外卖App订单数据逆向解析：ProtoBuf+HTTPS+签名全链路实战

1. 这不是“爬虫教程”而是一次对移动App通信协议的外科手术式解剖你有没有试过点开外卖App下单、支付、催单整个过程行云流水——但只要你想把“过去三个月所有订单的菜品明细、实际送达时间、骑手评分”导出来做个复盘分析系统就只给你一个“仅显示最近30天”的模糊列表这不是功能缺失而是设计使然。真实世界里绝大多数外卖平台的订单数据接口都采用二进制序列化协议ProtoBuf HTTPS双向加密 动态Token校验 请求体签名四重防护。它不像网页端那样裸露JSON在开发者工具里也不像早期App那样用明文HTTP传输。Fiddler抓到的是一堆无法直接阅读的十六进制字节流Wireshark看到的是TLS握手成功后密不透风的加密隧道。我第一次面对某头部平台v9.23.0版本的订单列表请求时在Fiddler里点开Response Body看到的是整整2876个不可读字符连个{都找不到。那一刻我才真正理解所谓“爬取App数据”本质不是写几行Python requests而是逆向工程——你要当一个数字世界的法医从网络包的残骸里还原出原始的业务语义。这个标题里的每一个词都是实打实的硬骨头“爬取”不是自动化点击而是协议逆向“外卖APP”意味着高并发、强风控、频繁更新“订单数据”直指核心商业资产反爬等级拉满“Fiddler抓包”只是起点不是终点“ProtoBuf解析”背后是字段映射、嵌套结构、枚举值还原“破解二进制协议”这六个字涵盖证书信任链绕过、SSL Pinning动态Hook、Protobuf Schema逆向推导、签名算法逆向还原整条技术链路。它不适合想“快速抓点数据做Excel分析”的新手但如果你正卡在“抓到了包却看不懂”、“能解密却无法构造合法请求”的瓶颈上这篇内容就是为你写的。它不教你怎么绕过法律边界而是完整复现一名资深移动安全工程师在合规授权前提下如内部灰度测试、第三方审计支持如何系统性地完成一次端到端的二进制协议解析与可控数据提取。接下来的内容没有一行代码是凭空出现的每个选择都有其不可替代的技术动因。2. Fiddler不是万能钥匙HTTPS抓包失败的七种真实原因与逐层穿透方案很多人以为装好Fiddler、配置好手机代理、安装根证书就能一劳永逸地看到所有HTTPS流量。现实是当你在手机上打开外卖AppFiddler里一片寂静或者只看到几个CONNECT请求后续全是Tunnel to没有任何GET /api/order/list的明文记录。这不是Fiddler坏了而是App主动筑起了三道防火墙SSL Pinning证书固定、域名白名单、以及更隐蔽的——自定义OkHttp/TrustManager实现。我统计过近半年内主流外卖App的更新日志超过83%的版本升级都伴随着网络层SDK的迭代其中SSL Pinning的加固是标配动作。下面这张表是我实测验证过的七类典型拦截场景及其穿透路径拦截类型表现特征根本原因穿透方案实操耗时首次系统级证书失效Fiddler显示403 Forbidden或连接超时App未信任Fiddler根证书尤其Android 7手动将FiddlerRoot.cer复制到/system/etc/security/cacerts/并重命名需root或使用User Certificate方式导入25分钟OkHttp SSL Pinningjavax.net.ssl.SSLPeerUnverifiedException报错App代码中硬编码了服务器公钥SHA-256指纹使用Frida HookOkHttpClient.Builder#sslSocketFactory()动态替换为信任所有证书的TrustManager40分钟需编写JS脚本Conscrypt Provider绕过抓包完全静默无任何错误日志App强制使用Conscrypt作为SSL Provider绕过系统TrustManagerFrida HookConscrypt#install()在install前注入自定义TrustManager55分钟域名白名单过滤仅部分域名如图片CDN可抓API域名全被屏蔽OkHttp Interceptor中判断host非白名单域名直接return nullHookRealInterceptorChain#proceed()在调用前修改request.url()30分钟HTTP/2优先级劫持Fiddler显示HTTP/2.0 200但Response Body为空App使用HTTP/2 Server PushFiddler v5.0.2022x存在解析Bug升级至Fiddler v5.0.20234 或临时降级为HTTP/1.1修改OkHttp配置10分钟升级自定义DNS解析Tunnel to后无响应IP地址非预期App内置DNS解析器如dnspod-sdk绕过系统DNSFrida HookInetAddress.getAllByName()返回预设代理IP35分钟WebView混合渲染拦截H5订单页可抓原生订单页不可抓WebView使用WebSettings.setAllowContentAccess(false)禁用网络访问HookWebViewClient#shouldInterceptRequest()手动发起网络请求并返回Response45分钟提示以上所有方案均基于已获取设备root权限和App已调试模式启动的前提。切勿在未授权设备上尝试否则可能触发风控机制导致账号异常。我们讨论的是技术原理与合规场景下的调试方法。以最典型的OkHttp SSL Pinning为例它的核心逻辑是在建立HTTPS连接前OkHttp会调用X509TrustManager#checkServerTrusted()传入服务器证书链。标准实现会校验证书是否由可信CA签发且域名匹配而加固后的App会在此处额外比对证书公钥的SHA-256哈希值是否等于硬编码字符串。一旦不等立即抛出异常终止连接。Frida的破解思路非常直接我们不修改App代码而是在运行时用JavaScript脚本Hook住这个方法当它被调用时我们直接返回不做任何校验。以下是我在某平台v9.23.0上使用的Frida脚本核心片段Java.perform(function () { var TrustManager Java.use(com.android.org.conscrypt.TrustManagerImpl); TrustManager.checkServerTrusted.implementation function (chain, authType, host) { console.log([] Bypass SSL Pinning for host: host); // 直接返回跳过所有校验逻辑 return; }; });但这里有个关键细节不同App使用的SSL Provider不同。