当前位置：首页 > article >正文

Android 14/15抓包实战：从系统证书注入到应用进程级捕获

article 2026/4/16 18:13:21

1. Android 14/15抓包的核心挑战最近在给公司做安全测试时遇到了一个头疼的问题新采购的一批Android 14/15设备死活抓不到HTTPS包。折腾了整整两天才发现原来是系统证书存储机制发生了重大变化。传统方法把证书放到/system/etc/security/cacerts完全失效了这让我这个老手也栽了跟头。Android 14开始Google引入了APEX模块化机制证书存储路径改到了/apex/com.android.conscrypt/cacerts。这个目录受到SELinux严格保护就算有root权限也很难直接修改。更麻烦的是很多厂商设备现在默认都锁了bootloader根本没法持久化修改系统分区。我测试过市面上主流的抓包方案直接导入用户证书Android 7以下有效修改系统证书目录Android 13以下有效各种抓包工具的VPN模式部分应用会检测结果发现在Android 14/15上这些方法全军覆没。特别是金融类App基本都启用了证书固定Certificate Pinning连Frida hook都变得异常困难。经过反复实验终于摸索出一套可行的组合拳方案。2. 临时注入系统证书的实战方案2.1 动态挂载证书目录的黑科技传统方案是直接修改系统分区但在新设备上这招已经行不通了。我的解决方案是利用tmpfs内存文件系统动态挂载#!/system/bin/sh # 创建临时证书目录 mkdir -p -m 700 /data/local/tmp/tmp-ca-copy # 复制原有证书 cp /apex/com.android.conscrypt/cacerts/* /data/local/tmp/tmp-ca-copy/ # 挂载tmpfs到系统证书目录 mount -t tmpfs tmpfs /system/etc/security/cacerts # 迁移证书并添加自定义CA mv /data/local/tmp/tmp-ca-copy/* /system/etc/security/cacerts/ cp /data/local/tmp/your_ca.0 /system/etc/security/cacerts/ # 设置权限和SELinux上下文 chmod 644 /system/etc/security/cacerts/* chcon u:object_r:system_file:s0 /system/etc/security/cacerts/*这个脚本的精妙之处在于完全在内存中操作不修改物理分区保持原有证书不丢失通过SELinux权限检查2.2 进程级证书注入技巧光挂载还不够必须让所有进程看到新证书。这里需要用到Linux的namespace技术# 获取zygote进程ID ZYGOTE_PID$(pidof zygote || true) ZYGOTE64_PID$(pidof zygote64 || true) # 注入到zygote的mount namespace for Z_PID in $ZYGOTE_PID $ZYGOTE64_PID; do if [ -n $Z_PID ]; then nsenter --mount/proc/$Z_PID/ns/mnt -- \ /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts fi done # 处理已启动的应用进程 APP_PIDS$(ps -o PID -P $ZYGOTE_PID $ZYGOTE64_PID | grep -v PID) for PID in $APP_PIDS; do nsenter --mount/proc/$PID/ns/mnt -- \ /bin/mount --bind /system/etc/security/cacerts /apex/com.android.conscrypt/cacerts done实测发现有些应用会自己重新挂载namespace所以最好每隔10秒重新执行一次注入。可以用while循环配合sleep实现自动化。3. 应用级流量精准捕获3.1 基于tcpdump的进程过滤证书问题解决后接下来就是精准抓包。我最推荐tcpdumpwireshark组合# 查找目标应用进程 ps -Ao PID,NAME,ARGS | grep com.target.app # 获取该进程使用的端口 netstat -anp | grep PID # 抓取特定端口流量 tcpdump -i wlan0 -s0 -w /sdcard/capture.pcap port 443 or port 8080这里有几个实用技巧用-s0参数确保抓完整数据包WiFi和移动网络要分别抓wlan0 vs rmnet_data0复杂过滤条件可以保存到文件用-F参数加载3.2 高级过滤技巧遇到这些特殊情况可以这样处理IPv6流量添加ip6过滤条件QUIC协议抓取UDP 443端口WebSocket过滤tcp[((tcp[12:1] 0xf0) 2):4] 0x47455420推荐保存常用过滤规则# HTTP请求头捕获 tcpdump -i any -A tcp[((tcp[12:1] 0xf0) 2):4] 0x47455420 # 抓取DNS查询 tcpdump -i any -s0 -A udp port 534. 疑难问题解决方案4.1 证书仍然不生效遇到过几次脚本执行成功但证书就是不生效的情况通常是因为应用使用了自定义TrustManager系统启用了hardened_mallocSELinux策略阻止了mount操作解决方案分三步走检查SELinux审计日志dmesg | grep avc临时放宽SELinuxsetenforce 0用strace跟踪SSL握手过程strace -f -e traceopenat -p APP_PID4.2 应对证书固定Pinning对于使用证书固定的应用可以尝试Xposed模块TrustMeAlreadyFrida脚本Java.perform(function() { var Certificate Java.use(java.security.cert.Certificate); Certificate.verify.implementation function() { console.log(Bypassing certificate verification); }; });内核模块手动修改内核中的证书校验函数5. 自动化脚本集我把常用操作封装成了几个实用脚本cert_inject.sh证书注入#!/system/bin/sh # 自动识别Android版本 if [ -d /apex/com.android.conscrypt ]; then # Android 14方案 ./inject_apex.sh else # 传统方案 mount -o rw,remount /system cp *.0 /system/etc/security/cacerts/ chmod 644 /system/etc/security/cacerts/* mount -o ro,remount /system ficapture.sh智能抓包#!/system/bin/sh # 自动选择网卡 INTERFACE$(ip route | awk /default/ {print $5}) # 智能识别HTTP/HTTPS端口 PORTS$(netstat -tuln | awk /LISTEN/ {print $4} | awk -F: {print $NF} | sort -u) # 开始抓包 tcpdump -i $INTERFACE -s0 -w /sdcard/$(date %s).pcap port ($(echo $PORTS | tr |))这些脚本我都放在Gist上持续更新建议保存到设备的/data/local/tmp目录下使用。

