PCAPdroid

PCAPdroid功能非常的强大，可以帮你监控本地的流量，防止一些异常的本地流量偷跑，是一款非常实用的手机抓包工具软件。软件提供了强大的网络诊断和安全检查功能，使用起来也非常的方便。有需要的小伙伴们，快来下载试试吧。

软件介绍

PCAPdroid是一个用于开源应用程序，同时可让您监控和导出设备的网络流量。适用于android设备的无根网络监视器和流量转储工具，该应用程序模拟vpn以实现非根捕获，但与 vpn 不同的是，流量在本地处理到设备中。

软件特色

实时抓包

PcapDroid可以捕获移动设备上的网络数据包，并实时显示抓到的数据。

支持多种协议

PcapDroid支持多种常见的网络协议，包括TCP、UDP、IP和HTTP等。

分析工具

该应用程序具有强大的分析工具，可以帮助用户解析捕获的数据包，以便进一步分析和排查问题。

数据导出

用户可以将捕获的数据包导出到PC端，以便离线分析和存档。

软件指南

1、解锁并启用PCAPNG格式转储选项

存储为PCAPNG格式，付费后解锁的功能，目前价格是13港币即可解锁，并且解锁后允许进行TLS解密，在设置里面勾选即可：

2、设置数据包转储

数据包转储分为三类：

HTTP服务器转储：安卓将会启动一个HTTP服务，提供PCAP包的下载;

PCAP文件：直接以PCAP格式文件存储到手机;

UDP导出器：发送PCAP文件到一个远程UDP接收器。

没有特殊需求，最直截了当的方式建议选择第二种。

3、实时抓包并保存为pcapng格式

以第二种转储方式为例，点击就绪进行抓包，会以时间格式对数据包文件进行命名：

之后暂停抓包，在文件管理器里找到我们转储的抓包文件：

4、wireshark安装lua插件显示APP名称

可选项，官方提供了一个lua脚本，在wireshark中启用此脚本后，可以看到每一个数据帧对应的进程APP是谁：

前提：

①PCAPdroid开启了PCAPdroid Trailer选项，并禁用了PCAPNG格式(禁用PCAPNG格式依然不影响你转储PCAP格式文件)：

②安装官方提供的lua插件

把脚本下载到本地后，点击wireshark的 Help(帮助) --> About Wireshark(关于wireshark) --> Folders(文件夹)选项，找到Lua插件目录，可以是全局Lua插件目录也可以是个人Lua插件目录：

将pcapdroid.lua插件脚本放到以上两个目录之一里即可，之后重载报文。

之后在编辑选项里添加列，字段为pcapdroid.appname：

然后使用PCAPdroid抓包，转储为PCAP格式文件，用wireshark打开，可以看到可以正常显示每个连接来源的APP名称：

因此可以通过这个字段的值来过滤请求，比如，只想要Chrome浏览器产生的tcp 80/443端口的报文，可以是：

同时，如果APP名称包含中文，则中文部分可能会显示为乱码，在github给作者提过issue，表示后续版本会修复，因此如果对这个字段有强需求并且APP涉及中文字符的，可以将手机语言设置为英文临时解决。

使用tshark可以更方便的将报文的APP字段做文本统计分析，比如按照APP产生的报文数量从高到低排序可以是：

tshark -X lua_script:pcapdroid.lua -n -q -r <抓包文件> -T fields -e pcapdroid.appname|sort -rn|uniq -c|sort -nr

​

更新日志

更新时间：2025/1/14

v1.7.5：

-修复目标应用程序设置时根捕获失速

v1.7.4：

-修复在一些非magisk的二进制文件中启动根捕获

- mitm插件现在使用mitmproxy 11

—在CSV输出中包含包名

v1.7.2：

—添加第三方VPN终端自动重连开关

-修复卸载的应用程序没有从应用程序过滤器中删除

修复PCAP文件加载功能

增加IPv6字节统计(来源:myzhan)