好物推薦：移動端開發安全工具

微信 QQ 微博

移動安全是移動端開發的重要一環，無論是對開發或測試來說，移動端的漏洞分析/測試等工作是不可或缺的一部分。該系列總結了十余款移動安全相關工具，內含靜態、動態分析框架，同時也有一些逆向工程和滲透測試框架。

加載中

BlackBox（黑盒）是一款虛擬引擎，可以在 Android 上克隆和運行虛擬應用，擁有免安裝運行能力。

黑盒可以控制被運行的虛擬應用，做任何想做的事情。

更新于 2022/06/20 13:55

AndroL4b 是一個基于 ubuntu-mate 的安卓安全虛擬機，可用于逆向工程和惡意軟件分析。

AndroL4b?包括來自不同信息安全極客和研究人員的最新框架、教程和漏洞實驗室的集合，常見的移動安全工具如?Radare2 、APKTools、ByteCodeViewer、Qark 、MARA 等，AndroL4b 均已內置。同時還有?Android Security Sandbox?、InsecureBankv2?等漏洞實驗室，可提供最新 Android 漏洞的詳細信息。

更新于 2022/06/20 11:20

JADX 是一個?Dex 到 Java 的反編譯器，用于從 Android Dex 和 Apk 文件生成 Java 源代碼，有命令行和 GUI 兩個版本。?

JADX 的主要功能是從 APK、dex、aar、aab 和 zip 文件將 Dalvik 字節碼反編譯為 java 類，自帶去混淆器。JADX-GUI 版本還支持以高亮語法查看反編譯的代碼、提供用法指引、全文檢索和 smali 調試器等功能。

注意：在大多數情況下，jadx 無法對所有 100% 的代碼進行反編譯，因此可能會出現錯誤。出錯時請查看故障排除指南，以獲取解決方法。

更新于 2022/06/20 11:19

Radare2（又名 R2） 是一個用 C 語言編寫的類 UNIX 逆向工程框架和命令行工具集。

R2?是功能強大的低級命令行工具（有一個被稱為?Cutter?的?GUI 版本）支持腳本，一般被用作跨平臺的二進制分析工具，用于分析、模擬、調試、修改和反匯編任何二進制文件。它支持在本地或通過遠程 gdb 服務器編輯本地硬盤驅動器上的文件、查看內核內存和調試程序。

R2 支持 ARM、MIPS、X86 等多個平臺，同時支持多種操作系統： Windows (since XP)、 Linux、 GNU/Hurd、iOS、?Android 、OpenBSD、 Z/OS、FirefoxOS 等。

更新于 2022/06/20 11:18

MARA 是一個移動應用程序逆向工程和分析框架。它將常用的移動應用逆向工程和分析工具組合在一起，用于測試移動應用，以抵御 OWASP（開放式 WEB 應用程序安全項目）的移動安全威脅。

MARA 支持?APK 逆向工程，比如將 Dalvik 字節碼反匯編為 smali 字節碼或 Java 字節碼，同時還支持 APK 反混淆、APK?執行路徑、IP 地址、URL、URI、電子郵件等基本信息的提取、APK 漏洞掃描、惡意軟件分析、APK Manifest 分析等多種功能。

MARA 還提供基于?OWASP Top Mobile Top 10?和?OWASP Mobile Apps Checklist 的源代碼靜態分析，能夠對 apk、dex 或 jar 文件執行單個或批量分析。

更新于 2022/06/20 11:17

Apktool 是一個用于逆向工程第三方、封閉二進制 Android 應用程序的工具。它可以用來從 Android 的 apk 安裝程序中提取各種資源，將資源分解為幾乎原始的形式（比如resources.arsc、classes.dex和9.png.XMLs），并對這些資源進行修改和重新打包。

Apktool 可用于 也可將解碼的資源重建回二進制 APK/JAR 文件，由于它支持自動化的 APK 構建，因此也可以用來完成一些重復的 APK 構建任務。

Apktool 可用于應用的本地化、往應用中添加一些功能、使應用支持自定義平臺、或分析學習應用程序內部結構等用途，不適用于盜版和其他非法用途。

Apktool 依賴于：Java 8 (JRE 1.8)、 Android SDK、AAPT、smali 基礎知識 。

更新于 2022/06/20 11:17

Bytecode Viewer (字節碼查看器) 是一個高級輕量級 Java/Android 逆向工程套件，可以分析 Java 8+ Jar 文件 和 Android APK 文件。

Bytecode Viewer?內置?6 個 Java 反編譯器：Krakatau、CFR、Procyon、FernFlower、JADX、JD-GUI；和 3 個內置字節碼反匯編器，包括 2 個匯編器：Krakatau 和 Smali/BakSmali ；以及 Dex2Jar 和 Enjarify 這兩個?APK/DEX 轉換器，同時擁有高級搜索、調試等功能。

Bytecode Viewer 支持含中文在內的 30 多種語言，支持解析 Class、Jar、XAPK、APK、DEX、WAR、JSP、圖像資源、文本資源等多種格式的文件，使用起來非常簡單。

更新于 2022/06/20 11:16

Adhrit 是一個開源的 Android APK 逆向和分析套件，可提取 APK 文件中的重要信息，并使用 Ghera 基準來識別 Android 應用程序中可能存在的漏洞。

Adhrit 深入分析 APK 文件的靜態字節碼，它依賴 Python3 和 JDK ，自帶 GUI 界面，啟動時會生成可以上傳 APK 并生成報告的 Web 界面，分析完畢會生成 Json 格式的分析報告。

注意：Adhrit 分析帶有兩個“.”的文件名時（如 my.app.apk）可能會出錯。這種情況請重命名 apk 為一個 “.” （如 myapp.apk） 即可解決。

更新于 2022/06/20 11:16

Radare2（又名 R2） 是一個用 C 語言編寫的類 UNIX 逆向工程框架和命令行工具集。

R2?是功能強大的低級命令行工具（有一個被稱為?Cutter?的?GUI 版本）支持腳本，一般被用作跨平臺的二進制分析工具，用于分析、模擬、調試、修改和反匯編任何二進制文件。它支持在本地或通過遠程 gdb 服務器編輯本地硬盤驅動器上的文件、查看內核內存和調試程序。

R2 支持 ARM、MIPS、X86 等多個平臺，同時支持多種操作系統： Windows (since XP)、 Linux、 GNU/Hurd、iOS、?Android 、OpenBSD、 Z/OS、FirefoxOS 等。

更新于 2022/06/20 11:16

Infer 是 Facebook 開源的靜態程序分析工具，用 OCaml 語言編寫，用于在移動應用發布之前對其代碼進行分析，找出潛在的問題。

目前 Infer 支持檢測??Java、C++、Objective-C 和 C 四種語言的代碼。對于 Android 和 Java ，Infer 主要檢查代碼中的空指針異常、資源泄漏、注釋可讀性、缺少的鎖保護和并發競爭條件。對于?C、C++ 和 iOS/Objective-C ，Infer 則主要檢查空指針的取消引用、內存泄漏、編碼約定和不可用的 API 等問題。

目前 Infer 已在 Facebook 中全面部署，持續運行以驗證?Facebook 應用程序的 Android 和 iOS、Facebook Messenger、Instagram 等應用的代碼修改。

更新于 2022/06/20 11:15

PKLeaks 是一個開源的 apk 文件敏感信息掃描工具，通過掃描 APK 文件來獲取 URI、端點和 secret 信息。

PKLeaks 使用起來非常方便，通過簡單的命令行即可完成 APK 文件的信息提取，而且支持通過配置 Json 文件來調整敏感信息的搜索規則，輸出結果支持 txt 和 Json 兩種格式（默認生成 txt 格式）。

APKLeaks 依賴于逆向工程工具 jadx，如果環境中沒有，則會提示安裝。

注意：這個包適用于 Python2，不適用 Python3。

更新于 2022/06/20 11:14

QARK 全稱 Quick Android Review Kit ：快速 Android 審查工具包，這個工具可用來檢查?Android 應用的源代碼和打包的 APK 中常見的安全漏洞。

QARK 自動使用多個反編譯器，利用它們的組合輸出，在反編譯 APK 時產生出色的結果。QARK 不需要 root 測試設備，因為該工具專注于尋找在安全環境下能被利用的漏洞。

與傳統工具相比，QARK 的主要優勢在于它可以生成 ADB 命令，甚至是功能齊全的 APK，從而將假設的漏洞轉化為有效的“POC”漏洞利用。此外，QARK 提供詳細的漏洞報告，使安全審查人員能夠找到對漏洞的精確且深入的解釋，并從中學習。

注意：QARK 會將 Android 應用程序反編譯回原始源代碼，這在某些情況下可能屬于違法行為，請謹慎使用。

更新于 2022/06/20 11:12

APKAnalyser 是一款 Android 靜態、虛擬分析工具，用來測試和驗證 Android 應用的開發工作。

ApkAnalyser 是個完整的工具鏈，可以修改二進制應用，用戶可以改裝，安裝，運行，驗證 logcat 的結果。ApkAnalyser 同時支持資源分析，可以解碼 XML，查找資源指向和檢測應用潛在問題。

ApkAnalyser 是個獨立的 J2SE 應用，遵循 Apache 開源協議，完全使用 Java 編寫。

注意：有時 ApkAnalyser 會消耗大量內存來分析 dalvik 字節碼，很可能會耗盡內存，特別是在加載多個大的 odexed APK 文件時。此外，ApkAnalyse 是索尼公司十年前開發的工具，因此部分內容可能有些過時，感興趣的朋友可以自行了解。

更新于 2022/06/20 11:12

Amandroid 是 Android 應用的靜態分析框架，該框架對組件之間進行流和上下文敏感的數據流分析。

目前，使用靜態分析解決 Android 應用程序安全的工作更多地關注特定問題，大多數工具也是為特定問題專門構建。而很大一部分 Android 安全問題都可以通過一個核心問題來解決 —— 捕獲應用程序的語義行為，例如對象指向和控制 / 數據流信息。

Amandroid 正是直接處理組件間控制和數據流，因此它可用于解決不同應用程序的多個組件交互導致的安全問題。它可以通過對 Android 運行時和庫進行明確指定和合理假設，來保證應用程序中不存在指定的安全問題。

Amandroid 框架非常靈活，易于擴展其他類型的 Android 安全問題分析。

更新于 2022/06/20 11:07

沒有更多內容

加載失敗，請刷新頁面

沒有更多內容

?OSCHINA(OSChina.NET)

工信部

開源軟件推進聯盟

指定官方社區

社區規范

深圳市奧思網絡科技有限公司版權所有

粵ICP備12009483號

頂部

一本久久综合亚洲鲁鲁五月天,无翼乌口工全彩无遮挡H全彩,英语老师解开裙子坐我腿中间