Android 14/15抓包实战：从系统证书注入到应用进程级捕获

相关文章：

Android 14/15抓包实战：从系统证书注入到应用进程级捕获

TimesFM时间序列预测：谷歌基础模型让零样本预测变得如此简单

新手小白实战教程：用 TRAE 从零创建一个“个人日记本”网页应用

PCB设计老鸟的AD21 DRC设置清单：如何为你的高速板与低速板定制专属检查规则

《TRAE从入门到精通全攻略》，零基础也能快速上手，助力你快速成长为程序员

MDAnalysis解决方案：分子动力学模拟分析效能提升框架

国民技术 N32G452CCL7 LQFP-48 单片机

宝塔面板卸载后网站数据还在吗？保姆级清理与重装避坑指南

3分钟搞定！Windows包管理器Winget一键安装终极方案

War3地图编辑器进阶：利用炮火攻击实现混乱伤害技能的完整指南

Dify聊天框太丑？手把手教你从嵌入代码到Docker镜像的完整UI定制流程

【计算机网络实验报告2】网络常用命令与基本配置

RevokeMsgPatcher：Windows平台微信/QQ/TIM防撤回解决方案深度解析

TurboVNC完整安装与配置指南：高性能远程桌面解决方案

大模型修炼秘籍第十章：多才多艺——多任务微调

遗传算法实战：解码带时间窗约束的车辆路径规划(VRPTW)

2026届必备的六大AI写作平台横评

从MODE到INTERCONNECT：环形谐振器电路级仿真全流程解析（含Lumerical脚本示例）

建站系统怎么选？2026年SaaS平台与开源CMS对比分析

从寄存器配置到数据解析：基于STM32与MAX31856的E型热电偶测温实战

2025年八大网盘直链下载工具LinkSwift完整使用指南：告别限速，实现全速下载

LIS3DHTR三轴加速度计：从智能穿戴到工业监测的全场景应用解析

平衡树的本质的庖丁解牛

从论文到GitHub：手把手复现TCom顶会混合波束成形MMSE算法（含Python/Matlab代码解析）

网安人必藏！Web 安卓 APP 软件逆向知识点

STM32-结构体对齐与内存池实战优化

Node.js实战：手把手教你调用EduCoder实训平台API（附完整封装代码）

企业级百度云自动化管理终极指南：bypy命令行工具深度解析

炉石传说HsMod插件：55项功能全面指南与高效安装教程

PHP SAAS 框架常见问题——配置问题——小程序消息推送配置 Token 校验失败