黑客工具有哪些,“黑客”以及安全人员常用的工具软件是哪些？

最好是入门级软件，简单易学的

黑客 ≠骇客，从个人发展角度来看，切莫做一个只懂得使用工具的脚本小子！

1、移动安全方向（Android/iOS）

• Android反编译三剑客

ApkTool、Dex2Jar、jd-gui。

其中ApkTool完成apk的反编译，生成smail格式的反汇编代码；

Dex2Jar，完成apk中的java源码编译生成的java字节码文件反编译成java源码；

• Fiddler

HTTP协议调试代理工具，它能够记录并检查所有你的电脑和互联网之间的HTTP通讯，设置断点，查看所有流经Fiddler的数据，不仅仅暴露http通讯还提供了一个用户友好的格式。可以将网络传输发送与接受的数据包进行截获、重发、编辑、转存等操作。

当然，tcpdump也是可以完成相同工作的，只是需要将其提前放入root过的手机，需要chmod赋予执行权限。

• XPosed

基本上玩安全的应该都知道他，一套开源的、在Android高权限模式下运行的框架服务，可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务，基于它可以制作出许多功能强大的模块，且在功能不冲突的情况下同时运作。不过它一旦用不好，很有可能将你的手机变成砖，目前很多APP出去安全保护已经对其进行检测。

当然，移动端安全除了上面说的，肯定还会有反汇编工具IDA，这里不再介绍，统一在下面PC客户端介绍。

2、Web安全

• Nmap

功能包含主机发现和端口扫描，操作系统检测和IDS规避/欺骗，是不少黑客及脚本小子

爱用的工具 。

• Metasploit

开源的安全漏洞检测工具，玩渗透你不懂它可能说不过去了，对于他的学习，也许需要一本完整的教程，这里推荐下《Metasploit渗透测试魔鬼训练营》这本书。

• Burp Suite

渗透测试必备，不仅易用，最重要的是它高度可配置化。

• SQLmap

玩SQL注入必备了吧，如果你不仅懂得SQLmap工具的使用，还阅读过它的源码，那么我想你在这一行已经很出色了。

• Firefox

一款游览器为什么还要单独列出来介绍呢？这里主要想说说它的牛逼插件，这里主要推荐以下四款。

1、Firebug，查看网络请求，类似于谷歌浏览器下 F12 的开发者工具

2、HackBar，模拟请求，并且页面根据模拟请求的结果实时展示，而且还包含了一些 Sqli、XSS 里常用的编码工具，必备

3、Tamper Data，数据请求截取、修改与重放；

4、User Agent Switcher，修改请求的UA

• Wireshark

网络抓包工具，提供可视化界面，强大的数据包分析工具，可自行扩充插件。无论你是移动安全、Web安全、软件开发，只要涉及到网络，这基本是不可或缺的工具了。

当然处理上面推荐的这些外，还有「菜刀」、「阿D」、「明小子」等工具，这里就不再单独介绍了，网上的资料还是蛮多的。

常用于shell反弹的nc差点就忘记了。

3、PC客户端安全

客户端安全，这里只要推荐几款Windows下的。

• IDA

这款基本算上逆向必备的工具了，无论你是PC端还是移动端，如果不会IDA，可能也太不专业了，绝对称得上是最强大的「反汇编工具」了，具备可交互、可编程、可扩展、多处理器支持等他特点。

