PCAPdroid

PCAPdroid抓包工具是一款适用于安卓系统的网络数据捕获与分析应用，无需获取root权限就能使用。它可以实时监控移动设备的网络通信状态，把所有的进出流量转换成标准的PCAP格式文件，便于用户借助Wireshark等桌面工具开展深度分析。该应用不仅能识别未加密的数据流，还可以处理经过加密的信息，助力用户排查可能存在的网络风险，或者协助应用开发者调试通信协议。依托其清晰易懂的操作逻辑，用户能够轻松筛选特定应用的网络活动，解析域名信息，并且追踪流量的消耗状况。

应用介绍

PCAPdroid是一款适用于安卓平台的网络嗅探工具，它主要专注于在移动设备上达成专业级别的数据包捕获与分析功能。

其设计目标是在不需要root权限的前提下，尽可能地提供丰富且易于使用的网络诊断能力。

它帮助使用者深入了解并掌控设备上的网络活动，适用于多种网络分析场景。

pcapdroid怎么使用

1、实时抓包

当界面显示就绪状态后，点击该就绪按钮或上方的开始按钮:arrow_forward:即可启动捕获流程，随后进入连接页面就能实时查看所有连接情况。

不难发现，这些连接会标注是哪些进程产生，并显示目的域名、协议、端口，以及连接状态等基本信息。

1)过滤特定目标

左图借助搜索框筛选特定目标主机，能看到这些连接当前处于关闭状态（CLOSED），这是由于使用的是短连接场景；随意选中一个连接即可查看概览信息，涵盖连接持续时长、访问的URL、协议、进程与进程ID，还有产生的流量规模以及载荷长度。

2)查看HTTP请求和载荷

此外，HTTP以及载荷选项可以清晰看到这条TCP连接，所请求的内容和响应的内容：

这些文本可以任意复制或导出。

甚至可以显示为十六进制格式，点击右上角的格式转换即可，如右图所示：

2、保存为PCAPNG格式进行分析

1)解锁并启用PCAPNG格式转储选项

存储格式为PCAPNG，该功能需付费解锁，当前解锁价格为13港币，解锁后可进行TLS解密，在设置中勾选相应选项即可使用。

2)设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的;

PCAP文件：直接以PCAP格式文件存储到手机;

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3)实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

导出到电脑上使用wireshark打开看看

打开后呈现的是标准数据包格式与完整交互报文，涵盖TCP握手、DNS查询、TLS握手等内容，仅这一步就几乎超越了当前市面上所有的安卓端抓包软件。

ICMP和UDP也能全部捕获到

4)wireshark安装lua插件显示名称

可选项，提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程是谁

前提：

①开启PCAPdroid的Trailer选项，同时禁用PCAPNG格式（即便禁用PCAPNG格式，也不会影响你转储PCAP格式的文件）：

3、解密https/tls报文

解密HTTPS/TLS报文，前提需要安装一个附加组件，并且使用这个附加组件来启动。

1)安装PCAPdroid-mitm

在设置页面勾选TLS解密，点击下一步会提示你如何安装附加组件：

2)导出并安装CA证书

PCAPdroid mitm借助mitmproxy代理TLS会话，所以要导出PCAPdroid mitmproxy的CA证书，并在安卓系统设置中安装该证书，证书名称可自行设定。

3)启用TLS解密功能

安装完成后，打开PCAPdroid并启用mitm功能，接着进入设置界面，就能顺利勾选开启TLS解密的选项了。

PCAPdroid抓包工具软件特点

1. 软件运行时，不需要获取安卓设备的最高权限，降低了用户使用门槛，避免了潜在的安全风险。

2. 网络数据捕获完成后，数据会存储为通用格式，方便用户在其他专业软件中继续分析，扩展了应用的使用场景。

3. 此工具能够对应用的网络访问行为进行管控，精准定位并分析特定应用的通讯过程。

4. 应用在捕获数据时，能够显示实时的网络连接状态，协议类型、目标域名等，帮助用户快速了解网络状况。

5. 在捕获到加密数据时，应用提供解密能力，使得更清晰地查看通讯内容，便于分析问题。

PCAPdroid抓包工具主要优势

能够细致地记录每个网络连接的起始时间、持续时长，以及数据传输量，帮助用户全面了解网络使用情况。

除了标准的PCAP格式外，该工具还支持多种导出方式，方便用户根据不同的分析需求选择最合适的格式。

支持设定各种过滤条件，基于应用、域名或协议等，只捕获感兴趣的网络流量，提高分析效率。

对于HTTP协议的数据包，该工具能够直接解析并显示请求头和响应体，省去了用户手动解析的麻烦。

附带域名解析等辅助工具，方便用户在分析网络数据时，能够快速获取相关信息。