云端怎么打开(云端照片)
随着网络的快速发展,为了保证数据的隐私性和安全性,大多数应用软件厂商不再将所有数据存储在本地,而是直接向服务器请求数据。
获取云数据不仅可以获取账户本地存储的数据,还可以获取用户在服务器中存储的数据,供历史参考。信息更加全面,便于在追查刑事证据收集源头的过程中完成手机APP的数据分析,为非接触案件的侦查取证带来了更多的思路和线索。
应用数据采集手段层出不穷。本文将以“获取滴滴账号登录服务器地址”为实际案例,介绍一种通过代理软件抓取数据包的方式,以及在此过程中可能遇到的问题的解决方法,从而吸引有价值的建议,并向他人学习。
抓包工具
工具:查尔斯
一款实用易用的抓包工具。
支持MacOS、Linux和Windows。
用于分析手机APP的数据包,从而辅助APP数据的分析。
查尔斯抓包原理
Charles本身就是一个协议代理工具。如果只是一个普通的HTTP请求,由于数据本身没有被重新加密,作为中间代理,它可以知道所有客户端发送给服务器的请求内容以及服务器返回给客户端的数据内容,这也是包捕获工具可以直接显示数据传输内容的原因。
对于HTTPS请求,传输的数据已经加密,代理工具不需要任何操作就不能直接获取内容。为了实现这个过程中的数据采集,Charles需要做的就是把服务器伪装成客户端,把客户端伪装成服务器,具体来说:
1)拦截来自真实客户端的HTTPS请求,假装客户端向真实服务器发送HTTPS请求;
2)接受真实服务器的响应,用Charles自己的证书伪装服务器,将数据内容发送给真实客户端。
抓包操作准备
装备
可以正常连接到无线WIF的计算机(请注意,由于操作步骤疏忽或由于终端的高安全性导致伪装失败,因此无法捕获和分析内容)
安卓手机
安卓数据线
软件
查尔斯
滴滴登录信息获取
我们以抓取滴滴APP的登录信息为例,详细介绍使用Charles bag抓取工具在Windows电脑上抓取移动应用流量数据的方法。
计算机配置
1.安装查尔斯应用程序
下载并安装charles bag grab软件(官方网站地址:https://www.charlesproxy.com/)。要连接稳定的WiFi,手机也需要连接同一个WiFi。
2.环境配置,防火墙需要关闭。
控制面板-系统和安全Windows防火墙-自定义设置(有关详细步骤,请参见下面的组图)
1.控制面板
2.系统和安全
3.Windows防火墙
自定义设置
代理软件查尔斯配置
如果选中代理-窗口代理,计算机上的包抓取请求也将被抓取。如果只抢到手机,可以取消勾选此栏。
1cd4f1e9637e3c909bf4443?from=pc">1、http代理设置:端口自定义,默认8888
2、SSL代理
3、安装证书:点击下图标记“1”所示位置,安装证书至受信任的根证书颁发机构。
具体安装步骤如下:
1
2
3
4、安装完成后可以在证书管理中心确认安装详情。
5、点击图示标记“2”,弹框所示的IP、端口及网址都将应用于手机端的配置。
手机端配置
1、手机代理配置,连接至PC相同WiFi,选择修改网络,高级设置中的代理设置根据上一步骤弹框所示决定。
2、连接成功后,PC端会显示下图弹框,点击Allow ,允许即可。(如果误点Deny,请重启Charles。)
3、手机浏览器访问Charles服务器,下载安装信任证书。
手机浏览器访问网址chls.pro/ssl ,会弹出证书安装说明,输入名称并且保存即可。(部分手机可能会有网络被监控的风险警告提示。)
4、手机开启应用进行登录操作,点击charles页面的小圆点开始进行捕获查看分析。扫帚形状是用来清除捕获记录的,这个可以用来清除我们需要捕获的步骤数据之前产生的数据,将捕获数据精确到操作步骤,也避免了更多的干扰项。
*将操作精确到登录点击的那一步,使用小扫帚清除之前的捕获数据,先点击开始捕获再手机点击登录,再登陆成功后点击停止捕获,该步骤可以有效减少干扰项。
我们可以看到该应用通过短信验证码的登录请求信息,如下图:
其请求网址为https://epassport.马赛克.com.cn/passport/login/v5/signInByCode
1)点击Request:可查看其发送的请求的参数信息。
可以看到将电话号码和短信验证码以及其他应用信息打包发送至服务器请求登录。
2)点击Response:可查看该请求返回的数据信息。
可以看到该请求返回了结果码,电话号码及token信息等数据。
注意事项
1、电脑端必须关闭防火墙,否则配置完成后,手机极大可能无法联网。因为代理软件无法进行正常的代理转发。
2、电脑端安装证书路径必须在“受信任的根目录下”,否则捕获异常。
3、手机与电脑必须在同一网段下(连接同一个wifi),如果在手机浏览器安装证书时无法联网的情况下,请检查两个终端的wifi连接情况,因为在网络不稳定的情况下,可能会自动断开当前连接并连接至新网络(可以清空当前所有无线网络连接信息以避免该现象发生)。
4、https协议由于其加密本质,在捕获流量包时手机端也必须安装信任证书,否则捕获的包将以unknown的形式展示,无法正常查看内部信息。
5、捕获手机流量包时,电脑端的charles必须处于开启状态,否则无法进行转发,手机也不能正常联网。
6、在不需要捕获数据包时或是电脑端charles关闭的状态下,正常使用手机需要关闭代理,可以选择断开当前wifi或是修改关闭wifi高级配置中的代理设置。
7、抓包结束后,为保障电脑和手机数据安全,建议重新开启电脑防火墙和移除手机端的Charles信任证书。
本文介绍了一种利用charles抓包工具捕获手机Android端的应用流量的方法,可以为非接触类案件的调查取证工作带来更多的思路和线索。
如对文中的操作、描述有任何疑问,或者有任何取证需求,欢迎拨打热线电话028-85211099或直接在微信公众号给我们留言,我们会尽快联系您。