1.简介

通过前边和宏哥的学习，我们了解到Android 7.0 之后增加了对第三方证书的限制，抓包工具（charles、fiddler等）提供的证书都无法通过校验，也就无法抓取HTTPS请求了，对测试工作影响很大。最近更新的微信 7.0 也增加了第三方证书校验，导致无法正常抓包。

2.解决思路

解决该问题一般有三个思路：

1. 让开发打一个测试包，关闭对证书的校验。

2. 将设备root，将证书安装到system分区。

3. 将设备root，利用Xposed框架，利用justTrustme/SSL-killer等模块绕过第三方ssl的校验

以上三个思路虽然可行，但都比较复杂，配置成本比较高。有没有更简单的方法呢？

当然是有的。

这个方法仍然是利用思路3，不过利用virtualXposed工具，能够省去root的过程，安装两个软件即可搞定。

3.virtualXposed简介

经常折腾 Android 刷机 的同学应该都知道Xposed这个神级hook框架的存在。借助该框架以及开源插件，能够在不修改apk的情况下影响程序的运行。简而言之，借助Xposed框架和该框架之上的插件，能让app的功能强大十倍！

最常见的插件比如：微信自动抢红包、消息防撤回、自定义界面、自动回复、消息屏蔽。。抖音自动关注点赞，下载视频。。修改系统界面、修改步数、虚拟定位。。。。。

JustTrustme 就是其中一个插件，用于绕过 ssl 证书检查，借助它可以实现对 https 的抓包。类似的插件还有 SSLkiller、sslunpinning 等。

当然，这么强大的工具也有其缺点。最大的问题还是安装过程和系统兼容性。

1. Xposed 安装需要root。如今root本身就是一件比较麻烦的事。。

2. 国产手机厂商最热衷定制rom，导致Xposed存在很大的兼容性问题，一不小心就容易让手机变砖。。

3. 微信 检测到相关插件后，会有封号风险。。

为了解决以上问题，国内一位大神借助 VirtualApp 实现了Xposed的一种免root方案 VirtualXposed。简单来说就是，VirtualXposed 制作了一个虚拟环境（可以理解为虚拟机），该虚拟环境中内置Xposed环境，用户只需将软件安装到该虚拟环境中，就能使用xposed的功能了。

4.工具准备

• virtualXposed.apk

• justTrustme.apk 或 SSLkiller.apk 或 sslunpinning.apk

 如果你想学习接口自动化测试，我这边给你推荐一套视频，这个视频可以说是B站播放全网第一的接口自动化测试教程，同时在线人数到达1000人，并且还有笔记可以领取及各路大神技术交流：798478386     

【已更新】B站讲的最详细的Python接口自动化测试实战教程全集（实战最新版）_哔哩哔哩_bilibili【已更新】B站讲的最详细的Python接口自动化测试实战教程全集（实战最新版）共计200条视频，包括：1.【接口自动化】目前软件测试的市场行情以及测试人员能力标准。、2.【接口自动化】全面熟练Requests库以及底层方法调用逻辑、3.【接口自动化】接口自动化实战及正则和JsonPath提取器的应用等，UP主更多精彩视频，请关注UP账号。https://www.bilibili.com/video/BV17p4y1B77x/?spm_id_from=333.337

5.使用方法

这个详细步骤前边的文章中宏哥也介绍和分享过，自己看前边文章即可，这里宏哥就一笔带过。

先阅读官方说明：

《吐血整理》高级系列教程-吃透Fiddler抓包教程(30)-Fiddler如何抓Android7.0以上的Https包-番外篇_测试猿廖廖的博客-CSDN博客通过宏哥前边几篇文章的讲解和介绍想必大家都知道android7.0以上，有android的机制不在信任用户证书，导致https协议无法抓包。除非把证书装在系统信任的证书里，此时手机需要root权限。但是大家都知道root手机是非常繁琐的且不安全，对于大多数来说是不切实际的，那android7.0以上有没有不需要root的解决方案，答案当然是有的，我们主要安装两个app就可以解决。https://blog.csdn.net/m0_73409141/article/details/132131911?spm=1001.2014.3001.5502

以Justtrustme.apk为例，SSLkiller.apk 和 sslunpinning.apk类似。

1. 安装 virtualXposed.apk 和 justTrustme.apk 模块。

2. 启动virtualXposed，安照提示赋予相应的权限。

3. 在主界面点击菜单按钮，选择"添加应用"

4. 在添加应用列表选择 "justTrustme" 和 需要抓包测试的App（比如微信、微博），并安装

5. 在 virtualXposed 中打开 xposed 应用。点击左上角菜单按钮，切换到模块。此时会看到 "justTrustme" 选项。

6. 在 "justTrustme" 选项后打钩，并按照提示，返回菜单界面重启virtualXposed

7. done！

完成以上设置后，virtualXposed 中的 https 应用都能直接抓包，不会再提示证书无效了。

6.小结

目前的 VirtualXposed 还不甚完善。它尚未支持需要使用资源 Hook 的模块，对一部分模块的兼容性也尚待增强。

同时，它的工作原理，也决定了任何修改系统的 Xposed 模块均无法使用；但瑕不掩瑜，VirtualXposed 的确是个很有前途的项目。它大大降低了 Xposed 框架的使用门槛，让更多人能体验到各种花样百出的模块。

对于已经在系统中启用了 Xposed 的用户，还可以借助 VirtualXposed 方便地测试模块；既不用频繁重启手机，又毋需担心「翻车」后影响正常使用。

希望作者能进一步地完善这个项目，提升兼容性与稳定性，造福更多 Android 玩家。

想要了解更多详情，可以访问 VirtualXposed 的 GitHub 页面。