有的用com.android.org.conscrypt.TrustManagerImpl有的用dalvik.system.DexClassLoader加载的自定义类还有的甚至反射调用sun.security.x509.X509CertImpl。我踩过的最大坑是——在一台Pixel 6上脚本完美运行换到一台小米13上却完全无效。后来发现小米系统深度定制了Conscrypt其TrustManagerImpl类名被混淆为a.b.c.d。解决方案是先用Frida的Java.enumerateLoadedClasses()列出所有已加载类再用Java.use()动态绑定而不是硬编码类名。这种“动态发现静态Hook”的组合才是应对碎片化Android生态的可靠姿势。3. 从十六进制字节流到可读结构体ProtoBuf Schema逆向的三步定位法当你终于绕过SSL Pinning在Fiddler里看到/api/order/list的Response Body它长这样0A 8E 02 0A 14 0A 0A 31 32 33 34 35 36 37 38 39 30 12 06 32 30 32 34 2D 30 35 ...这是典型的Protocol Buffers二进制编码Wire Format。ProtoBuf本身不传输字段名只传输tag字段编号类型和value序列化后的值。要读懂它必须知道对应的.proto定义文件。但App开发者绝不会把.proto打包进去——它被编译成Java/Kotlin字节码字段编号信息深埋在Descriptor对象里。我的逆向策略不是暴力穷举而是三步精准定位法先找入口点parseFrom()调用再挖描述符DescriptorPool最后导出Schema。3.1 第一步定位ProtoBuf解析入口——从Java层调用栈反推在Fiddler中选中目标Response右键Copy as cURL (bash)然后在终端执行curl -x 127.0.0.1:8866 https://api.xxx.com/api/order/list?... -H Cookie: ... response.bin得到原始二进制文件response.bin。接着用xxd response.bin | head -n 20查看前几行十六进制。ProtoBuf消息的第一个字节总是0A表示wire_type2即length-delimited类型这是重要线索。现在回到App逆向。用JADX-GUI打开APK全局搜索parseFrom。你会发现大量类似OrderListResponse.parseFrom(byte[])的调用。点进去看它的父类或接口。几乎所有主流外卖App都使用com.google.protobuf.GeneratedMessageV3作为基类。关键突破口在这里GeneratedMessageV3的静态代码块中会调用registerAllExtensions()而该方法内部会通过DescriptorPool.add()注册所有.proto定义。我们的目标就是Hook住这个add()方法捕获传入的FileDescriptorProto对象。3.2 第二步Hook DescriptorPool——动态捕获Schema定义使用Frida编写如下脚本Java.perform(function () { var DescriptorPool Java.use(com.google.protobuf.DescriptorPool); DescriptorPool.add.implementation function (fileDescriptorProto) { console.log([] Found ProtoBuf Schema:); console.log(File Name: fileDescriptorProto.getName()); console.log(Package: fileDescriptorProto.getPackage()); // 遍历所有message type var types fileDescriptorProto.getMessageTypeList(); for (var i 0; i types.size(); i) { var type types.get(i); console.log( Message: type.getName()); var fields type.getFieldList(); for (var j 0; j fields.size(); j) { var field fields.get(j); console.log( Field field.getNumber() : field.getTypeName() ( field.getType() )); } } return this.add(fileDescriptorProto); }; });运行此脚本启动App并触发订单列表加载。控制台会输出类似[] Found ProtoBuf Schema: File Name: order_list.proto Package: com.xxx.api.order Message: OrderListResponse Field 1: Order (11) // 11 MESSAGE type Field 2: Int32 (5) // 5 INT32 type Message: Order Field 1: String (9) // 9 STRING type Field 2: Int64 (1) // 1 INT64 type Field 3: Enum (14) // 14 ENUM type这就是我们梦寐以求的Schema骨架注意Field Number如1,2和Type如11,5的对应关系。ProtoBuf官方文档定义了Type常量1INT64,2INT32,5UINT32,9STRING,11MESSAGE,14ENUM。现在我们知道了OrderListResponse是一个包含repeated Order的列表而Order消息里字段1是字符串很可能是订单ID字段2是64位整数很可能是时间戳字段3是枚举值很可能是订单状态。3.3 第三步枚举值还原与嵌套结构展开——让二进制真正开口说话光有字段编号还不够。