Androguard的使用方法

最新推荐文章于 2024-08-08 07:00:41 发布
最新推荐文章于 2024-08-08 07:00:41 发布
阅读量2.6k 收藏 4
点赞数
分类专栏: 移动开发 android 测试 文章标签: Androguard

Androguard 中提供的每个工具都是一个独立的py文件,我以上一节中的crackme0502.apk 与破解后的 crackme0502_cracked.apk 为例,来讲解它们的使用方法。

androapkinfo.py

androapkinfo.py用来查看apk文件的信息。该工具会输入apk文件的包、资源、权限、组件、方法等信息,输出的内容比较详细,建议使用时将输出信息重定向到文件后再进行查看。使用方法:
./androapkinfo.py -i ./crackme0502.apk

命令执行后输出信息如下。
./androapkinfo.py -i ./crackme0502.apk
crackme0502.apk :
FILES: 
res/layout/activity_main.xml Android's binary XML -51d837ba
res/menu/activity_main.xml Android's binary XML 2471e50a
AndroidManifest.xml Android's binary XML b5b7132
resources.arsc data 2a26ed7f
res/drawable-hdpi/ic_action_search.png PNG image, 48 x 48, 8-bit colormap,
non-interlaced 64275be8
……
MAIN ACTIVITY:  com.droider.crackme0502.MainActivity
ACTIVITIES:  ['com.droider.crackme0502.MainActivity']
SERVICES:  []
RECEIVERS:  []
PROVIDERS:  []
Native code: False
Dynamic code: False
Reflection code: True
……
Lcom/droider/crackme0502/MainActivity; <init> ['ANDROID', 'APP']
Lcom/droider/crackme0502/MainActivity; getAnnotations  ['ANDROID', 'WIDGET']
Lcom/droider/crackme0502/MainActivity; onCreate ['ANDROID', 'WIDGET', 'APP']
Lcom/droider/crackme0502/MainActivity; onCreateOptionsMenu ['ANDROID',
'VIEW']
Lcom/droider/crackme0502/MyApp; <init> ['ANDROID', 'APP']
Lcom/droider/crackme0502/MyApp; onCreate ['ANDROID', 'OS', 'APP']

androaxml.py

androaxml.py用来解密apk包中的AndroidManifest.xml文件。使用方法:
./androaxml.py -i ./crackme0502.apk

输出结果如下。
./androaxml.py -i ./crackme0502.apk
<?xml version="1.0" ?>
<manifest android:versionCode="1" android:versionName="1.0"
package="com.droider.crackme0502"
xmlns:android="http://schemas.android.com/apk/res/android"> 
  <uses-sdk android:minSdkVersion="8" android:targetSdkVersion="15"> 
 </uses-sdk> 
  <application android:debuggable="true" android:icon="@7F020001" 
  android:label="@7F050000" android:name=".MyApp" android:theme=
  "@7F060000">
  <activity android:label="@7F050003" android:name=".MainActivity">
 
   <intent-filter>
    <action android:name="android.intent.action.MAIN"> 
   
    </action>    
    <category android:name="android.intent.category.LAUNCHER">
     
    </category>    
   </intent-filter>  
  </activity> 
 </application> 
</manifest>

androcsign.py

androcsign.py用于添加apk文件的签名信息到一个数据库文件中。Androguard工具目录下的signatures/dbandroguard文件为收集的恶意软件信息数据库。在开始使用androcsign.py前需要为apk文件编写一个sign文件,这个文件采用json格式保存。下面是笔者编写的crackme0502.apk的sign文件crackme0502.sign 的内容:
[
{
 "SAMPLE":"apks/crackme0502.apk"
},
{
 "BASE":"AndroidOS",
 "NAME":"DroidDream",
 "SIGNATURE":[
  {
   "TYPE":"METHSIM",
   "CN":"Lcom/droider/crackme0502/MainActivity$SNChecker;",
   "MN":"isRegistered",
   "D":"()Z"
  }
 ],
 "BF":"0"
}
]

SAMPLE 指定需要添加信息的apk 文件。BASE指定文件运行的系统,目前固定为AndroidOS。NAME 是该签名的名字。SIGNATURE 为具体的签名规则,其中TYPE用来指定签名的类型,METHSIM表示的是方法的签名,此外还有CLASSSIM 表示为类签名;CN用来指定方法所在的类;MN指定了方法名;D指定了方法的签名信息。BF用来指定签名的检测规则,可以同时满足1条或多条,例如,使用 SIGNATURE 定义了3条签名规则,当软件的代码同时满足规则1或规则2且满足规则3时说明样本符合检测条件,那么BF可定义为“"BF" : "(0 or 1) and 2"”。

在Androguard目录下新建一个apks目录,将crackme0502.apk复制进去,然后将 crackme- 0502.sign文件复制到Androguard的signatures目录下,在终端提示符下执行下面的命令:

./androcsign.py -i signatures/crackme0502.sign -o signatures/dbandroguard

命令执行后crackme0502.apk的信息就存入dbandroguard数据库了,输出信息如图5-11 所示。


 

androdd.py

androdd.py 用来生成apk文件中每个类的方法的调用流程图。使用方法:

./androdd.py -i ./crackme0502.apk -o ./out -d -f PNG

这里需要使用-o选项强制指定一个输入目录,-d指定生成dot图形文件,-f用来指定输出的图片格式,可以是PNG 或JPG 。不过在笔者的 Ubuntu 10.04上,该工具并没有很好的工作。

androdiff.py

androdiff.py用来比较两个apk文件的差异。使用方法如下:
./androdiff.py -i ./crackme0502.apk ./crackme0502_cracked.apk

命令执行后输出结果如下。
./androdiff.py -i ./crackme0502.apk ./crackme0502_cracked.apk
……
 [ ('Lcom/droider/crackme0502/MainActivity$2;', 'onClick',
'(Landroid/view/View;)V') ] 
<-> [ ('Lcom/droider/crackme0502/MainActivity$2;', 'onClick',
'(Landroid/view/View;)V') ]
onClick-BB@0x0 onClick-BB@0x0
Added Elements(1)
  0x32 12 if-nez v2, +15
Deleted Elements(1)
  0x32 12 if-eqz v2, +15
Elements:
   IDENTICAL: 3
   SIMILAR:   1
  NEW:  0
  DELETED: 0
  SKIPPED: 0
NEW METHODS
DELETED METHODS

通过结果可以发现,androdiff分析出了两个apk之间的差异,MainActivity$2类的 onClick()方法中有一行代码不同。

androdump.py

androdump.py 用来dump一个Linux进程的信息。使用方法如下。

./androdump.py –i pid

pid 为一个Linux 进程的ID,该工具使用的时候较少,这里就不做介绍了。

androgexf.py

androgexf.py用来生成APK的GEXF格式的图形文件。该文件可以使用Gephi查看。使用方法:

./androgexf.py -i ./crackme0502.apk -o ./crackme0502.gexf

命令执行完后会在crackme0502.apk目录下生成crackme0502.gexf,gexf 是图形数据文
件,可以使用 Gephi打开,关于 Gephi的详细使用方法将在下一小节介绍。crackme0502.gexf打开后效果如图5-12所示(Windows 版本的Gephi)。


 

androlyze.py

androlyze.py提供了一个交互环境方便分析人员静态分析Android程序,该工具的功能非常强大,而且涉及的内容较多,详细的用法将在5.7.4小节介绍。

andromercury.py

andromercury.py是Mercury工具的框架。 功能上是对Mercury的包装,Mercury需要的Python 版本为2.7,此处不展示该工具,Mercury工具的详细使用方法会在本书的第11 章进行介绍。

androrisk.py

androrisk.py用于评估apk文件中潜在的风险。使用方法如下。

./androrisk.py -m -i ./crackme0502.apk

-m选项表明需要分析apk中的每一个方法,命令执行后效果如图5-13所示。


 

从输出结果来看,crackme0502.apk中没有发现风险,唯独有一项REFLECTION的值为1,表示程序中有使用到Java反射技术。

androsign.py

androsign.py用于检测apk的信息是否存在于特定的数据库中,它的作用与androcsign.py恰好相反。使用方法:

./androsign.py –i apks/crackme0502.apk -b signatures/dbandroguard -c signatures/dbconfig

androsim.py

androsim.py用于计算两个apk文件的相似度,它是唯一一个有Windows移植版的工具,Windows平台上该工具为androsim.exe,使用方法为:

./androsim.py -i ./crackme0502.apk ./crackme0502_cracked.apk

命令执行后输出结果如下。
Elements:
       IDENTICAL:  717
       SIMILAR:  1
       NEW:    0
       DELETED:  0
       SKIPPED:  0
    --> methods: 99.983498% of similarities

可以看到两个程序的相似度为99.983498%。

androxgmml.py

androxgmml.py用来生成apk/jar/class/dex文件的控制流程及功能调用图,输出格式为xgmml 。使用方法如下。

./androxgmml.py -i ./crackme0502.apk -o crackme0502.xgmml

不过很可惜的是,目前不管是在Ubuntu 10.04,还是Ubuntu 12.04上使用该功能,都会运行错误,并输出以下错误提示:

AttributeError: DVMBasicBlock instance has no attribute 'get_ins'

