听说你没有测试机？

本次算是抄板凳，此篇文章主要目的是讲解如何搭建一个比较全面的APP测试模拟器，此次水文较为基础，大佬请绕过，本次介绍的工具大体如下：

1. 雷电模拟器ldplayer9_ld_999_ld windows_x64

2. magiskapp-debug.apk 模拟器专用面具版本

3. LSPosed-v1.8.3-6552-zygisk-release.zip 并非最新版

4. charles-proxy-4.2.5-win64 做socks5上游代理用

5. Burpsuite 做下游代理用

6. MT管理器_2.15.2.apk 可选

7. Postern_3.1.2.apk/v2rayNG_1.8.19_arm64-v8a.apk 安装一个即可

8. Shamiko-v0.5.2-120-release.zip   隐藏root用，这里用的版本太低了

9. HMA-V3.2.apk  黑白名单

10. frida-server-16.2.1-android-arm64  安卓测试必备

11. Lsposed.apk  lsposed寄生器

12. JustTrustMe.apk  基本没啥用了

13. 算法助手2.1.2.apk  后期安卓逆向必备神器

14. 开发者助手.apk  后期安卓逆向必备神器

15. 核心破解.apk

16. 开发助手.apk

17. HttpCanary_9.9.9.9.apk  用处不大了，仁者见仁吧

18. Move_Certificates-v1.9.zip  解决证书无法导入到系统信任目录问题

这里面的工具，一部分在测试中是用不到的，但是如果涉及逆向的话，这些工具就都有用处了，本次讲解主要体现在应用层，比如最常见的解决一些app加固抓包问题、sslping问题以及常问的应用层加密问题

可能会有人疑惑，模拟器自身具备root，为什么还需要单独安装面具？其实安装面具的目的是为了使用一些面具才能使用的插件，使用面具也能更好的控制root权限

话说的有点多了，安卓逆向大家可以前往52pojie专栏，正己表哥的《安卓逆向这档事》可是很出名的哦

首先安装雷电模拟器，不建议安装在虚拟机里，新建一个安卓9的安卓模拟器就行，为什么是安卓9呢？因为低版本的模拟器有很多插件都用不了，而安卓9以上对data目录又有特殊的权限限制，导致很多好的xposed框架在申请data目录权限的时候常常出现问题，所以推荐大家直接使用安卓9

保存后重新启动即可，接下来安装面具，可以直接拖进去，也可以adb install，安装完毕后，直接赋予root权限，然后修复即可

重新启动后，再次打开面具，会提示检测到其他su文件，直接x掉就行

点击右上角设置按钮，需要进行一些设置

可以先修改一下面具的包名，一些app基础检测可能会检测到系统的安装包名(不修改也行，后期黑白名单对其隐藏即可)

而后会自动关闭软件，等等就好，接下来继续回到主页-设置，打开Zygisk按钮

重启后生效，接下来安装lsp框架，这个lsp框架是压缩包形式，安装到面具里面的，所以我们可以先adb push到模拟器的目录里，也可以利用雷电模拟器的共享文件功能将文件存放进去，存放进去的目录是在模拟器的picture目录

把需要安装的一口气全拽进去就行，这个文件就在模拟器的picture目录，打开面具，选择本地安装

重启后就好了，如果重启不了了，请重新再从头来一次

直接把Lsposed.apk安装，安装的目的是因为lsp框架安装后，有的模拟器会出现玄学问题，比如说找不到任务栏里的框架，没有办法创建快捷方式，但是安装这个寄生器后会影响框架检测，后期比这也是给卸载了，在这里就简单的介绍一下

不疑有他，所有apk的都可以直接安装进去，一般xposed框架的模块都是apk可以直接安装的，有些框架是有GUI的，会有单独的入口，有些xposed框架只能在lsp框架的模块才能看到，而zip压缩包的模块一般都是面具里面的，本次案例安装步骤不再一一演示，直接给大家看部署后的样子