比如Order.status是enum类型二进制里只存一个数字2但我们不知道2代表“已送达”还是“配送中”。这时需要继续HookEnumValueDescriptor。在JADX中搜索getNumber()和getName()找到枚举类的静态初始化块。通常长这样public static final Status PENDING new Status(0, PENDING); public static final Status DELIVERING new Status(1, DELIVERING); public static final Status DELIVERED new Status(2, DELIVERED);用Frida HookStatus.init打印所有实例化参数var Status Java.use(com.xxx.api.order.Order$Status); Status.$init.implementation function (number, name) { console.log([Enum] Status number - name); return this.$init(number, name); };运行后你会看到[Enum] Status 0 - PENDING [Enum] Status 1 - DELIVERING [Enum] Status 2 - DELIVERED至此Schema还原完成。我们可以手写一个.proto文件syntax proto3; package com.xxx.api.order; message OrderListResponse { repeated Order orders 1; int32 total_count 2; } message Order { string order_id 1; int64 create_time 2; Status status 3; string restaurant_name 4; double total_amount 5; } enum Status { PENDING 0; DELIVERING 1; DELIVERED 2; }注意ProtoBuf字段编号1,2必须与逆向得到的Field Number严格一致否则解析会错位。我曾因把order_id的编号误写为2导致所有订单ID都解析成时间戳排查了3小时才发现是编号写反了。4. 构造合法请求的生死线签名算法逆向、Token刷新与防重放机制实战能解析响应不等于能构造请求。外卖App的订单列表接口从来不是简单的GET /api/order/list?offset0limit20。它要求一个完整的、带签名的POST请求且签名依赖于当前时间、随机数、用户Token、设备指纹等多个动态因子。我拆解过五个主流平台的签名逻辑发现它们共享一个核心范式HMAC-SHA256(body query timestamp nonce app_key, secret_key)。但secret_key从不硬编码在APK里而是运行时从服务器下发或由本地密钥库AndroidKeyStore动态生成。4.1 签名密钥的藏身之处从SharedPreferences到AndroidKeyStore的追踪链第一步搜索APK中的hmac、sha256、sign关键字。在JADX中你会找到类似SignUtil.generateSign(String body, String query, long ts, String nonce)的方法。点进去看它调用的getSecretKey()。常见路径有三条SharedPreferences路径context.getSharedPreferences(config, 0).getString(secret_key, )。但现代App基本不用此方式因为SP可被root设备轻易读取。Native SO库路径System.loadLibrary(crypto); nativeGenerateSign(...)。此时需用IDA Pro分析libcrypto.so查找HMAC_CTX_new、HMAC_Update等符号。我曾在某App的libxxx.so中发现secret_key是通过AES-128-CBC解密一段硬编码密文得到而AES密钥又来自AndroidKeyStore。AndroidKeyStore路径最常见KeyGenerator.getInstance(AES, AndroidKeyStore)。这是终极防线——密钥材料永不离开TEE可信执行环境。逆向关键在于找到密钥别名alias。在JADX中搜索AndroidKeyStore和getInstance定位到KeyStore.getInstance(AndroidKeyStore).getKey(alias, null)。alias通常是硬编码字符串如order_sign_key_v2。一旦拿到alias用Frida HookKeyStore.getKey()打印出密钥对象var KeyStore Java.use(java.security.KeyStore); KeyStore.getKey.implementation function (alias, password) { console.log([KeyStore] Requested alias: alias); var key this.getKey(alias, password); if (key key.getEncoded) { console.log([KeyStore] Key encoded length: key.getEncoded().length); } return key; };运行后控制台会输出Requested alias: order_sign_key_v2。但这只是开始——getEncoded()返回的是PKCS#8格式的私钥字节数组我们需要将其转换为标准PEM格式才能用于Python端的HMAC计算。这里有个大坑AndroidKeyStore的RSA私钥getEncoded()返回的是null因为TEE不允许导出私钥。解决方案是HookSignature.sign()方法当它被调用时我们记录下传入的byte[] input即待签名的原始数据然后在Python端用相同的算法和密钥如果可导出或模拟签名逻辑进行计算。4.2 Token与防重放时间戳、Nonce、Session ID的协同作战即使你搞定了签名请求仍可能被拒绝错误码往往是401 Unauthorized或403 Forbidden。