Android抓包 - 客户端证书认证进阶(代码混淆)

已于 2024-12-23 07:43:52 修改
阅读量1.2k 收藏 19
点赞数 24
分类专栏: Android 逆向进阶 文章标签: 爬虫
于 2024-05-13 22:37:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/dafan0/article/details/138822246
版权
本文详细介绍了如何处理混淆后的Android应用中客户端证书校验问题,包括混淆后调用栈分析、Hook系统关键位置,以及针对滴答清单App的案例,涉及到pinner校验、证书校验和主机校验的绕过方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一,关于混淆

  • 在安卓开发中,对于第三方的包是可以进行混淆的,例如:OKHttp3.Http.Cert.check 被混淆后可以是a.f.c.b 形式。
  • 在安卓开发中,系统包是无法混淆的,例如:java.security.KeyStore不会被混淆。

由于这种的情况的存在,再次审示我们之前的通用脚本,就会发现他是不通用的,例如:

  • 客户端证书校验的frida脚本【不通用,被混淆后无法用】

    Java.use('okhttp3.CertificatePinner');  
Java.u
了解本专栏 订阅专栏 解锁全文 超级会员免费看
Android抓包 -抓包策略总结
dafan0的博客
06-02 705
可以思考是否是使用其他框架如flutter进行的开发或使用了自定义的协议进行的网络通信,此时需要先借助更加底层的抓包工具如wireshark进行协议分析,明确具体使用了那种协议后,才好确定后续的绕过方案。也许以上方式都尝试了,结果依然无法抓包抓包前,可能会遇到 app 检测。
【我的Android进阶之旅】如何使用NanoHttpd在Android端快速部署一个HTTP服务器?
字节卷动
03-04 388
物联网设备的控制中枢本地文件的共享基站快速验证API的Mock平台下次可以试试结合WebSocket做实时通信,或者用这个方案实现离线版接口Mock工具。NanoHttpd就像Android界的乐高积木——轻量、灵活,15分钟就能搭出一个功能完备的HTTP服务器。无论是调试H5页面、实现设备间数据传输,还是给产品经理秀技术肌肉,都是绝佳选择。一个优秀的Android工程师,应该既能用OkHttp当客户端,也能用NanoHttpd当服务端——这才是真正的"HTTP全栈"!
App 混淆
奋斗
01-27 1198
Android Guide:http://developer.android.com/tools/help/proguard.html APP混淆是通过在语义上去除无用的类、变量和方法,修改它们的名字来提高APP的反编译难度。 APP混淆器已集成在Android SDK中,使用时只需要使用下列代码打开它: android {   ...    bu
C# 客户端混淆 反编译尝试
weixin_41619400的博客
07-16 782
1、反编译 反编译工具:dnSpy.exe 2、客户端C#开发 3、混淆加壳工具 Themida 步骤: 1、混淆 2、反编译 混淆前:源码一览无余 3、NSIS 打包 出现问题:客户端无法打开,提示 最后打包文件 打包进去,打包程序正常运行。 ...
客户端安全】js/app端加密,混淆技术
编程哲学家的专栏
12-18 303
客户端安全】js/app端加密,混淆技术
Android混淆你了解多少?
Android 开发架构
07-17 1633
Android 日常开发过程中,混淆是我们开发 App 的一项必不可少的技能。只要是我们亲身经历过 App 打包上线的过程,或多或少都需要了解一些代码混淆的基本操作。那么,混淆到底是什么?它的好处有哪些?具体效果如何?别急,下面我们来一一探索它的"独特"魅力。 ##1混淆简介 代码混淆(Obfuscated code)是将程序中的代码以某种规则转换为难以阅读和理解的代码的一种行为。 混淆的好处...
Android抓包 - 证书认证
dafan0的博客
05-12 1136
下图为HTTP协议的请求过程:传输过程中都是明文数据下图为HTTPS协议的请求过程:注意:公钥加密的数据只能通过对应的私钥才能解密,就算是进行加密的公钥也不能进行解密。加入charles后的流程如下:对于HTTP请求,charles不需要做什么配置,即可抓到包。对于HTTPS请求,charles如果不进行设置,抓到的包是经过了加密的。如果想进行解密,就需要得到对称密钥,而获得对称密钥的方法通过charles抓包是实现不了的。
:实用 FRIDA 进阶 --- objection :内存漫游、hook anywhere、抓包
墨鱼菜鸡
07-11 4885
转载:实用FRIDA进阶:内存漫游、hook anywhere、抓包:https://www.anquanke.com/post/id/197657 frida github 地址:https://github.com/frida/frida objection github:https://github.com/sensepost/objection...
