PCAPdroid

PCAPdroid是一款专为Android平台设计的开源网络分析工具，无需Root权限即可实时监控、捕获和分析设备上的网络流量。无论是开发人员调试应用、安全研究员检测恶意行为，还是普通用户了解应用网络活动，PCAPdroid都提供了直观易用的抓包解决方案，让您清晰掌握设备的每一次网络请求，全面透视移动应用的网络行为。

软件功能

1、【无Root抓包】

基于VPN服务实现免Root流量捕获，支持TCP/UDP/HTTP/HTTPS等协议。

2、【实时流量监控】

动态显示各应用网络请求详情，包括域名、IP地址、数据大小和时间戳。

3、【pcap文件导出】

将捕获的网络流量导出为标准pcap格式，便于Wireshark等专业工具分析。

软件说明

1、隐私安全优先，流量处理设备本地完成，无需上传，最大保护用户隐私。

2、HTTPS流量解析，配合用户安装的CA证书，支持HTTPS流量解密与分析。

3、开源透明，代码完全开源，接受社区监督，杜绝潜在后门与数据收集行为。

4、界面直观清晰，以图表化方式展示网络流量统计，关键信息一目了然。

主要亮点

1、零Root捕获，利用安卓VPN服务绕过高权限限制，即装即用，安全无风险。

2、可视化预览，抓包直接查看BMP、PNG、GIF、JPG、WEBP图片及协议树。

3、实时通知，可设定当指定应用或协议产生流量时弹窗提醒，第一时间发现偷跑。

PCAPdroid抓包教程

1、实时抓包

显示为就绪状态后，点击就绪或上面的开始按钮:arrow_forward:便可开始捕获，之后到连接页面可以实时查看所有的连接：

不难发现，这些连接会标注是哪些APP进程产生，并显示目的域名、协议、端口，以及连接状态等基本信息。

1)过滤特定目标

左图通过搜索框过滤特定目标主机，可以看到这些连接目前已经是关闭状态(CLOSED)，因为用的是短连接场景;任意点选一个连接可以看到概览信息，包括连接持续时间，访问的URL、协议、进程APP和进程ID，以及产生的流量大小和载荷长度：

2)查看HTTP请求和载荷

此外，HTTP以及载荷选项可以清晰看到这条TCP连接，所请求的内容和响应的内容：

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换即可，如右图所示：

2、保存为PCAPNG格式进行分析

1)解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式，付费后解锁的功能，目前价格是13港币即可解锁，并且解锁后允许进行TLS解密，在设置里面勾选即可：

2)设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的下载;

PCAP文件：直接以PCAP格式文件存储到手机;

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3)实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

导出到电脑上使用wireshark打开看看

打开后是标准的数据包格式和完整交互的报文，包括TCP握手、DNS查询、TLS握手等，到这一步几乎已经秒杀目前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

4)wireshark安装lua插件显示APP名称

可选项，官方提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程APP是谁

前提：

①开启了PCAPdroid Trailer选项，并禁用了PCAPNG格式(禁用PCAPNG格式依然不影响你转储PCAP格式文件)：

3、解密https/tls报文

解密HTTPS/TLS报文，前提需要安装一个附加组件，并且使用这个附加组件来启动app。

1)安装PCAPdroid-mitm

在设置页面勾选TLS解密，点击下一步会提示你如何安装附加组件：

2)导出并安装CA证书

PCAPdroid mitm使用mitmproxy代理TLS会话，因此需要导出PCAPdroid mitmproxy的CA证书，并且在安卓系统设置里安装证书，证书名称任意

3)启用TLS解密功能

安装完毕后，使用PCAPdroid mitm打开PCAPdropid，在设置里便可成功勾选启用TLS解密功能：

核心优势

1、零门槛使用，免Root特性大幅降低使用门槛，普通用户也能快速上手。

2、专业级功能，从基础监控到高级分析的全套工具，满足专业开发与安全分析。

3、资源占用极低，轻量级设计，抓包过程中几乎不影响设备性能与网络速度。

4、持续迭代更新，活跃的开源社区持续优化功能，及时适配新版Android特性。