为什么像是王荣耀助手这样的 APP 即使用 Charles + 挂了 https 证书也抓包不了?

2018-09-15 13:02:45 +08:00
 think2011

虽然能看到请求部分信息,但是数据发送和返回部分是完全加密的,也看不出任何特征,是怎么做到的?

5891 次点击
所在节点    程序员
34 条回复
sobigfish
2018-09-15 18:08:30 +08:00
这么给你演示
ju5t4fun
2018-09-15 18:53:24 +08:00
@think2011 #19 超出可打印 ASCII 码范围的都会显示成乱码,又不是 base64,怎么会是数字加字母
think2011
2018-09-15 18:58:43 +08:00
@sobigfish 明白了,谢谢
think2011
2018-09-15 19:06:06 +08:00
也就是说有对应的密钥就能解出真正的内容,而密钥的时候是在 APP 的代码里的
loveCoding
2018-09-15 19:26:01 +08:00
@think2011 #24 动态下发的吧
Sasasu
2018-09-15 21:32:32 +08:00
Wireshark 不是万能的, 手机上用 df 算法的话 Wireshark 也解密不了 https, Wireshark 并没有内置中间人攻击, 并且你不可能有人家的私钥.
Sasasu
2018-09-15 21:33:58 +08:00
df 算法 -> dh 算法
我建议先把里面的东西拿出来, 看看文件头, 说不定只是 zip 了一下呢
zhenjiachen
2018-09-15 22:01:53 +08:00
http://imgur.com/zQtUfYl
请求头里面有加密方式,但是没见过这种加密,还有一个 bea_key 的请求头不知道是不是密钥
zhenjiachen
2018-09-15 22:02:39 +08:00
[Imgur]( )
图片不会显示?怎么只有链接
x7395759
2018-09-15 22:07:02 +08:00
多读书哇,tcp/ip 详解卷 I
Torpedo
2018-09-15 23:19:23 +08:00
我记得 app 是可以校验你 https 的证书的。保证没有被中间人
byteli
2018-09-16 09:54:22 +08:00
1,游戏肯定使用二进制协议
2,游戏打包时肯定会打包一大堆各种各样包含各种功能的 sdk,这些 sdk 可能有 http 类文本协议的,但是数据内容一般也是二进制,抓到这些非游戏数据也没啥意义
smallthing
2018-09-16 13:27:41 +08:00
上面一堆不懂的,助手又不是游戏
think2011
2018-09-16 14:11:25 +08:00
@smallthing 是的

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/489595

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX