Thor使用方法

#很多小白一直问Thor这款软件到底怎么用，今天我就详细的介绍一下他的使用方法

*Thor是一款专注于抓包分析和开发测试的工具。使用Thor，通过抓取的网络连接进行分析，从中找到你所需要的数据。

*使用Thor 抓包可以做些什么呢？可以抓取一些无法轻易下载到的音频、视频、图片、压缩包等，然后可以选择自己合适的方式下载保存。又或者抓取一些ipa安装包，或者一些文件的下载原始链接，一些api 接口等等。

*下面就教大家如何使用Thor 抓包及分析数据。注，本教程适合新手

*本教程整合的是公众号艾橙科技的教程

#想要了解更多资源请加Telegram频道：https://t.me/aucee

▍ Thor的界面

*Thor比较简洁。首页只有一个开关和抓包过滤器。下方菜单也只有三个，过滤器，抓包记录，和更多。

*首页过滤器，可以选择抓包过滤设置，开始和停止抓包。所有成功抓取的记录都会保存在抓包记录里面。更多则是使用帮助，里面的HTTPS 解析设置，可以查看证书安装情况。

*也可以在通知中心添加Thor 的Widget ，可以快速开始抓包和显示抓包记录。

▍ 使用前的设置

首次使用Thor ，需要先进行一些设置。

1，安装及信任证书

*由于Thor 默认的过滤器为全局抓包，包含HTTPS解析，所以首次使用需要安装及信任证书。

*Thor 实现对HTTPS的数据解密，使用的是MITM（中间人攻击）的方式，这个和Surge 或者小火箭屏蔽广告使用的是一样的原理，所以需要将Thor 生成的Thor SSL CA 证书安装并信任，以此来实现HTTPS 的解析。

*如下图所示，首次使用，点击开始按钮，就会弹出“HTTPS解析设置”，我们选择现在开启，按照指引，安装证书到系统。

*这个时候会跳转到手机系统设置内的描述文件与设备管理界面，安装Thor SSL CA 证书 ，期间需要输入锁屏密码来确认。每个人证书是不同的，只会存放在设备本地，不会上传。

*安装完毕，可以在设置——通用——描述文件与设备管理看到证书已经验证。在Thor 内的更多——HTTPS 证书管理也可以看到。

*注意：iOS 10.2+ 系统需要到设置——通用——关于本机——证书信任设置——选择刚刚生成的证书，并信任。

*如果你无需抓取HPPTS数据，也可以选择忽略此步骤，无需安装证书。

2，允许创建VPN配置

*首次使用Thor 会询问是否允许创建VPN配置，点击允许。

*这个是必要步骤。因为Thor 需要占用VPN通道，来全盘接管你的所有网络连接，从而抓取网络数据。如下图所示。

*Thor创建的VPN配置可以在设置——VPN内看到。

▍  如何进行抓包呢？

*在进行抓包前，先清理一下后台，把不需要的应用或者网页退出，仅仅保存你想抓取数据的应用。

*打开Thor “开始”按钮，Thor 响应速度很快，一下子就进入抓包状态，这个时候状态栏会有VPN标志，点击“停止”就可以停止抓包。

*也可以通知中心Thor 的Widget 快速打开开关，进行抓包，非常方便。

*然后，使用想抓取数据的软件或者网页进行网络连接操作，如打开视频，收听音乐，安装软件等等。Thor 便会自动抓取所有网络连接。

*在这过程中，你可以随时进入Thor 的抓包记录中查看，是否已经抓取到合适数据，也可以关闭Thor 暂停工作，在抓包数据中慢慢查看，以免过多数据增加挑选的工作量。 

*如图所示为抓包记录和工作中通知中心显示的最新几条抓包记录。

▍  抓包数据分析

*抓包后，我们进入抓包记录中查看，所有成功抓包的数据都在这里。对抓包数据进行分析，挑选，才能找到我们所要的内容。

*在抓包记录界面，可以对抓包的历史记录进行分类，或者删除。点击就可以看到该次抓包的全部记录了。

*由于我们默认的过滤器为全局抓包，所以抓包记录会包含所有抓取的数据。如下图所示，示例为抓取网站视频。

*其中可以看到很多内容，以上图示例说明一下：

• 链接：抓取的链接地址最直观的显示出来。
• POST或者GET：属于HTTP响应方式。HTTP响应方式有多种，例如POST、GET、HEAD、PUT、DELETE等等，假如我们需要抓包下载资源，需要从GET当中寻找。
• Weibo 7402：这一栏为User-Agent ，用户代理标识，用来显示用户通过何种方式来进行网络连接
• [200]：为响应状态码，在Thor内便于识别。
• 10:14:30.887：为链接的具体时间
• ↓1.13KB ↑636kb ：为接收和发送的数据

▍  如何保存抓取到的内容呢？

*点击单条抓取的数据，可以查看详细信息，包括概览，请求，响应，时间。其中响应接收的数据大小，可以帮助你判断该链接是否想要抓取的文件内容。

*点击连接，弹出菜单，可以复制链接地址，或者用Safari 打开进行预览。

*下图示例链接为抓取秒拍视频，尽管链接后缀不带.MP4，但是使用抓取到的链接，可以下载到美拍视频

*在响应一栏——消息体，可以看到抓到的链接为MP4文件，部分文件点击可以进行观看或者保存视频。

*点击消息体——video/mp4，可以对抓取到的视频进行预览，点击右上角分享按钮，可以将视频保存至相册

*抓取到的图片，音频也能使用同样的方式进行保存。值得注意的是，并不是抓取到的所有视频都能用这种方式保存。

▍  更方便找到所需数据的方法

*Thor 的过滤器，可以帮助您更快的找到所需数据

*在抓包数据内点击右上角的筛选器，可以按条件筛选抓包数据，分类也很丰富，图片、音频、视频、文本、压缩包、安装包等等，还以自定义。

*示例过选器选择视频，视频相关的抓包记录就一下子出来了，是不是方便了许多呢

*通过对抓包数据分析，筛选，从而找到我们想要的数据，这个也是我们使用Thor进行抓包的目的所在

▍自定义过滤器提高抓包效率

*Thor 默认是全局抓包，抓取的数据比较多，我们可以自定义过滤器，有选择的抓取数据，从而减少筛选数据的繁琐，提高效率。

*首页点击过滤器配置，可以进入过滤器界面。点击右上角“+”号，选择新建自己的过滤器，过滤器用于设置哪一些包你能抓取到。

*如下图所示，可以按照提示一一选择

*过滤器名称：必填，便于自己识别

*抓包支持协议：可以选择 HTTP或者HTTPS 解析方式

*包括域名：填写域名后，只会在所填域名内的包才会抓取。请参看提示的文字说明，填写正确的域名格式，不支持IP地址

*排除域名：可以设置无需抓包记录的域名，请注意参看说明的正确格式

*匹配HTTP方法：目前有多种方式。我们需要下载资源，一般选取GET方式

*排除HTTP的方法：与前面的“匹配HTTP方法”相反。

*包含关键词：可以只抓取含有关键词的的数据。

*排除关键词：不记录排除关键词的数据。

*按需启动抓包域名：可以设置域名，当我们在任意地方访问这些域名的时候，Thor会自动开启抓包。

*DNS服务器：添加自己的DNS服务器，用于抓取一些特定环境的包，例如国外数据。

*通过建立Thor过滤器配置，可以缩小抓包范围，减少筛选数据的繁琐，帮你最快的抓取到你所需的数据。

*注意：过滤器配置的规则，只在包的“请求行”，“请求头”中匹配。

*例如你想抓取秒拍视频，过滤器可以这样设置：

【抓包支持协议】：可以选择 HTTP

【匹配HTTP方法】：选择“GET”

【包含关键词】：填写“mp4”

*开启Thor ，打开想要抓取的秒拍视频，点击播放，返回Thor ，查看抓包记录，你会发现，只有“GET”的包，而且只有包含关键词“mp4”的，这样就可以快速查看是否可以抓取到该视频了

▍  抓取音乐示例

*通过设置好过滤器，我们也能很快捷的抓取音乐，包含免费、收费音乐哦。

*首先新建一个过滤器：

【匹配HTTP方法】：选择“GET”

