 安装jadx
这里是jadx官网
这里就是jadx的界面了
四.总结
今天我们配置了charles(配置的都知道,就是长得像尿壶的那个)和jadx,这一期就不教大家怎么用了,按照步骤来还是很简单的。
五.下期预告
下一期我将教大家Hook,和常见加密,这些都是逆向中很重要的
补充
如有需要学习资料和交流加我绿泡泡
这里插入一条广告(希望理解一下,养家糊口)!!!
有需要逆向需求或者是项目,课设等等,都能找我接单,麻烦大家了
公众号(后续会更新相关文章)
期待你的关注!