我在分析一款Apk的时候发现一个诡异的现象：HTTP消息的构造和请求的发送遁形了？？我分析的目标就是找到某个按钮动作后面发出的HTTP消息的构造逻辑，然后可以自己组装该消息并通过自己的程序来发POST请求。
我之前有一些逆向经验，因此很快想着抓包，然后根据根据抓包中的关键字来入手。打开Android抓包工具，然后点下按钮，确实抓到了我想要的POST请求包，发现HTTP消息中需要构造的内容包括几个Header和POST消息体。其中，消息体是用HTML Form URL Encoded来编码的，而消息头里带了几个自定义的Header，比如类似:
    sssss: x3283\r\n
    kfred: f0c5ba7015514e778b14fa9168798231\r\n
我分别用Onekey-Decompile-Apk和IDA将Java和so库文件进行逆向，然后查找这两个关键词，没有任何线索(注：之前类似通过关键字查找的方式很容易定义为到具体的逻辑在Java或者Native代码中，然后查看Java或者ARM汇编即可成功逆向)。为此，我在分析的过程中有两个疑惑：
[1] 从逆向后的Java部分分析来看，点击按钮后最终调用的Java方法的实现在Java部分是不存在的，这说明它是通过JNI_OnLoad动态注册进去的，从这么来看，HTTP消息的构造和请求的发出是在so文件中完成的。但是根据我的经验，在so文件中发出网络请求，必须调用socket函数才行，但是我在IDA里查到import的函数中没有发现调用过socket函数。两点：第一，我的发网络请求必须调用socket函数，这个成立不？第二，如果调用了socket函数，是否有什么技术可以让它在IDA的Imports里隐藏掉？

[2] 我在so文件的IDA字符串中查看，基本上全是乱码，最先以为是中文乱码，后来我通过网上的显示中文的方法试了，依然不行。同时我自己还专门写了一个带中文的so，然后用同样的方法在IDA中查看，都可以成功查看中文。这说明这个字符串乱码应该是加密导致的。

基于目前上面的情况，感觉这个HTTP消息的构造及请求的发送遁形了，在Java和Native反编译中找不到任何线索，还请各位大侠赐教，谢谢！

[培训]科锐逆向工程师培训第53期2025年7月8日开班！