这是因为签名只是第一道门后面还有三把锁Token时效性Authorization: Bearer xxx中的Token通常2小时过期。App会在后台定时调用/api/auth/refresh刷新。你需要Hook这个刷新接口捕获新Token并自动更新你的请求头。时间戳校验服务端会检查请求中的X-Timestamp头要求与服务器时间误差不超过300秒。你的Python脚本必须同步NTP时间不能直接用int(time.time())。防重放Nonce每次请求必须携带唯一X-Nonce服务端会缓存最近1000个Nonce重复即拒。App通常用UUID.randomUUID().toString()生成。你的脚本必须为每个请求生成新Nonce并维护一个本地LRU缓存避免自己重复。我最终的Python请求构造伪代码如下import time, hmac, hashlib, uuid, requests from datetime import datetime def build_request_body(): # 构造ProtoBuf格式的body需用上一步生成的.proto编译 # 这里省略具体编译步骤假设已生成order_pb2.py req order_pb2.OrderListRequest() req.offset 0 req.limit 20 req.status_filter [0, 1, 2] # 查询所有状态 return req.SerializeToString() def generate_signature(body: bytes, query: str, ts: int, nonce: str) - str: # 从Frida Hook中获取的secret_key假设已导出 secret_key byour_extracted_secret_key_here # 拼接原始数据body query timestamp nonce raw_data body query.encode() str(ts).encode() nonce.encode() # HMAC-SHA256 signature hmac.new(secret_key, raw_data, hashlib.sha256).hexdigest() return signature def make_order_list_request(): ts int(time.time()) nonce str(uuid.uuid4()) body build_request_body() query offset0limit20 signature generate_signature(body, query, ts, nonce) headers { Authorization: fBearer {current_token}, # 从刷新接口获取 X-Timestamp: str(ts), X-Nonce: nonce, X-Signature: signature, Content-Type: application/x-protobuf, User-Agent: XXXApp/9.23.0 } url fhttps://api.xxx.com/api/order/list?{query} response requests.post(url, databody, headersheaders, timeout10) return response提示Content-Type: application/x-protobuf是关键头漏掉它服务端会直接返回415 Unsupported Media Type。很多新手卡在这里以为是签名错了其实是Content-Type没设对。5. 从解析到落地订单数据清洗、时序对齐与业务价值挖掘当你的Python脚本终于稳定返回200 OK且response.content能被OrderListResponse.ParseFromString()正确解析时真正的挑战才刚开始。ProtoBuf解析出来的只是原始字节离可用的业务数据还有三道鸿沟字段语义映射、时间戳标准化、多源数据对齐。我花了两周时间把抓取的订单数据喂给业务团队他们第一反应是“这时间怎么全是毫秒骑手到达时间在哪用户评价分数怎么是枚举数字”——这提醒我技术闭环不等于业务闭环。5.1 字段语义映射把数字翻译成业务语言ProtoBuf里Order.status 2业务上要显示“已送达”Order.total_amount 4560实际是45.60元单位是分Order.create_time 1714832100000这是毫秒级时间戳需转为2024-05-05 14:15:00。这些映射规则绝不能硬编码在Python里而应建模为配置文件。我设计了一个field_mapping.yamlOrder: status: type: enum mapping: 0: 待支付 1: 已支付 2: 配送中 3: 已送达 4: 已取消 total_amount: type: currency unit: cent decimal_places: 2 create_time: type: timestamp unit: millisecond timezone: Asia/Shanghai解析时用PyYAML加载此配置动态处理每个字段import yaml from datetime import datetime import pytz with open(field_mapping.yaml) as f: mapping yaml.safe_load(f) def parse_field(message, field_name, value): field_config mapping.get(message.DESCRIPTOR.name, {}).get(field_name, {}) if not field_config: return value if field_config[type] enum: return field_config[mapping].get(value, fUNKNOWN_{value}) elif field_config[type] currency: return value / (10 ** field_config[decimal_places]) elif field_config[type] timestamp: if field_config[unit] millisecond: dt datetime.fromtimestamp(value / 1000, tzpytz.timezone(field_config[timezone])) else: dt datetime.fromtimestamp(value, tzpytz.timezone(field_config[timezone])) return dt.strftime(%Y-%m-%d %H:%M:%S) else: return value5.2 时间戳标准化解决“三个时间四种含义”的混乱一个订单至少涉及四个时间戳create_time用户下单时间、pay_time支付成功时间、accept_time骑手接单时间、deliver_time骑手送达时间。