【包含关键词】：填写“mp3”

*然后，打开网易云音乐，试听你想下载的音乐。返回Thor ，停止抓包，查看数据。

*可以看到抓取的全部为包含“mp3”关键词的数据，点开查看就可以抓取到你想下载的音乐啦。

*下载好的音乐可以概况里面通过在Safari打开的方式试听，复制链接可以使用其他方式下载。或者在响应一栏——消息体打开来试听，点击右上角分享按钮来导出到其他App

#点我看小视频演示

*抓取视频也是一样的道理。像秒拍，美拍，这些视频能轻松抓取。至于还能抓取哪些内容，大家可以尝试一下

▍  抓取ipa安装包示例

*Thor 如何抓取装ipa安装包呢？同理，可以新建一个过滤器，关键词填写ipa，或者默认全局抓包，抓包记录查看的时候，筛选“安装包”就可以了。

*我们演示一下如何抓取迅雷。开启Thor，打开迅雷安装页面，安装迅雷。等待安装完毕，返回Thor，停止Thor。

*查看抓包记录，筛选器选择安装包，可以看到所以安装包相关记录。点击查看抓包详情，可以看到一个大小为65MB的包就是抓取到的迅雷ipa安装包啦，复制链接，可以使用其他方式下载保存。

#点我看视频演示

*为什么要抓取安装包呢？

*对于一些第三方分发应用，每日有下载次数限制，或者随时会被上传者取消分享，通过这个办法，可以把安装包保存起来，方便随时安装。当然，该应用证书没有失效前，都是可以使用的。越狱设备可以随时安装，未越狱设备，可以将ipa上传到类似的第三方分发平台，自己就可以随时安装啦。

*这样的方法，同样可以抓取App Store的应用。注意，抓取App Store，需新建一个过滤器，将需要将排除域名内的“apple”相关地址，等待安装完毕才可以抓取到正确下载链接。

*从App Store抓取到的ipa安装包，无法导入iTunes进行安装的。仅仅适合越狱设备临时备份安装包，以免下架。

▍  抓取一些更直接的链接

*Thor 还可以抓取一些直接一点的链接。

*示例为我们平时所看的电视直播，点开界面，选择电视观看，难免看到广告，是否可以直接打开收看呢？我们用Thor试试看看否抓取直接观看的地址？

*新建一个过滤，关键词“m3u8”，开启Thor，在Safari打开直播观看，可以观看，返回Thor，停止抓包。

*点击查看抓包记录，可以响应一栏——消息体查看包的格式，在概况内，打开抓取到的链接，就可以直接观看该直播频道了。

#点我看视频演示

*视频仅仅演示了抓取到直接的链接，同理，可以想办法抓取一些API接口，VIP视频解析接口，一些下载的直链等等。大家自行测试吧

▍  HTTP常见问题

*在Thor 设置自己的过滤器配置的时候，在匹配HTTP方法一栏，常见的HTTP方法都可以看到，具体是什么意思呢？下面做下简单的介绍。

*常用的HTTP方法

*GET： 用于请求访问已经被URI（统一资源标识符）识别的资源，可以通过URL传参给服务器。

*POST：用于传输信息给服务器，主要功能与GET方法类似。

*PUT： 传输文件，报文主体中包含文件内容，保存到对应URI位置。

*HEAD： 获得报文首部，与GET方法类似，只是不返回报文主体，一般用于验证URI是否有效。

*DELETE：删除文件，与PUT方法相反，删除对应URI位置的文件。

*OPTIONS：查询相应URI支持的HTTP方法。

*PATCH：是对PUT方法的补充，用来对已知资源进行局部更新

*GET方法与POST方法的区别

*get重点在从服务器上获取资源，post重点在向服务器发送数据；

*get传输数据是通过URL请求，以field（字段）= value的形式，置于URL后，并用"?"连接，多个请求数据间用"&"连接，这个过程用户是可见的；post传输数据通过Http的post机制，将字段与对应值封存在请求实体中发送给服务器，这个过程对用户是不可见的；

