Frida在抓包中的应用

1. CLICK TO EDIT MASTER TITLE STYLE

2. Frida在抓包中的应用 r0ysue

3. 安卓应用层抓包通杀脚本：r0capture r0capture 简介 • 仅限安卓平台，测试安卓7、8、9、10、11 可用； • 无视所有证书校验或绑定，不用考虑任何证书的事情； • 通杀TCP/IP四层模型中的应用层中的全部协议，包括： Http,WebSocket,Ftp,Xmpp,Imap,Smtp,Protob uf等等、以及它们的SSL版本； • 通杀所有应用层框架，包括HttpUrlConnection、 Okhttp1/3/4、Retrofit/Volley等等； • 无视加固，不管是整体壳还是二代壳或VMP，不用考虑加固的事情；

4. r0capture的应用应用 • 抓包实战 • 直接抓到明文 • 直接定位到调用栈 • 直接定位到证书 • 直接定位到SSL pinning位置 • 直接保存流量 • 直接忽略对抗

5. r0tracer/迅速定位系统框架

6. TCP/IP四层模型 TCP/IP四层模型负责具体应用层协议的定义，包括Tehet、FITP 、SMTP 、DNS、NNTP、和HTTP(s)等。在这一层定义了两个端到端的协议TCP和UDP，使源端和目的端机器上的对等实体可以基于会话相互通信。TCP是面向连接的协议/UDP是面向无连接的不可靠传输的协议。主要用于数据的传输、路由及地址的解析，以保障主机可以把数据发送给任何网络上的目标。数据经过网络传输，发送的顺序和到达的顺序可能发生变化。在网络层使用IP和地址解析协议( ARP )。定义了主机间网络连通的协议，具体包括Echernet、FDDI、ATM等通信协议。

7. TCP/socket抓包核心原理：对于Java层收发包函数的hook和转储，也就是： java.net.SocketOutputStream.socketWrite0 和 java.net.SocketInputStream.socketRead0

8. SSL/so抓包核心原理：对于Native层收发包函数的hook和转储，也就是SSL库中的，SSL_read和SSL_write函数的收发内容

9. 客户端证书核心原理：对框架库中打开的证书对象进行转储

10. 证书定位核心原理： • 所有SSL pinning都必定要打开文件计算哈希 • hook所有文件打开操作，从调用栈定位混淆位置

11. 自编译SSL 核心原理：找到自编译SSL中类似的收发包函数

12. flutter 核心原理：找到dart库中收发包函数

13. eCapture 核心原理：基于eBPF技术实现TLS加密的明文捕获 • eBPF HOOK uprobe实现的各种用户态进程的数据捕获，无需改动原程序。 • SSL/HTTPS数据导出功能，针对HTTPS的数据包抓取，不需要导入CA证书。 • bash的命令捕获，HIDS的bash命令监控解决方案。 • mysql query等数据库的数据库审计解决方案。