类似核心破解模块，是用来饶过一些app的签名认证的，需要勾选系统框架

简单介绍一下安装的apk、插件的功能

MT管理器，这是一款史诗级文件管理器，安装后可以给root权限，会员仅需200+即可获取永久会员，而MT管理器项目已经平稳的运行了N年了(笔者记得笔者高中的时候就用过这个)，所以也推荐大家知识付费，支持一下开发大佬们，该工具可谓是逆向神器，常规的软件双开、签名绕过、dex逆向、Activity记录等，好用到爆

Postern_3.1.2.apk/v2rayNG_1.8.19_arm64-v8a.apk ，相信大家都用过移动端的科学上网，这两款工具的原理与科学上网类似，很多加固做了HTTP代理检测，难以绕过的时候，我们就可以利用这两款工具走socks5代理进行绕过，而由于charles工具支持socks5协议的数据包监听，而charles同样可以设置下游代理，只需要将下游代理设置成burp即可完成代理抓包，所以三者结合起来往往能起到意想不到的效果(JD APP可以利用此方式进行抓包)；不过需要注意的是，Postern_3.1.2已经停止维护多年了，笔者的安卓13手机不支持安装了，所以只能使用v2ary

Shamiko该工具可以部署在面具模块里，面具模块自带的隐藏Magisk功能开启后，会影响app的测试，但是这款插件完美的解决了这个问题，在设置了xxx应用的隐藏后，我们不需要真的开启隐藏功能，Shamiko就会帮助我们隐藏root，同时并不会影响我们测试(推特app可以利用此方式绕过root检测)，笔者这里使用的面具版本有点略低，建议用高点的版本，否则会很不爽利

HMA-V3.2  此工具堪称apk逆向必备神器，为什么这么说呢，因为此插件可以实现黑白名单功能，顾名思义，就是此工具可以针对app设置黑白名单，例如设置黑名单，将部分app，如：面具、lsp相关框架、root组件对其隐藏，那么加固了的app就无法查询到相关的包名或文件名，从而实现一个root、框架的检测绕过(例如某银行app可以利用此方法绕过root/框架检测)

首先需要在lsp里面把模块启用，并勾选对应需要隐藏的app

而后新建一个黑名单的模版，黑名单就是选择哪个包，哪个包就不可见；选中不可见的包名为所有的面具相关插件。lsp相关插件，包括面具和lsp框架本身，全给他选中即可

而后返回到应用配置，再次选择想要应用的app，比如说我的icu.nillptr这个app对框架和root有检测我需要单独绕过，就把这个勾选，然后工作模式为黑名单，选择我们的模版，即可

在测试的时候发现，我们单独安装的lsp.apk无论如何也隐藏不起来，所以又把单独安装的lsp安装包给卸载了(卸载的不是lsp框架，只是寄生器安装包)，但是其实还是有点问题，下图为黑白名单自带检测，是全过的

但是momo检测却全查出来了

以下为实体手机效果

由此可见，真搞移动端测试还是得买个手机，模拟器的玄学问题太多了

frida-server-16.2.1-android-arm64  安卓测试必备，自然不必多说

推荐安装虚拟环境

pip3 install virtualenvwrapper-win -i https://pypi.tuna.tsinghua.edu.cn/simple
workon
mkvirtualenv frida16
pip3 install frida-tools -i https://pypi.tuna.tsinghua.edu.cn/simple

把frida安卓版的frida拷贝到模拟器，由于笔者开启了多个环境，所以需要选择adb设备

adb devices

adb -s emulator-5558  push frida-server-16.2.1-android-x86_64 /data/local/tmp

对了，忘记说了，frida版本与系统架构需要一一对应，否则就会发生下面 的场景

如果大家只有一台设备，那直接adb shell即可；将frida拷贝到安卓手机的tmp目录后，再赋予权限，即可快乐的玩耍了

其实在这里的时候，笔者遇到了另一个问题，在这里记录一下；笔者前面安装了Magisk和Shamiko模块，而这里的Magisk可能版本比较低，Shamiko模块的版本也比较低，这就导致了在进行adb shell的时候，会提示unauthorized，也就是没有权限，这是因为Shamiko模块会把ro.adb.secure变成1，也就是开启adb密钥校验，因此会出现无法连接adb的问题，那么此时可以将面具换成狐狸，或者临时关闭Shamiko模块；实际上在测试的时候，笔者的实体手机是不会出现这个问题的，在这里仅作为提醒(也有可能是1版本以后的Shamiko修复了这个小问题)