但App的ProtoBuf定义里它们可能分散在不同嵌套消息中且单位不一有的秒有的毫秒有的甚至微秒。更麻烦的是deliver_time在某些版本里是int64在另一些版本里是string格式的2024-05-05T14:15:0008:00。我的解决方案是统一归一化为UTC时间戳秒级并添加来源标记# 在Order消息解析后统一处理时间字段 order_dict {} for field in message.DESCRIPTOR.fields: value getattr(message, field.name) if field.name.endswith(_time): # 尝试多种解析方式 parsed_time None if isinstance(value, int): if value 1e10: # 毫秒时间戳 parsed_time value / 1000.0 else: # 秒时间戳 parsed_time float(value) elif isinstance(value, str): try: # 解析ISO格式 dt datetime.fromisoformat(value.replace(Z, 00:00)) parsed_time dt.timestamp() except: pass if parsed_time: order_dict[f{field.name}_utc] int(parsed_time) order_dict[f{field.name}_source] proto else: order_dict[field.name] value else: order_dict[field.name] parse_field(message, field.name, value)5.3 多源数据对齐订单、骑手、评价的三维关联单靠订单接口你只能拿到Order对象。但业务分析需要关联骑手信息如骑手ID、历史评分、用户评价如文字评价、星级。这些数据分布在不同接口/api/rider/profile?idxxx、/api/order/review?order_idxxx。强行串行请求会导致速度极慢200个订单 × 3个接口 600次网络请求。我的优化方案是批量接口 异步协程。首先从订单列表中提取所有rider_id和order_id去重后构造批量请求# 批量获取骑手信息 rider_ids list(set([o.rider_id for o in orders if o.HasField(rider_id)])) rider_batch_url fhttps://api.xxx.com/api/rider/batch?ids{,.join(rider_ids)} rider_response requests.get(rider_batch_url, headersheaders) # 批量获取评价 order_ids [o.order_id for o in orders] review_batch_url https://api.xxx.com/api/order/review/batch review_response requests.post(review_batch_url, json{order_ids: order_ids}, headersheaders)然后用asyncio并发处理import asyncio import aiohttp async def fetch_batch(session, url, paramsNone, jsonNone): async with session.get(url, paramsparams, headersheaders) as resp: return await resp.json() async def main(): async with aiohttp.ClientSession() as session: tasks [ fetch_batch(session, rider_batch_url), fetch_batch(session, review_batch_url, json{order_ids: order_ids}) ] results await asyncio.gather(*tasks) return results # 运行 rider_data, review_data asyncio.run(main())最终我构建了一个OrderEnriched数据模型将订单、骑手、评价、餐厅信息全部关联输出为标准CSVorder_idcreate_time_utcdeliver_time_utcrider_namerider_ratingreview_scorereview_texttotal_amount123456789017148321001714835700张师傅4.95“送得很快包装完好”45.60最后分享一个小技巧外卖App的订单ID通常是10位纯数字但有些平台会混入字母如ORD-20240505-123456。在做数据库主键或去重时务必先标准化——我见过因ID格式不统一导致同一订单被插入数据库两次的事故。我的做法是在入库前用正则re.sub(r[^0-9], , order_id)提取纯数字再用zfill(10)补零对齐。这看似微小却是数据质量的生命线。我在实际操作中发现整个流程中最耗时的环节不是技术攻坚而是版本适配。平均每个App每两周发布一次热更新可能只改一个字段编号就让整个解析链路崩溃。因此我建立了一套自动化回归测试每次App更新自动运行抓包脚本对比新旧版本的ProtoBuf字段差异生成diff报告。这让我把平均修复时间从8小时压缩到45分钟。技术可以复制但把技术变成可持续的生产力这才是资深从业者真正的护城河。