1. 认识Protobuf协议逆向分析第一次接触Protobuf协议逆向时我和大多数人一样感到无从下手。这种高效的二进制传输协议在移动App中越来越常见但抓包工具里看到的往往是一堆难以理解的二进制数据。经过多次实战我发现逆向解析Protobuf协议其实有一套标准流程可循。Protobuf协议的核心在于proto文件它定义了数据的结构和类型。当我们逆向分析一个App时最终目标就是还原出这个proto文件。有了它我们就能像开发者一样自如地构造请求和解析响应。这个过程就像是在玩拼图游戏需要结合抓包数据、逆向工程和逻辑推理来还原原始协议定义。适合阅读本文的人群包括需要与Protobuf接口交互的开发者对移动App通信协议感兴趣的安全研究人员想要了解Protobuf协议内部机制的技术爱好者2. 准备工作与环境搭建2.1 必备工具清单工欲善其事必先利其器。在开始逆向之前我们需要准备以下工具抓包工具Charles或Fiddler我个人更推荐Charles它的Protobuf解析功能更友好逆向工具根据平台选择Android可以用Jadx或GhidraiOS可以用IDA ProProtobuf编译器protoc命令行工具用于验证生成的proto文件编程环境Python或你熟悉的语言环境用于测试还原的proto文件安装Charles时有个小技巧记得安装根证书并配置手机代理这样才能捕获HTTPS流量。我刚开始时就因为没配置证书抓到的全是加密数据白白浪费了半天时间。2.2 测试App选择建议先用一个简单的Demo App练手。我推荐自己用Protobuf写个简单的客户端/服务端程序这样你能完全控制协议内容方便验证逆向结果的准确性。等熟悉流程后再尝试逆向真实App。3. 抓包分析与初步解析3.1 识别Protobuf流量启动Charles后打开目标App进行操作。关键是要观察HTTP请求的Content-Type头明显的Protobuf请求会带有application/x-protobuf类型但很多App会使用自定义类型或省略这个头这时需要看响应内容我第一次成功识别出Protobuf流量时发现响应内容虽然看起来像乱码但有一定规律性开头通常是特定字节后面跟着看似随机的数据。这就是Protobuf的二进制编码特征。3.2 解析可见字段如果运气好Charles可能会直接显示部分解析结果。你会看到类似这样的结构1: 100 2: example 3: { 1: 200 2: 300 }这里的数字1、2、3不是行号而是proto文件中定义的字段编号这是我踩过的第一个坑 - 最初我误以为这些是Charles自动生成的序号后来通过修改测试proto文件才明白真相。4. 处理复杂情况4.1 应对加密和压缩现实中的App很少直接传输原始Protobuf数据。常见的情况包括Gzip压缩Content-Encoding头会显示gzip自定义加密数据完全随机需要逆向App找出加密算法遇到加密数据时我的经验是先搜索关键URL或API路径。很多App会在代码中保留明显的线索比如类名包含Protobuf或PB。4.2 逆向工程辅助分析当抓包数据不够时就需要逆向App寻找线索。以Android为例使用Jadx反编译APK搜索Protobuf相关的类名或方法名查找请求构造和响应处理的代码段我曾分析过一个电商App通过搜索toByteArray方法快速定位到了Protobuf序列化的位置。从那里反向追踪很快就找到了请求构造的代码。5. 还原proto文件5.1 构建message结构根据抓包和逆向获得的信息开始编写proto文件。基本步骤确定最外层的message名称为每个字段添加正确的编号和类型处理嵌套message结构一个常见的错误是弄错字段类型。比如把uint32错写成int32虽然看起来差不多但编码方式完全不同。我建议先用小范围测试验证类型是否正确。5.2 版本兼容性考虑Protobuf有proto2和proto3两个主要版本语法略有不同。现代App大多使用proto3但一些老代码可能还在用proto2。关键区别包括proto3移除了required/optional修饰符proto3默认值处理方式不同proto3支持更多语言特性我曾因为忽略版本差异用proto3语法解析proto2数据导致字段丢失。这个坑让我花了整整一天才排查出来。6. 验证与使用还原的proto文件6.1 编译测试生成proto文件后用protoc编译器测试是否能成功编译protoc --python_out. your_proto.proto没有错误就成功了一半。然后编写测试代码验证序列化和反序列化import your_proto_pb2 request your_proto_pb2.Request() request.field1 100 serialized request.SerializeToString()6.2 完整流程验证最可靠的验证方式是构造一个完整请求看服务端是否正常响应。这需要用还原的proto构造请求模拟App的所有必要请求头处理可能的签名或加密步骤我习惯用Python的requests库做这个测试配合还原的proto文件可以完美模拟App的通信。7. 高级技巧与工具7.1 使用pbtk工具GitHub上的pbtk工具可以辅助分析Protobuf数据。它通过机器学习尝试猜测字段类型和结构特别适合处理复杂嵌套的Protobuf数据。基本用法python -m pbtk.parse -f captured_data.bin不过要注意工具的输出只是参考最终还是要人工验证。我曾完全依赖工具输出结果发现某些字段类型判断错误。7.2 中间人攻击技巧对于加密的Protobuf流量可以考虑中间人攻击方案逆向App找出加密算法和密钥编写Charles插件或Mitmproxy脚本解密流量在解密后分析原始Protobuf数据这种方法需要较强的逆向能力但一旦成功后续分析就轻松多了。我在分析某金融App时就用这招突破了它的自定义加密。8. 实战案例分析8.1 简单案例天气App分析一个使用Protobuf的天气App时我发现它的协议非常简单请求只包含位置ID(int32)响应包含温度、湿度等基本字段没有加密或压缩这种简单的协议基本上通过抓包就能还原出完整的proto文件非常适合新手练习。8.2 复杂案例社交App另一个社交App的协议就复杂得多使用自定义二进制头部Protobuf数据经过AES加密响应包含多层嵌套message这种情况下我不得不逆向App找出加密逻辑然后编写解密脚本才能看到原始Protobuf数据。整个过程花了近一周时间但收获颇丰。逆向Protobuf协议最考验的是耐心和细心。每个字段编号、每种类型选择都需要反复验证。记得有次我因为一个字段编号写错导致整个解析失败排查了半天才发现问题。现在我的习惯是每添加几个字段就测试一次虽然慢点但总比最后发现大面积错误要强。