Android安全专项测试之反编译

最新推荐文章于 2023-12-28 11:05:58 发布
最新推荐文章于 2023-12-28 11:05:58 发布
阅读量5.3k 收藏 5
点赞数 2
分类专栏: 测试成长之路
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/itfootball/article/details/49806269
版权

apktool

反编译APK

使用apktool d <apk文件名>,默认会生成和APK文件名同名的文件夹,里面会存放反编译后的文件:

localhost:apk wuxian$ apktool d com.wangyin.payment-3.11.1.apk
I: Using Apktool 2.0.1 on com.wangyin.payment-3.11.1.apk
I: Loading resource table...
I: Decoding AndroidManifest.xml with resources...
I: Loading resource table from file: /Users/wuxian/Library/apktool/framework/1.apk
I: Regular manifest package...
I: Decoding file-resources...
I: Decoding values */* XMLs...
I: Baksmaling classes.dex...
I: Copying assets and libs...
I: Copying unknown files...
I: Copying original files...

这里写图片描述

反编译后的文件目录

这里写图片描述

  • assets:文件资源
  • lib:依赖库文件
  • original:原生文件
  • res:资源文件
  • smali:dalvik文件
  • unknown:其他

主要关注res文件夹和smail文件夹

res目录中的字符串文件篡改

这里写图片描述

Android中的字符串都保存在res/values/strings.xml中,如果可以修改这个文件,且能重新打包,那么我们的应用就被篡改了。我将应用名更改为TesterHome,且将马上登录 改成了 马上登录TesterHome;

重新编译

命令:apktool b <反编译后的目录>

localhost:apk wuxian$ apktool b com.wangyin.payment-3.11.1
I: Using Apktool 2.0.1
I: Checking whether sources has changed...
I: Smaling smali folder into classes.dex...
I: Checking whether resources has changed...
I: Building resources...
I: Copying libs... (/lib)
I: Building apk file...
I: Copying unknown files/dir...

会在反编译目录下的dist目录下生成一个APK:

这里写图片描述

安装

这个时候安装会报错:

localhost:dist wuxian$ adb install com.wangyin.payment-3.11.1.apk 
992 KB/s (27039435 bytes in 26.616s)
    pkg: /data/local/tmp/com.wangyin.payment-3.11.1.apk
Failure [INSTALL_PARSE_FAILED_NO_CERTIFICATES]

因为没有证书,我们需要给应用签名。

重签名

重签名需要如下几个文件:signapk.jar,testkey.x509.pem,testkey.pk8三个文件,有了这个文件后执行如下命令给应用签名(auto_sign)。

重签命令:java -jar signapk.jar testkey.x509.pem testkey.pk8 com.wangyin.payment-3.11.1.apk testerhome.apk

