做过逆向或者抓包分析的朋友,大概都有过这样的“高血压”时刻:为了看一个加密的请求,你得先开 Fiddler 配证书,再切到 Wireshark 过滤 TCP,最后还得把 Hex 复制出来丢进 Python 脚本里写解密逻辑。一套流程下来,时间没花多少,但那种在不同工具间反复横跳的割裂感,真的能把人的耐心磨平。
最近我把手头的工具箱精简了一下,发现了一款叫 FatbeansCreater(肥豆创客)的国产小工具,用了一段时间后,感觉它确实有点东西。今天不聊那些虚头巴脑的概念,就结合我平时的实际工作流,聊聊它是怎么帮我把“封包比对”和“数据解密”这两件麻烦事给一站式搞定的。
- 找不同?别再拿肉眼去盯十六进制了
逆向协议最烦的就是“找茬”。客户端更新了一个版本,接口返回的数据结构变了,但你不知道到底改了哪个字节。以前我的做法是抓两份包,左边放个旧版,右边放个新版,然后一行一行地往下对,眼睛都快看斗鸡眼了。
Fatbeans 里面有个“封包比对”功能,简直是为我这种视力逐渐下降的人量身定制的。你把两个包拖进去,它直接逐字节给你高亮出差异的地方。不仅是简单的颜色区分,它还能直观展示完整的视图。有时候客户端只是偷偷改了一个字节的标志位,或者在 JSON 尾部加了个空格,用它一跑,瞬间一目了然。对于那些需要同时比对多个包的场景,它也能轻松拿捏,甚至还能把比对结果直接保存成网页文件,发给同事看的时候再也不用解释半天了。 - 遇到 Protobuf 和 AES,不用急着切 IDA
现在的 App 越来越精明了,明文的 HTTP 越来越少,满屏都是 Protobuf 序列化加上 AES 加密的混合双打。
传统流程下,你拿到一堆乱码,得先想办法搞清楚它的加密算法,然后再去找对应的反编译工具。但在 Fatbeans 里,这套动作可以无缝衔接。它的内置解码器对 Protobuf 的支持非常友好,不需要你提前准备 .proto 文件,它能根据数据的特征自动尝试解析,直接把二进制还原成你能看懂的键值对结构。
至于加密部分,比如常见的 XOR、Base64 或者是 AES,你可以直接在它的“修改器”或查看界面里配置解密规则。更骚的是它的“高级滤镜”和“取值器”联动机制——如果你发现密钥是动态生成的,藏在某个特定的请求头或者响应体里,你可以设置一条规则:先从 A 包里提取特定偏移量的字节作为 Key,然后自动套用到 B 包的解密公式里。这种跨规则的数据联动,以前非得自己写个自动化脚本才能实现,现在点点鼠标就配好了。 - 让工具自己“思考”:WebHook 与 AI 的化学反应
如果说前面的功能还在传统抓包工具的范畴内,那它支持 WebHook 和 MCP 对接 AI 这一点,就真的有点降维打击的意思了。
很多时候我们抓包不是为了看一眼,而是为了做自动化决策。比如我在测试一个签到接口时,不想一直盯着屏幕。我就在本地起了一个简单的 Python 服务,通过 Fatbeans 的 WebHook 把捕获到的数据包实时推过来。只要检测到特定的错误码,Python 脚本就会返回一个指令,让 Fatbeans 自动拦截这个包,替换掉里面的 Token,然后再放行。
整个过程目标应用是完全无感知的。配合上它那个能直接集成到 VS Code 里的 MCP 插件,我现在甚至可以直接在编辑器里跟 AI 说:“帮我分析一下刚才抓到的这五个登录包,看看有没有异常的重试逻辑。” 它就能自动调用工具链把数据喂给大模型,再把结论吐回来。这种体验,怎么说呢,就像是给你的抓包工具装上了一个外挂大脑。
写在最后
其实对于逆向工程师来说,工具永远只是手段。Fiddler 依然是 HTTP 调试的老大哥,Wireshark 依然是底层网络分析的王者。但 FatbeansCreater 填补的是一个很微妙的生态位:它足够轻量,免去了繁琐的环境配置;它又足够硬核,驱动级的抓取和零代码的改包逻辑,让它能在很多“脏活累活”中替你省下大把的时间。
如果你也厌倦了在五六个窗口之间来回切换,不妨把它加到你的百宝箱里试试。毕竟,在这个连 AI 都在帮你写代码的时代,我们的精力应该花在更有价值的逻辑推理上,而不是跟那几个该死的十六进制字节死磕。
👉 获取方式:
官方网站:HTTPS://www.fatbeans.cn (包含软件介绍、视频教程及最新版本下载)
开源仓库:GitHub - Fatbeans-TCP-Packet-Capture-Tool
交流社群:QQ 群 758530418
**粗体** _斜体_ [链接](http://example.com) `代码` - 列表 > 引用。你还可以使用@来通知其他用户。