【二十三】Wireshark抓取安卓APP包

终于有了实战机会，是使用Wireshark抓取AndroidAPP的包，以唱吧作为练习。

准备的工具：安卓测试机一台（已root的），电脑上下载豌豆荚，测试机下载豌豆荚，tcpdump抓包工具—— platform-tools工具包（Tcpdump软件获取地址http://www.strazzere.com/android/tcpdump）。

这里注意的是，之所以要下载电脑版的豌豆荚，是因为如果不这样做，检测不到链接，无法抓包。

一：将工具包解压到文件夹，本文档解压到F:\android

二：将Android手机与电脑USB相连，打开USB调试。打开windows命令提示符窗口，进入adb工具目录F:\android，在PC上把tcpdump软件也拷贝到F:\android目录下。

三：将tcpdump程序copy至android手机（该命令前面那个目录文件为本地地址，后面那个目录为目的手机端地址）

        f:\android>adb pushtcpdump /data/tcpdump

Tips: 若此方法提示错误，可以先将tcpdump工具复制到SD卡上，再通过R.E文件管理工具，将tcpdump复制到/data目录下。

四：进入root权限，修改tcpdump的权限，进入/data目录，将tpcdump文件改成可执行权限才能抓包。（要先进入工具所在的你保存的目录）

五：运行tcpdump，输入以下命令启动抓包。

       shell@android:/data #./tcpdump -nn -XX -vv -s 0 -w test.pcap

当你在测试机上执行完想要抓包的动作后，按Ctrl+C停止抓包

六：将抓包结果复制至本地（前面那个目录为手机端地址，后面那个目录为本地地址）

        f:\android>adb pull/data/test.pcap f:/

好了，一次抓包动作就完成了。接下来，打开Wireshark，点击Open，选择test.pcap文件（我的在f盘里）：

由于我刚刚为了演示截图，测试机上并未执行任何动作，因此这次的包是空白的。现在我做一些动作，再来看一下：

可以看到这次有12288 bytes了。

来看看Wireshark抓到的包（好兴奋有木有！）

嗯，由于我过滤条件是http，所以这些包都是http的。那么分析的话，网上可以查到Wireshark的用法，这也是我之前就开始练习过的，时间原因就不赘述了。有想问的可以评论里问我我会看的，虽然我也只是小小小白~

       这是用于练习的分析的几个，接下来会正式分析好并完善，以及深入理解这些命令的含义等。

       最后，特别鸣谢同事宗伟大神给予的耐心细致的指导和帮助，以及该博客前三步由于测试机之前已经弄好了，因此我并没有重新来过，所以前三步的截图和步骤详解都是宗伟大神提供哒，为他鼓掌！

       一些原因，今天下班就要奔回学校了，星期三才能重新回来上班，好在问过导师，我现在处于学习阶段，正在做的事情并不影响团队进度，这才放心的离开。博客也会停止更新星期一和星期二的，不过也好在我的博客还没什么人气和读者，也不影响大家跟进，也不会惹得大家想念==噗哈哈，我在说些什么~

       好了，星期三见~我要继续去分析了。