一、背景
Android 7.0 之后增加了对第三方证书的限制,抓包工具(charles、fiddler等)提供的证书都无法通过校验,也就无法抓取HTTPS请求了。
解决该问题一般思路:
- 将设备root,将证书安装到system分区。
- 利用Xposed框架,利用justTrustme/SSL-killer等模块绕过第三方ssl的校验。
二、virtualXposed简介
经常折腾 Android 刷机 的同学应该都知道Xposed这个神级hook框架的存在。借助该框架以及开源插件,能够在不修改apk的情况下影响程序的运行。
三、工具准备
- virtualXposed.apk
- justTrustme.apk
工具下载:
链接: https://download.csdn.net/download/u014644574/12253810
四、使用方法
- 安装 virtualXposed.apk 和 justTrustme.apk 应用。
- 启动virtualXposed,安照提示赋予相应的权限。
- 在主界面点击菜单按钮,选择"添加应用"。
- 在添加应用列表选择 "justTrustme" 和 需要抓包测试的App(比如微信),并安装。
- 打开 virtualXposed界面后上划,打开 Xposed Installer应用。点击左上角菜单按钮,切换到模块。此时会看到 "justTrustme" 选项。
- 在 "justTrustme" 选项后打钩。返回菜单界面重启virtualXposed。
- 打开 virtualXposed界面后上划,打开需要抓包测试的App(比如微信)。