JustTrustMe 最早的xposed框架必备神器之一，现在属于廉颇老矣，尚能饭否？

算法助手2.1.2 着重推荐，该工具自带很多神奇功能，如：算法自吐、activity监听、堆栈监听、root/代理检测绕过等诸多功能

开发者助手 着重推荐，资源监测神器，可以监测到资源调用情况、页面图片文字识别等

核心破解  该插件主要功能其实就是移动端安装apk后，若是对原始apk改动二次封包后可能由于签名的原因无法直接安装，但是又不想卸载原始的apk，不想丢数据，就可以利用这个尝试一下

开发助手 ，与开发者助手可以互补

HttpCanary_9.9.9.9  小黄鸟，但是现在用的场景少了

Move_Certificates-v1.9.zip  解决证书无法导入到系统信任目录问题，该插件其实和本次无关，但是笔者在刷机安卓13的时候，发现system挂载问题无法解决，无法将信任证书直接导入到系统证书根目录下；而此插件完美的解决了此问题，只需要按照常规操作将证书安装到个人目录下，然后重启手机，证书就会自动转换成.0格式，并自动迁移到系统证书根目录下；除了这个插件外，有的时候也可以用MT管理器进行迁移，但是笔者的手机有玄学问题，就是迁移过去的证书，在手机重启后就消失了，所以还是推荐这个工具，比较好用

所以此处会为大家进行一个简单的演示，演示该工具如何使用，首先以burp证书为例，将burp证书导入到手机模拟器的picture目录或者其他能访问到的目录

大家都知道，安卓7以上，系统不会对用户安装的证书信任了，所以如果直接安装的话，设置代理会导致断网的，但是使用这个插件我们可以完美的解决这个问题，我们只需要直接安装就行

此时证书安装成功

此时系统没有bp的信任证书

直接重启模拟器，我们发现，证书已经被自动迁移到系统信任目录了

所有的证书都可以通过这个方式装载，接下来演示一下常规操作如何将证书迁移进去

众所周知，系统根目录信任证书格式是.0的，所以我们需要借助ssl计算证书的hash值，我们可以直接利用kali转换

使用openssl将.der转换为.pem格式，windows中没有openssl.exe工具的可以在在linux完成

openssl x509 -inform DER -in burp.der -out burp.pem

使用openssl 获取有效的系统证书文件名

openssl x509 -inform PEM -subject_hash_old -in burp.pem

使用openssl 将证书文件转换为有效的系统证书文件

# der格式：
openssl x509 -inform DER -in burp.der -out 9a5ba575.0
# cer格式：
openssl x509 -inform DER -text -in xxx.cer > 9a5ba575.0
# pem格式：
openssl x509 -inform PEM -text -in xxx.pem > 9a5ba575.0

adb push 9a5ba575.0 /system/etc/security/cacerts/ # 将证书导入到系统证书根路径

甚至大家可以直接用MT管理器把证书迁移进去，无论怎么做都可以；

上面提到了，部分app加固后没有办法利用http代理抓包，可以使用socks5代理，而socks5代理可以用charles设置或者yakit(以前不知道yakit支持socks5代理，是我输了)

模拟器安装证书按照上面的方法，可以导出pem格式证书，直接安装到模拟器然后重启就行了，也可以自己改个名字

yak真是太强了

同样的，yak也可以继续设置下游代理，比如说再把包转给bp

TQL，啥也不说了，以后终于不用用盗版的charles了

本来还想演示一下charles的，但是现在没有必要了，玩法都是一样的，就不做演示了

后台回复  20240429 即可获取本次用到的环境，暂时都给安装到雷电模拟器了，大家想用的话可以通过备份还原的方法去提取里面的工具，但是信任证书需要重新安装