使用tcpdump+wireshark进行应用分析

前一段时间接了一个任务，把目前主流的应用市场请求响应全抓出来分析一下，出个报告。至于分析这些应用的目的就不直说了。然后在邮件后面列出了一个长长的应用列表，包括：91、360、机锋、应用汇、安智、安卓...等等，以致于我把这些应用都装测试机上发现手机内存不够用了。

不过加班加点昨天可算弄完，分析结果就不贴出来了，这里只记录一下方法。

一、需要使用如下软件：

android sdk （我装的2.1）

抓包：tcpdump

分析包：Wireshark Version 1.6.2

二、抓包(需要root过的手机)：

首先进入android sdk中的platform-tools路径，执行：

adb push D:/tcpdump /data/local/tcpdump  //把tcpdump放在data/local路径下

执行adb shell，进入android的shell环境，执行su切换到root用户。

最后执行：/data/local/tcpdump -p -vv -s 0 -w /sdcard/capture.pcap

这时抓包就开始了，可以在手机上使用你需要分析的应用进行抓包。

抓完之后按ctrl+c停止抓包，然后退出android shell环境，执行：

adb pull /sdcard/capture.pcap

获取刚才抓到的文件到本机。

三、分析包：

用wireshark打开刚才获取到的pcap文件：

可以看到刚才抓到的包，但其实我只需要看http协议，因此在filter框中输入http来过滤一下。

点击某一个抓到的http包，可以查看它的详细信息：

通过Analyze菜单中的Follow Tcp Stream选项，查看请求响应header以及body的内容：

这样就可以对应用的请求响应进行分析。

当然，wireshark还有许多强大的功能，此处就不一一介绍，请查看相关文档。

 

附：

编译好的tcpdump下载地址：http://www.eecs.umich.edu/~timuralp/tcpdump-arm

Wireshark下载地址:http://www.wireshark.org/download.html