快速开始:完成第一次抓包、解密与调试
这是一条面向新用户的完整上手路线。你会从安装 DevPeek 开始,配置本机代理和 HTTPS 证书,抓到第一条可解密请求,并知道什么时候使用重发、断点、录制回放和局域网协作。
视频占位
建议视频 1:10 分钟完成第一次 HTTPS 抓包
后续可放一段从下载、安装、开启系统代理、安装证书、访问测试站点到查看请求详情的录屏。视频最好保持线性流程,不要同时讲脚本和协作。
推荐时长:6-10 分钟。建议同时展示浅色/深色界面中的关键按钮位置。
开始前请确认
DevPeek 是本地 HTTP(S) 代理工具。它不会主动读取浏览器或手机里的历史记录,只有当客户端把网络请求发到 DevPeek 代理端口时,请求才会出现在抓包列表里。
- 当前桌面端主要面向 Windows;macOS 与 Linux 版本请以首页下载区域和更新日志为准。
- 你需要有权限调试目标网站、App 或测试环境;不要拦截未获授权的通信。
- 如果要看 HTTPS 明文,必须在发起请求的设备上安装并信任 DevPeek 根 CA,并把目标域名加入 SSL 解密范围。
- 如果要抓手机或其他设备,请让它们与运行 DevPeek 的电脑处于同一局域网,并能访问电脑的代理端口。
推荐上手路径
第一次使用时,建议先完成本机浏览器抓包。确认本机链路可用后,再扩展到手机、虚拟机、容器或团队协作。
安装并启动 DevPeek
从官网首页下载 Windows 安装包并完成安装。启动后主窗口默认进入抓包页,右上角齿轮菜单可以进入首选项、证书管理、SSL 代理配置、脚本管理器、断点配置和更新日志。
- 打开首页下载区域,下载最新 Windows 安装包。
- 安装完成后启动 DevPeek,确认主窗口可以正常打开。
- 如果你更习惯英文或深色界面,进入齿轮菜单 → 首选项,选择语言和主题,点击“确定”保存。
确认标准:主窗口可以打开,抓包页左侧列表区域可见,右上角齿轮菜单可打开。
确认代理端口,并决定是否设为系统代理
DevPeek 会在本机启动一个 HTTP(S) 代理服务。浏览器、手机或其他客户端只有把代理指向这台电脑的 IP 和 DevPeek 端口,请求才会进入抓包链路。
- 在首选项的“代理”页查看当前监听端口。默认端口以你的安装版本为准。
- 如果只抓本机浏览器,可在菜单中使用“设为系统代理”之类入口,让系统 HTTP(S) 代理指向 DevPeek。
- 如果抓手机,在手机 Wi-Fi 代理设置里填写电脑局域网 IP 和 DevPeek 代理端口。
- 修改端口后需要点击“确定”保存;端口变化会重启本地代理服务。
确认标准:客户端访问 HTTP 页面时,DevPeek 抓包列表开始出现对应客户端 IP 的请求。
安装并信任 HTTPS 根证书
HTTPS 解密依赖 DevPeek 根 CA。只设置代理但不信任证书,通常只能看到 CONNECT 隧道或证书错误,无法稳定查看请求头、请求体、响应体,也会影响断点和页面调试。
- 在 DevPeek 中打开证书管理页面,按界面提示安装或导出根证书。
- Windows 上确认证书进入“受信任的根证书颁发机构”,不是只放在“个人”证书区。
- iOS 需要先安装描述文件,再到证书信任设置中开启完全信任。
- Android 需要在系统安全设置中安装 CA 证书;部分 App 可能不信任用户证书,需要使用可调试构建或测试环境。
确认标准:访问 HTTPS 测试站点后,DevPeek 详情里能看到明文 Headers / Body,而不是只有 CONNECT。
开启 SSL 解密范围,抓第一条 HTTPS 请求
证书解决的是“客户端信任 DevPeek”的问题,SSL 解密范围解决的是“哪些域名允许 DevPeek 解密”的问题。两者都满足时,HTTPS 请求才会进入可分析状态。
- 打开 SSL 代理配置,添加你要调试的域名规则,例如 *.example.com 或 *api*。
- 为了第一次验证,也可以临时使用 * 覆盖全部域名;完成验证后建议收窄范围。
- 在浏览器或手机上刷新目标页面,回到 DevPeek 抓包页查看客户端 Tab 和请求列表。
- 选中一条请求,检查概览、请求头、请求体、响应头和响应体。
确认标准:列表中出现 HTTPS 请求,详情页能读到目标域名、状态码、耗时和明文内容。
使用筛选、详情和重发定位问题
当列表里请求很多时,先按客户端 Tab 缩小范围,再用协议、方法、关键词或正则筛选。找到目标请求后,可在详情里对比头、体和脚本加工后的内容。
- 用顶部客户端 Tab 选择发包设备。
- 用协议和方法筛选只看 HTTP/HTTPS 或 GET/POST 等请求。
- 在关键词中输入接口路径、域名、请求方法或响应片段。
- 需要验证接口参数时,使用“重发请求”打开调试抽屉,修改 URL、Query、Headers 或 Body 后重新发送。
确认标准:你能从列表快速定位目标 API,并用重发功能验证“改参数后响应是否变化”。
需要改包时再使用断点和脚本
断点适合临时暂停某条请求或响应,在放行前修改头和正文;全局脚本适合把重复处理沉淀成自动化流程,例如解密参数、补签名、统一改写测试字段。
- 先在断点配置里创建一条规则,限定 URL、协议、方法和 Req / Res 阶段。
- 在菜单中启用当前断点规则后,再触发目标请求。
- 命中断点时,在详情顶部选择继续或中止;需要修改内容时先编辑头或体,再继续。
- 如果同类处理会反复出现,再考虑迁移到全局脚本的四个阶段。
确认标准:命中断点后请求会暂停,编辑后的内容可以继续进入上游或返回客户端。
页面问题用调试、录制和回放
当问题不只是一条接口,而是“用户点了什么之后页面变坏”,使用调试页和录制回放更合适。DevPeek 可以把操作、Console、DOM 和网络请求放到同一条时间轴里。
- 切到调试页,选择已经经代理访问过的 HTML 页面客户端。
- 点击调试进入预览,并按需查看 Elements、Console 和 Network。
- 复现问题前开始录制,完成后保存到历史记录。
- 从历史记录打开“重现”,用时间轴回看操作、日志、DOM 和网络变化。
确认标准:历史记录里出现录制会话,并能通过“重现”窗口回放。
视频占位
建议视频 2:手机抓包与证书信任
这里适合放手机接入流程录屏:查看电脑 IP、填写 Wi-Fi 代理、扫码下载证书、完成 iOS / Android 信任、回到 DevPeek 验证 HTTPS 明文。
推荐时长:5-8 分钟。建议分 iOS 与 Android 两段,避免用户混淆系统设置入口。
下一步按场景阅读
我只想抓接口和重发请求
重点阅读抓包页、列表筛选、详情五栏、请求体/响应体预览和重发调试。
进入抓包教程我要处理 HTTPS 证书或手机抓包
重点阅读代理端口、系统代理、SSL 白名单、Windows / iOS / Android 证书信任。
进入代理与证书教程我要临时改请求或自动改包
重点阅读断点规则、自动断点、脚本规则、全局脚本四阶段和脚本日志。
进入脚本与断点教程我要复现一个页面 Bug
重点阅读调试页、录制、历史记录、回放窗口、浏览器扩展导入和协作发送。
进入调试与回放教程完成上手后的建议配置
确认基本链路可用后,可以把下面几项作为日常使用习惯:
- 只把需要调试的域名加入 SSL 解密范围,减少无关流量和安全风险。
- 为常用测试设备保留固定 IP 或备注,方便从客户端 Tab 和协作列表中识别。
- 把常用断点规则命名清楚,例如“登录接口 Req 暂停”或“商品详情 Res 自动改价”。
- 分享录制 JSON 或抓包请求前,先检查是否包含 Token、Cookie、手机号、邮箱等敏感信息。
如果某一步没有达到“确认标准”,不要继续叠加后续功能。先回到代理、证书、SSL 白名单和客户端网络设置,保证基础链路通,再排查断点、脚本或回放。