1. 为什么安卓高版本抓包这么难记得我第一次用Charles抓安卓App的包时用的是安卓5.0的模拟器整个过程顺利得让人怀疑人生。但当我切换到安卓7.0的模拟器时突然发现所有HTTPS流量都变成了乱码那种感觉就像突然失明了一样。后来才知道从安卓7.0开始Google引入了一个重要的安全机制变化系统不再信任用户安装的CA证书只信任系统级别的证书。这个改动对普通用户来说是好事安全性提高了。但对于我们这些需要做安全测试、逆向分析或者调试网络请求的开发者来说简直就是噩梦。想象一下你明明已经按照传统方法安装了Charles证书App也能正常联网但Charles里就是看不到HTTPS请求内容只能看到一堆TLS握手失败的记录。更麻烦的是很多新开发的App还会额外启用证书固定Certificate Pinning机制这就让抓包变得难上加难。不过别担心今天我要分享的这套方法就是专门攻克这个难题的。实测在安卓9.0、10.0甚至11.0上都能稳定工作。2. 准备工作搭建测试环境2.1 选择合适的安卓模拟器我试过市面上几乎所有主流模拟器最终发现雷电模拟器9.0是最稳定的选择。它基于安卓7.1内核完美支持我们需要修改系统证书的操作。安装过程很简单去雷电模拟器官网下载最新版安装时建议选择自定义路径不要装在C盘首次启动时在设置里把内存调到4096MBCPU核心数设为4根据你电脑配置调整注意一定要确认模拟器的安卓版本是7.0以上可以在设置-关于平板电脑里查看。2.2 配置Charles抓包工具Charles的配置有几个关键点容易踩坑版本选择建议用Charles 4.6.1以上版本太老的版本可能不支持新版TLS代理设置记住默认端口是8888如果冲突可以改成其他端口SSL代理设置要勾选Enable SSL Proxying并在SSL Proxying Settings里添加需要抓取的域名或者直接填*.*抓所有安装好Charles后先别急着连接模拟器我们需要先导出Charles的根证书。在Charles菜单栏选择Help - SSL Proxying - Save Charles Root Certificate...保存为charles.pem文件。3. 突破限制的关键系统级证书安装3.1 获取证书哈希值这是整个过程中最容易被忽视但最关键的一步。安卓系统要求所有系统证书必须按照特定格式命名。打开终端Mac/Linux或命令提示符Windows执行openssl x509 -subject_hash_old -in charles.pem你会看到一个类似c4db6958的8位哈希值输出。记下这个值接下来我们要用。3.2 证书文件处理把刚才导出的charles.pem文件重命名为哈希值.0的格式。比如我的例子中就是c4db6958.0这个.0后缀不能省略如果有多个证书哈希冲突后续证书会使用.1、.2递增。3.3 推送到模拟器系统目录现在启动雷电模拟器确保在设置里开启了root权限。然后按以下步骤操作把重命名后的证书文件拖到模拟器的共享文件夹通常是/mnt/shared/Pictures/打开终端连接模拟器adb connect 127.0.0.1:5555 adb shell获取root权限su重新挂载系统分区为可写mount -o rw,remount /复制证书到系统证书目录cp /mnt/shared/Pictures/c4db6958.0 /system/etc/security/cacerts/设置正确的文件权限chmod 644 /system/etc/security/cacerts/c4db6958.0完成这些步骤后建议重启模拟器让系统重新加载证书。4. 配置网络代理与验证4.1 设置模拟器网络代理现在进入模拟器的WiFi设置长按当前连接的WiFi网络选择修改网络显示高级选项代理选择手动代理主机名填写你电脑的局域网IP不是127.0.0.1代理端口填写Charles的监听端口默认88884.2 验证抓包效果打开模拟器中的浏览器访问https://www.google.com。如果一切正常你应该能在Charles里看到完整的HTTPS请求内容而不是之前的乱码或握手失败。如果某些App还是抓不到包可能是它们使用了证书固定。这时候可以尝试以下方法使用objection框架注入绕过证书固定配合Postern设置全局代理对App进行逆向修改去掉证书固定检查5. 常见问题排查指南在实际操作中我遇到过各种稀奇古怪的问题这里分享几个典型case的解决方法问题1adb devices找不到模拟器解决方法确认模拟器已经开启开发者模式设置-关于平板电脑-连续点击版本号7次在模拟器设置中开启USB调试重启adb服务adb kill-server adb start-server问题2mount命令提示Read-only file system解决方法确认已经执行了su获取root权限尝试完整的remount命令mount -o rw,remount -t ext4 /system有些模拟器需要先执行adb remount问题3Charles看不到任何网络请求解决方法确认电脑防火墙没有拦截Charles检查模拟器代理设置是否正确指向了电脑IP在Charles中确认SSL代理已经启用尝试在模拟器中安装用户证书虽然不能用于HTTPS解密但可以帮助诊断连接问题问题4某些App显示网络错误这通常是因为App启用了证书固定。除了之前提到的方法还可以尝试使用Frida脚本hook证书验证逻辑修改APK的network_security_config.xml文件使用虚拟Xposed环境配合JustTrustMe模块6. 进阶技巧应对更复杂场景当你能稳定抓取普通HTTPS流量后可能会遇到更复杂的情况。这里分享几个实战中总结的技巧6.1 处理HTTP/2和QUIC协议新版安卓开始默认启用这些新协议可能导致Charles抓包不完整。解决方法在Charles的Proxy设置里禁用Enable HTTP/2在模拟器的开发者选项中找到实验性WebView功能关闭QUIC协议支持6.2 绕过证书透明度检查安卓8.0引入了证书透明度要求可以通过修改系统时间到证书有效期之前临时解决或者settings put global ntp_server time.google.com6.3 持久化系统修改模拟器重启后系统证书可能会被还原。要持久化修改需要将证书复制到/system分区后执行sync reboot或者考虑使用Magisk模块来管理系统证书经过这些年的实战我发现移动安全测试就像一场猫鼠游戏。每当Google推出新的安全机制安全研究人员就会找到新的突破方法。掌握系统级证书安装只是第一步真正的挑战在于理解背后的原理这样才能随机应变。最近我在研究如何结合Frida动态插桩来绕过更复杂的保护机制也许下次可以分享这方面的经验。