签名成功后,会生成一个新的apk:testerhome.apk。这个时候安装就成功了。

效果

这里写图片描述

这里写图片描述

Q博士
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
Android应用安全测试用例
武天旭的博客
12-09 1173
前言 自从写了移动安全专栏,经常有小伙伴问有没有APP安全测试用例(俗称checklist),这个当然是有的啦!只是博主觉得测试用例这个东西,属于最基本的常识,就不在这里写了。另外,如果真的从内向外懂移动安全技术的话,测试用例这东西也就是一个自然而然的东西。
APP应用安全测试
m0_68271895的博客
02-27 992
中国信息通信研究院发布的《移动应用数据安全与个人隐私保护白皮书(2019年)》显示,67%的App 存在5个及以上个人信息安全问题,18.5%的App 存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息等5类问题上。 APP数据安全的检测,重点在对个人隐私保护上的检测。主要分为:隐私协议合规性、收集及使用个人信息合规性、权限申请及使用合规性、风险行为四部分。
Android 逆向工程之反编译处理Dex
最新发布
qq_38794072的博客
12-28 2565
本文简单介绍了如何对apk内的dex文件做混淆处理操作后再重新打包生成新的apk
APP安全测试、apk反编译
xiadanying的博客
06-12 1558
文章目录安全测试点apk反编译 https://www.jianshu.com/p/d79a30a7ed94 https://blog.51cto.com/laoyinga/2155341 安全测试点 安装包 apk反编译 签名 发布前校验一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装等 使用命令 jarsigner -verify -verbose -certs apk包路径 ...
安全测试-- apk 反编译
Qton_CSDN的博客
02-27 421
https://www.cnblogs.com/cuiyubo/p/6721397.html 1 下载 apktool https://bitbucket.org/iBotPeaches/apktool/downloads 2 把 下好的 apktool.jar 放在任意目录(我直接放在 C根目录下) 3 记住需要反编译的apk的存放地址(我放在C盘) 4 cmd 输入命令:   ...
APK反编译测试
weixin_42110738的博客
04-03 826
一、准备必要工具 1.1、使用工具 1.apktool (资源文件获取) 2.dex2jar(源码文件获取) 3.jd-gui (源码查看) 1.2、工具介绍   apktool     作用:资源文件获取,可以提取出图片文件和布局文件进行使用查看   dex2jar     作用:将apk反编译成java源码(classes.dex转化成jar文件)   jd-gui     作用:查看APK...
java反编译工具_移动app安全测试 客户端篇(一)反编译
weixin_39620118的博客
10-28 514
1、前言APP客户端作为直接和用户接触的媒介,是公司是非常重要的信息资产。但由于系统本身的一些风险和破解工具的泛滥,使得破解移动应用变得易如反掌。移动应用安全性成为了大家都在关注的焦点。并在此基础上探讨如何做相关的安全测试。本篇将要介绍是反编译的技术手段以及反反编译的一些基本策略。2、反编译未经保护的移动应用有许多弱点可被轻易攻击。比如注入恶意软件,窃取知识产权,破解内购、二次打包,盗取...
android反编译浅析
飞上北极星
10-29 993
android的apk的反编译其实是学习android代码的好工具,学习一套反编译的流程也很有利于自己掌握android开发,学习到自己需要的功能实现,简单的写了个流程,交流而已!
浅谈android中的反编译
Mikyou的专栏
02-13 850
浅谈Android中的反编译写在前面: 众所周知,Android最终可运行在手机上的是以.apk结尾文件,实际上它是一个文件压缩包,也就是说我们可以解压得到其中的文件,但是解压后只能得到其中的图片资源,而一些其他的资源布局和JAVA源代码是无法看到的。但是有的时候我们需要用到反编译的,比如我们看到一很不错的APP想学习一下其中的代码,这时候就可以需要用到反编译的知识了。 反编译
App专项测试
langyichen的博客
07-01 1535
移动App专项测试 移动App测试实战—专项测试 转自:http://www.51testing.com/html/58/n-3713758.html 我们在进行了手工的功能测试之后,也开发了一些自动化测试用例,并且做了性能测试之后,测试工作看似比较完整了。但是当我们的App在大量的用户那里被安装和使用的时候,还是会有很多我们之前没有预料的问题被反馈回来,比如:   · Crash的问题   · 设备兼容性的问题   · 流量使用过多的问题   · App导致用户手机电量消耗过快的问题   · 在不同的网络