• OllyDbg

老牌子的Win客户端动态分析工具，很多老前辈应该都玩的很溜了，和IDA相比，他的功能就逊色了很多，这里不再过多介绍。

当然，除了上面介绍的，一些编辑器也是很常见的010Editor（16进制编辑功能很强大）、SourceInsight（代码查看工具）。

最后，隆重推荐Kali Linux系统，基本你需要的工具它都已经集成进去了。

网络安全从业者一定要培养自己的法律意识，切莫心存侥幸，伸手必被抓！

神级程序员都在用什么工具？

神级程序员常用的工具，有前后端开发经常用到的：

1. Apifox：最好用的接口管理神器。

Apifox 是 API 文档、API 调试、API Mock、API 测试一体化协作平台，定位 Postman +

Swagger + Mock + JMeter。通过一套系统、一份数据，解决多个系统之间的数据同步问题。

2.uTools：极简、插件化的现代桌面软件，通过自由选配丰富的插件，打造得心应手的工具集

合。

uTools

3.SourceTree：非常好用的 Git 图形界面工具。

SourceTree是由Atlassian开发的免费Git图形界面工具，可以操作任何 Git 库。

4. Charles：最好用的抓包工具。

Charles 是一个支持多平台的 HTTP 代理器、HTTP 监控、反向代理器。它能够让开发者查看本

地机器与互联网之间的所有 HTTP 以及 SSL/HTTPS 传输数据。

5. iTerm2：对于需要长期与终端打交道的工程师来说，拥有一款称手的终端管理器是很有必要的，对于 MacOS 用户来说，仍然毋庸置疑。

iTerm2

Term2 就是你要的利器，如果你觉得不是，那是你的问题，不是 iTerm2 的问题。

6. CodeLF：变量命名神器。

CodeLF 通过搜索在线开源平台Github, Bitbucket, Google Code, Codeplex, Sourceforge,

Fedora Projec的项目源码，帮开发者从中找出已有的匹配关键字的变量名。

当然啦，像上面这些开发工具，还有很多，欢迎你在评论区补充完整，帮助更多的朋友。（PS：

需要指路的朋友可以私信我）

其实，除开发工具之外，神级程序员还经常使用到一些效率生产工具。比如云表企业应用平

台，一款集“开发＋效率生产”于一身的国产无代码开发平台。

你想要什么，云表平台就能给你什么

日常工作中，用excel和WPS解决不了的办公难题，都可以在云表平台上得到完美解决。

譬如数据透视，数据分析，权限控制，工作流，流程审批，多人协同，报表模板自定义打印，消息推送，闹钟提醒，工程日志计划，一物一码，条形码生成，外接数据源，小程序，网站，H5，API、微商城．．．．．．

应用架构

更加深入的应用，便是拿它来自主开发app：如ERP、WMS、MES、OA、进销存、合同管理、预决算管理等。

请款单

你只需要懂中文、会业务，即可在和excel很像的界面，拖拉拽，搭建出各类业务应用。

PC端弄好了，还可一键生成移动端app。

手机端app

像华为、中铁、中冶、恒逸石化、燕山大学等，都在使用它。

最重要的是，它还可以免费使用，支持二次开发，以及高用户、高并发等复杂的业务应用场景。

这里可以给你指路：

APP上搜索【云表平台】，注册成功后，即可在【管理控制台】找到。

如果你觉得这些“神器”不顶用，那就是你的问题了，不是它们的问题。

为什么有些人喜欢用fiddler来抓包？

主要是因为windows系统用得人比较多，我个人喜欢用的软件是Charles和阿里开源的AnyProxy。如果是在Linux服务器，我则会用tcpdump抓下包，然后用wireshark分析。

关于网络抓包

只要我们进行网络请求，自然会有数据包的产生，通过抓取数据包，可以知道请求的数据是什么，响应回来的结果又是什么。

如果你是HTTP协议的报文，那么恭喜你，你能被轻松地抓取数据包，然后被模拟进行请求。

所以现在一般为了降低风险，网站都会采用HTTPS协议请求数据，但是不是这样就安全呢？

不一定。因为下面的抓包软件在满足一定条件下就可以伪装进行抓取网络数据包。

Fiddler

Fiddler是在windows上运行的程序，专门用来捕获HTTP，HTTPS的。

当启动Fiddler，程序是作为一个代理服务器，当客户端配置了Fiddler代理地址之后，所有数据请求在达到目标服务器之前都会经过Fiddler，同样的，所有的http响应都会在返回客户端之前流经Fiddler。

Fiddler可以抓取支持http代理的任意程序的数据包，如果要抓取https会话，要先在对应设备安装证书。

这里就不展开如何安装证书，但是只有电脑/浏览器信任了这个工具证书，才可以真正获取到数据包，不会被拦截。

Fiddler场景

• 电脑端抓取类似微信、网站等数据包，然后分析报文，模拟请求。

• 移动端主要抓取手机发往真正网站的数据，在发送数据前，通过手机安装工具证书，设置代理服务，那么所有的数据包可以在Fiddler里被查看。具体请看下图展示的结构图：

不过随着手机系统安全性的提高，现在手机抓包越来越提高门槛，APP不再信任系统证书，只信任APP内部的证书，这也从侧面反应APP移动端安全性的提高。

结束语

现在做IT行业的人员，掌握网络抓包是一项技能，通过它可以验证软件的安全性，分析APP出现的问题，请勿用于非法用途！