*Get传输的数据量小，因为受URL长度限制，但效率较高；Post可以传输大量数据，所以上传文件时只能用Post方式；

*get是不安全的，因为URL是可见的，可能会泄露私密信息，如密码等；post较get安全性较高；

*get方式只能支持ASCII字符，向服务器传的中文字符可能会乱码。post支持标准字符集，可以正确传递中文字符。

*常见的HTTP相应状态码

200：请求被正常处理。可以正常播放的音视频，常见于网页直接播放或者下载。

204：请求被受理但没有资源可以返回

206：客户端只是请求资源的一部分，服务器只对请求的部分资源执行GET方法，相应报文中通过Content-Range指定范围的资源。完整的音视频被拆成了很多段，每一个206都是其中一段，且不能直接播放（首段除外），常见于播放器播放产生。

301：永久性重定向

302：临时重定向。301和302表示请求的音视频url地址变更为其他URL，新的URL在响应——请求头——Location中可以找到。

303：与302状态码有相似功能，只是它希望客户端在请求一个URI的时候，能通过GET方法重定向到另一个URI上

304：发送附带条件的请求时，条件不满足时返回，与重定向无关。向服务器询问url 指向资源是否更新，无更新则服务器返回304。所以不会有资源被抓到，但是请求的url 可以单独去下载。

307：临时重定向，与302类似，只是强制要求使用POST方法

400：请求报文语法有误，服务器无法识别

401：请求需要认证

403：请求的对应资源禁止被访问

404：服务器无法找到对应资源

500：服务器内部错误

503：服务器正忙

*HTTP的缺点与HTTPS

a、通信使用明文不加密，内容可能被窃听

b、不验证通信方身份，可能遭到伪装

c、无法验证报文完整性，可能被篡改

HTTPS就是HTTP加上加密处理（一般是SSL安全通信线路）+认证+完整性保护。所以我们解析HTTPS，需要安装和信任证书。

▍  Thor 的特点及抓包套路

*有很多朋友在后台问，可以抓包的软件有Surge， Take等，Thor 有什么优势呢？

*抓包工具很多，Thor 做为专业抓包，还是拥有自己的众多特点。

*实时抓包，可以边抓边看，无需暂停，就可以看到抓取的所有网络连接。

*通知中心的 widget 可随时查看最新抓包情况。

*HTTPS 实时解析，可以记录成千上万个 HTTP 请求。

*自动解析 HTTP 消息为常见媒体形式。

*支持保存到相册，导出到其他App，也支持导出原始数据。

*支持按域名，关键字等配置过滤的包。

*抓包结果支持各种条件筛选，减少分析数据的繁琐。

*支持解码的图片格式* jpg, png, gif, webp, apng, jp2, tiff, bmp, ico, icns, svg, psd。

*支持解压缩 (含密码）* zip, rar, 7z, tgz, tar, bz, tbz, gz。现已经支持查看和解压第三方App中的文件

*PS:

1.目前Thor 暂不支持抓取 TCP，UDP 流量

2.优势：专业抓包，抓取更加给力，筛选方便，使用起来也简单

3.不足：无法抓取外网数据。但是可以配合特定的DNS服务器来尝试

4.HTTPS的解析方式MITM不是万能的，也会有抓取失败的时候

▍  Thor 断点过滤器使用讲解

*断点过滤器是Thor的另外一项核心技术，在过滤器的技术上增加了断点功能

*它的使用方法和过滤器使用方法一样

*附一段柿子大佬利用断点过滤器破解的一款软件视频

#点我看视频

*不要找我要断点过滤器，视频中的断点过滤器已经失效，我只是举个例子而已

*断点过滤器的功能是破解一些软件等，这里就不说的那么具体了

*如何学习制作断点过滤器，首先你要学习正则表达式

#点我查看正则表达式教程

#点我查看语言与调试

*以上两个教程就是学习断点过滤器的教程

*想学习的小伙伴可以看一看

*如果不知道制作过滤器，那就当一个使用党吧，前面的教程已经详细说明了怎么使用

*切勿利用断点过滤器去做违法的事情

*好了，关于Thor的讲解基本就说到这里了

*希望这个教程能对小白有所帮助

##结束