应用安全 --- 流量分析 之 安卓无root抓取https流量的方法

在安卓7一下抓取https从来都不是问题，但是随着安卓的更新，系统不能再将证书安装到根目录下导致https抓包失败。

解决方法：

我的方法是 用 原生安卓虚拟机比如挽念虚拟机+小黄鸟+Magisk+根证书

底层原理我没有细细研究但是缺失可以抓取https流量

1.下载安装打开 挽念虚拟机，并开启root，magisk，lsposd等所有附加的服务

2.在自己手机里安装小黄鸟导出证书文件、magisk刷入证书模块，在虚拟机导入这两个文件

3.在虚拟机内部使用mt管理器打开文件/system/etc/security/cacerts，将你的证书放入，如果提示只读说明安卓有限制，需要第二种方法，打开magisk刷入模块，这个模块自带证书，重启虚拟机

4.手机本地打开小黄鸟，在虚拟机打开你要抓取的app。开始抓包