Android中高级进阶开发面试题冲刺合集(六)
m0_64420071的博客
10-11 946
以下主要针对往期收录的面试题进行一个分类归纳整理,方便大家统一回顾和参考。本篇是第六集~
java代码混淆 项目加密解决方案 class文件加密 支持JDK16
专注AI大模型,软件混淆,授权
10-18 1248
通过 gui反编译代码效果如下: 核心代码,加密串 一览无余. 无法保证版权, 成果被随意盗用,下面这展示 ,通过 本工具加密后的效果 package come.tool.wari.util; import java.io.File; import java.io.PrintStream; import java.util.HashMap; import java.util.Iterator; import java.util.List; import java.util.Map; import
java中MD5混淆
一个普通码农的总结
03-26 938
网站的密码等都需要进行加密后存入数据库,流行的方法采用的是MD5混淆,下面就这种方法做个简单的使用介绍。 public static String stringMD5(String input) { try { // 拿到一个MD5转换器(如果想要SHA1参数换成”SHA1”) MessageDigest messageDi
Java加密体系:java.security包
Joseph_Geeker的博客
09-29 4745
一、JCA/ JCE JCA(Java Cryptography Architecture) 是Java体系结构,提供了基本Java加密框架,比如证书、数字签名、消息摘要、秘钥对生成器等,在java.security包中实现。 JCE(Java Cryptography Extension)是JCA的扩展,主要负责提供DES、AES、RSA、DSA这样的加密算法,因为加密算法是会不断进步的...
java源代码加密+使用proguard混淆java web项目代码+自定义Classloader
JEECG官方博客
06-15 8800
如何保护我们的源代码,实际上,应该有几种方法可以使用:1、使用代码混淆器 2、重载应用服务器的classloader    使用代码混淆器proguard进行代码混淆    1.首先下载proGuard.zip到本地: proguard4.5beta4.tar.zip解压开,    2.新建文本文档,修改文件名为XXX.pro,然后复制下面内容到.pro-injars 'Y:\src.jar' #
共有18款Java 代码混淆和加密开源软件
热门推荐
mengzhengjie的专栏
12-28 2万+
http://www.oschina.net/project/tag/167/code-confusion?lang=19&sort=view Java混淆器 ProGuard ProGuard 是一个免费的 Java类文件的压缩,优化,混肴器。它删除没有用的类,字段,方法与属性。使字节码最大程度地优化,使用简短且无意义的名字来重命名类、字段和方法 。ecl
OkHttp防止Fiddler抓包
03-21 5014
OkHttp框架,可以设置proxy(Proxy.NO_PROXY)属性,禁止使用代理。亲测可以防止Fiddler工具的抓包。 var httpBuilder = OkHttpClient.Builder() .addInterceptor(defaultInterceptor()) .connectTimeout(DEFAULT_...
# 爬虫技术的实现
m0_72829651的博客
04-10 397
咨询专业法律顾问获取相关数据授权建立完善的数据安全机制技术无罪,但使用技术的人必须有责。愿每位开发者都能成为负责任的数据公民。
用TypeScript和got库编写爬虫程序指南
weixin_44617651的博客
04-08 835
用TypeScript和got库写一个爬虫程序。首先,我得确认他们对TypeScript和Node.js的基础了解,可能他们已经有了一些JS的经验,但不确定。接下来,需要明确爬虫的目标,比如要爬取的网站、需要的数据类型以及处理方式。
利用Ruby的Typhoeus编写爬虫程序
最新发布
weixin_44617651的博客
04-11 867
Typhoeus是一个基于libcurl的HTTP客户端,支持并行请求,适合高效爬取数据。用户可能想要一个简单的例子,或者需要处理更复杂的情况,比如分页、并发请求或者数据解析
多语言编写的图片爬虫教程
weixin_44617651的博客
04-11 288
可能他们需要几个不同编程语言的示例,比如Python、JavaScript(Node.js)、Ruby之类的。然后我要考虑每个语言常用的库和框架,确保示例简单易懂,适合不同水平的开发者。
全面解析TLS单双向认证抓包技巧
- 分析客户端日志有助于诊断在TLS认证过程中可能出现的问题,例如证书过期、证书不受信任、证书签名算法不被支持等。 #### 4. 证书生成 - 在TLS通信中,证书是证明身份的关键要素。证书通常由证书颁发机构(CA)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值