PC端网络抓包

在逆向分析、协议调试或安全研究中，经常遇到 PC 端软件故意绕过系统代理，导致 Fiddler、Charles 等传统工具无法捕获流量。本文系统介绍从基础到高级的完整解决方案，涵盖目前最有效的抓包手段。

一、问题本质

多数顽固软件（游戏客户端、微信/QQ 桌面版、杀毒软件、金融类 App 等）会采取以下方式绕过代理：

• 直接调用 WinINet/WinHTTP 之外的底层 API（如 Windows Filtering Platform）
• 使用证书绑定（Certificate Pinning）
• 检测代理环境并切换直连
• 进程内硬编码 IP 而非域名

传统系统代理（127.0.0.1:8888）对这些软件无效。

二、2025 年推荐工具矩阵

三、方案一：HttpToolkit（当前最强一键方案）

官网：https://httptoolkit.com/

优势

• 自动 Hook 多种运行时（.NET、Java、Python、Node.js、Electron、普通EXE）
• 透明拦截系统级连接
• 一键安装 CA 证书，HTTPS 解密极稳

使用步骤

1. 下载并安装 HttpToolkit（Windows/macOS/Linux 全支持）
2. 打开软件，选择 “Intercept Windows apps & browsers”
3. 点击 “Intercept” 按钮，软件自动完成证书安装和拦截服务启动
4. 直接运行目标程序，流量自动出现在界面
5. 支持导出为 HAR、PCAP 格式

实测可拦截：微信最新版、QQ、Steam、Epic Games Launcher、多数国产网游。

四、方案二：Proxifier 强制进程代理（经典无敌方案）

工具：Proxifier（https://www.proxifier.com/）

原理

在内核层面强制指定进程的所有 TCP/UDP 连接走指定代理，软件无法绕过。

配置步骤

1. 安装并打开 Proxifier
2. Profile → Proxy Servers → Add
   地址：127.0.0.1　端口：8888（Fiddler 默认）　协议：HTTPS
3. Proxification Rules → Add
   • Name：目标软件名称
   • Applications：浏览选择目标 .exe
   • Action：Proxy HTTPS 127.0.0.1:8880
4. 保存规则，启动目标程序
5. Fiddler 立即显示流量

进阶技巧

• 可同时配合 Burp Suite、mitmproxy 使用
• 支持通配符规则批量处理整个文件夹程序

五、方案三：Wireshark 网卡级抓包（永远的兜底）

适用场景

所有代理方案失效时，至少获取 IP、端口、SNI、数据量等关键信息。

操作流程

1. 安装最新 Wireshark + Npcap
2. 选择正确网卡（流量突增的那个）
3. 过滤表达式示例：

   ip.addr == 目标IP 或 tls.handshake.extensions_server_name == "domain.com"
   

4. 右键 → Follow → TLS Stream 可查看部分握手信息

六、高级方案（极少数情况）

七、工具下载地址汇总（2025 年最新）

• HttpToolkit：https://httptoolkit.com/download/
• Proxifier：https://www.proxifier.com/download/
• Wireshark：https://www.wireshark.org/download.html
• Fiddler Classic（备用）：https://www.telerik.com/download/fiddler
• mitmproxy：https://mitmproxy.org/

八、总结

2025 年抓取 PC 端顽固软件流量的最优路径：

1. 先尝试 HttpToolkit（90% 情况一键解决）
2. 失败则使用 Proxifier + Fiddler 强制代理
3. 仍失败则降级到 Wireshark 网卡抓包获取关键信息

掌握以上三板斧，几乎没有抓不到的 PC 端软件流量。