当今信息时代下,侵财类刑事案件呈现出多样化、深入化的特征,从传统的接触或通联式犯罪(如传统盗窃、赌博、诈骗等)衍生到利用高科技手段非接触式的犯罪(如网络直播、手游外挂、移动支付、勒索病毒等)。总而言之,在此类犯罪案件中,Android和iOS系统中的APP(如游戏、直播、赌博、支付类APP,手机木马等)起着尤为重要的作用。
APP的应用越来越广泛,APP的安全也越来越受到重视。互联网、通信技术的应用无处不在,也成就了骗子的无处不在、无孔不入,特别是非接触式犯罪的溯源更是让取证人员无从下手。
接下来我们回到主题,看看利用工具对Android APP进行抓包,能获取到哪些数据?
抓包(packet capture):将网络传输发送与接收的数据包进行截获、重发、编辑、转存等操作,也可用来检查网络安全进行数据截取等。
通过抓包分析http/https,可以轻而易举地从获取的数据中得到某个APP的API。如果APP没有加密机制的话,就能很容易获取到明文的密码、社交媒体、照片等信息;如果APP数据加密,对API进行了加密验证,例如MAC校验,这样的话调用API就困难得多了。在Android或iOS下,抓包的方式不外乎两种方式,一种是代理,另一种是tcpdump,一般情况下走的都是代理方式。
通过Fiddler抓取iOS、Android设备的数据包,需要了解移动设备通过什么方式访问网络,以下为拓扑图:
搭建抓包环境▲▲▲1. Fiddler抓包软件(下载地址:)。
2. 天天模拟器(下载地址:)。
3. 笔记本电脑、代理模拟器、Fiddler处于同一局域网内。
什么是Fiddler?▲▲▲Fiddler是一个HTTP协议调试代理抓包工具,它能够记录并检查所有你的电脑和互联网之间的HTTP通讯,设置断点,查看所有的“进出”Fiddler的数据(指cookie,html,js,css等文件),同类抓包工具有:HttpWatch, Firebug, Wireshark、Charles。
设置模拟器为Fiddler的代理地址,这样模拟器访问互联网的数据包就会流经Fiddler,Fiddler再转发这些数据包到真实的服务器,服务器返回的数据包再由Fiddler转发回模拟器,Fiddler就起到中间人的作用,所有流量包都可以捕捉到,因此所有HTTP请求和响应都可以捕获到,比如网站、APP、通讯记录等。
今天主要给大家分享下如何通过模拟器利用Fiddler工具进行抓包,下载Fiddler后直接打开运行,如图:
在“Tools-Options-HTTPS”中勾选“Capture HTTPS CONNECTs、Decrypt HTTPS traffic和Ignore server certificate errors(unsafe)”,如图:
在“Tools-Options-Connections”中设置Fiddler监听端口号为“8888”,这个服务实际上是一个HTTP/HTTPS的代理,允许接收别的机器发送的请求勾选“Allow remote computers to connect”,如图:
下载并安装安全证书,导入证书前一定要为模拟器设置密码,导入证书主要是解决Fiddler “creation of the root certificate was not successful”的问题(本次演示实例为模拟器中安装),在天天模拟器中打开浏览器在地址栏输入:“ip:8888”,如图:
在本地电脑上打开cmd.exe,输入ipconfig得到本机IP地址为“172.16.28.159”,如图:
打开天天模拟器设置网络,与Fiddler配置一样的地址,在WIFI设置中把代理更改为“手动”,代理服务器主机设置为 “172.16.28.159”,代理服务器端口设置为“8888”,如图:
所有设置完成后,关闭Fiddler后重新打开,在模拟器中打开被检测到的APP,Fiddler可以获取到相应的请求及数据如:URL、Result、Protocol、Host等信息,在“Statistics”中可以看到统计的结果,如图:
要查看抓取了哪些APP,在“Inspectors”选项中可以看到安卓模拟器版本、品牌、型号、安装包等,这些信息在溯源工作中有着重要意义,如图:
总之,在类似上述类型案件特殊情况中,常规取证软件无法支持时,大多数情况还需要利用第三方工具结合手工分析、深挖数据,借助APP抓包来溯源以达到案件取证分析的完整性。也建议大家平时工作中能多换一些思路去判断和分析,不要盲目依赖现成的取证工具。
欢迎留言互动~盘石软件技术干货 尽在盘石软件扫码关注欢迎留言互动~新产品 新技术行业资讯 技术分享 欢迎关注关注盘石软件国内领先的电子数据取证解决方案提供商关注 留言 点赞 分享