Android 性能优化资源汇总 2020 版
何一涛博客
05-06 3935
近期做 Android 性能优化,整理了部分性能优化的开发资源,先发布出来,后续会在这个 git仓库 更新,感兴趣的网友可以关注下。 以下是初稿: 网站博客 以组织或人为单位的教程资源: Android 官方教程,关于性能优化的主题,中文翻译 Android Developers Android 官方开发者频道 微信终端开发团队博客,公众号 WeMobileDev ,也可访问腾讯云专栏 Face...
app测试要点整理(ios)
qq_51371831的博客
08-20 2571
目录 1. 安装卸载与更新 1.1 安装 1.2 卸载 1.3 版本更新 2. 业务功能 2.1 登录 2.2 按键与手势(iOS) 2.2 逻辑测试 2.3 接口测试 2.4 前后台切换 2.5 消息通知 2.6 数据更新 3. 界面(UI) 4. 安全性 4.1 安装包 4.2 数据安全 4.3 账户安全 4.4 软键盘劫持 4.5 通信安全 4.6 服务端接口 5. 交叉事件(多进程) 6. 性能 6.1 响应 6.2 内存 6.3 cpu 6.
【APP测试反编译工具及其使用命令笔记
weixin_43486390的博客
04-17 599
./d2j-dex2jar.bat xx.apk apktool.bat d xx.apk apktool.bat b xx (反编译后的目录) java安装目录下可签名: .\keytool.exe -genkey -alias D:\abc.keystore -keyalg RSA -validity 20000 -keystore D:\abc.keystore .\keytoo...
安全测试-App反编译实践篇记录
qq_34381178的博客
03-16 7253
一、什么是Android反编译 我们在手机下载的AndroidApp安装包是Apk文件(AndroidApplicationPackage)。通过Apk文件,我们也可以得到这个应用的代码和资源文件,对应用进行修改。我们如何获取这些文件,这就需要Android反编译技术。计算机逆向工程(Reverseengineering)也称为计算机软件还原工程,是指通过对apk软件的目标程序(比如可执行程序)进行“逆向分析、研究”工作,以推导出apk产品所使用的思路、原理、结构、算法、等要素,某些特定情...
(1)客户端app安全_apk反编译
weixin_43639443的博客
11-25 412
———————————————— 版权声明:本文为CSDN博主「xiadanying」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/xiadanying/article/details/91588369 ...
APK安装包测试反编译测试
zhuangxing929的博客
11-24 782
APK反编译
APP安全测试之apk反编译
weixin_42134907的博客
01-20 800
#安全测试之apk反编译 ##1. 需要的环境以及工具 SDK:Java JDK,Android SDK。 apk 工具:android 组件安全测试工具,activity 劫持测试工具,android 击键记录测试工具, 代理工具(proxydroid),MemSpector,Host Editor。 工具:7zip,dex2jar,jd-gui,apktool,IDA pro,ApkAnaly...
apk反编译--快速入门安全测试
测试领域专家,多领域测试技术、管理、工具都略懂,略懂一二
12-08 3573
安全测试中,特别是测试app的同学,肯定考虑到反编译反编译是什么?可能有些人还是不知道,反编译是将app的开发者,把app打包好的apk进行反编,其作用是反编出来能否看到源码,这就关乎安全性的问题咯,你想想啊,源码这么容易被人看到,机密不是泄露了,在这竞争激烈的社会,关乎生死存亡。 所以研发人员打包好的apk前要对代码进行混淆,混淆就是把代码关键内容或变量等进行重命名,所以很多apk反编译
移动端安全测试-代码篇(反编译
一杯咖啡的渗透记忆
01-24 863
Mobile的安全测试之前一直关注的是应用本身,没怎么关注过代码--这是我的弱项。 以前在公司做开发,没有测试,代码验证这块都是自己做,所以现在做安全我也很少去做代码验证这块。 在我的概念里面,代码只有完全没问题了才能拿出去溜溜。。。 但今天收到的移动端安全问题就是代码方面的。有完整性问题,逆向分析和二次打包的安全问题存在。 解决方案: 这边的解决方案是客户提供的,开发代码中第三方加固。...
Android专项测试详解:流量、电量、安全与稳定性
"这篇文档是2017年全国大学生统计建模大赛研究生组的一篇优秀论文,主题涉及Android应用的专项测试,包括安装包测试、流量测试、电量测试、弱网络测试、稳定性测试安全测试和环境测试。文档详细介绍了如何对...
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值