后者笔者发现这是Androguard的一个bug,截止到笔者编写完本章,该bug都还没出解决方案。

apkviewer.py

apkviewer.py用来为apk文件中每一个类生成一个独立的graphml图形文件,使用方法如下。

./apkviewer.py -i ./crackme0502.apk -o output

命令执行完后,可以使用 Gephi打开生成后的graphml文件,不过图形中的每个节点是指令级别的,在查看时效果没有方法级别的gexf文件直观。

whackw
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
androguard 3.2.1源码
01-04
在本文中,我们将详细探讨Androguard的核心功能、架构以及如何在Anaconda的Python环境中配置和使用它。 一、Androguard核心功能 1. **反编译与解析**:Androguard能够将Dalvik字节码(DEX文件)反编译为人类可读的...
androguard使用功能
qq_53861867的博客
10-06 212
之后发现可以直接使用androguard.exe进行工具使用。举个栗子,在D:/androguard/1.apk路径下的apk文件,我在终端输入。,说实话看完源码里面的附的教程我是一脸懵逼的。嘿嘿没错,我的apk文件是可爱小游戏“动物餐厅”!
android逆向笔记】(九)恶意软件分析工具-androguard使用
王嘟嘟的博客
12-09 4491
写在前面:因为windows下的python有一点问题,所以直接去找的santoku。这一找就出事了,我找了一早上,本来想在早上写的,但是安装环境什么的,一直在浪费时间,网上对于这方面的资源又很少。而且安装的时候,有一个巨大的坑,就是不能用中文安装,不然会出莫名其妙的错误。之后使用英文版的直接成功。然后使用tool安装,然后换成中文。于是乎大功告成的时候已经到下午四点了。咳咳,扯远了。这个是sant
探索Android世界:Androguard —— 你的安全分析得力助手
最新发布
gitblog_00063的博客
08-08 711
探索Android世界:Androguard —— 你的安全分析得力助手 androguardReverse engineering and pentesting for Android applications 项目地址:https://gitcode.com/gh_mirrors/an/androguard Androguard,一个由Python打造的全方位Android文件处理工具,是...
安装androguard&androguard-baseinfo
I want to know a little more.
04-02 706
androguard的作用是解析apk的基本信息,androguard-baseinfo是手写的一个小小的py脚本解析apk的 1、安装androguard pip3 install -U androguard 会默认安装到/usr/local/bin 要求python3 2、上传androguard-baseinfo并复制到/usr/local/bin androguard-ba...
Appie使用Androguard
forbidd3n,keep going
02-16 1755
0x00 Appie 网址:https://manifestsecurity.com/appie Appie是一款优秀的Android渗透性测试工具集,功能包括:Androguard、Drozer、dex2jar、Introspy-Analyzer、Volatility Framework、Java Debugger、Androwarn、Jd-Gui、Burp Suite、Pidcat、And
静态分析androguard
Because of dream!
05-28 1953
1.androaxml 读取配置文件AndroidManifest.xml Options:     -h --help                 -i --INPUT     -o --OUTPUT     -v --version         python2 androaxml.py -i manager.apk -o output.xml
androguard以及python库
07-04
Androguard分析结果中,使用Pydot可以清晰地表示Android应用的类和方法关系,便于理解其逻辑结构。 3. **Chilkat**:Chilkat库提供了一系列的网络、加密和压缩组件,其中ChilkatZip部分用于处理ZIP文件,这对于...
androguard-master.zip
04-21
通过深入学习和使用Androguard,我们可以提升对安卓应用安全性的评估能力,及时发现并修复安全漏洞,保护用户的隐私和数据安全。同时,对于开发者来说,Androguard也是优化和调试应用的有力工具,能有效提升应用的...
androguard
11-15
本文将详细探讨Androguard的原理、功能以及使用方法,帮助读者深入理解Android应用的静态分析。 一、Androguard简介 Androguard是由Alexandre Vassalotti和Guillaume Jourjon共同开发的开源项目,主要用于对APK...
androguard-master (1).zip
06-02
3. **类与方法解析**:Androguard能够列出所有类、接口、方法及字段,同时提供访问控制、超类、实现接口等信息。 4. **权限检查**:通过对AndroidManifest.xml的解析,Androguard能快速识别应用所需的所有权限,...
Androguard基本使用方法
热门推荐
4lwin博客
06-29 1万+
Androguard - 开源静态分析工具 > 安装配置 santoku系统,集成了一系列的开源安全工具,包括Androguard、Burp Suite、ApkTool等等。 也可以手动安装,参考链接:http://blog.csdn.net/u013107656/article/details/51509488 > Androguard简介 Git地址:https://gi
Android Profiler使用详解
qq_39577753的博客
03-10 1万+
工具打开 PC用adb连接上android设备 选则设备和需要检测的应用 CPU相关 在这里插入图片描述 APP:当前监控程序CPU占用率 Others:其他程序CPU占用率 Threads:当前系统运行线程数 绿色:线程处于运行状态或者是可运行状态; 黄色:线程处于活动状态,它正在等待I / O操作完成后继续工作; 灰色:线程处于休眠状态,不会占用任何 CPU 时间. 记录、检查函数跟 ...
androguard使用指南(参考英文官方文档)
qq_53861867的博客
10-19 2608
接着,对于找到的每个字段,它打印出字段的名称,然后查找所有读取和写入该字段的方法,并将这些方法的类名和方法名一起打印出来。a.get_android_manifest_axml().get_xml():返回APK文件的AndroidManifest.xml的二进制XML(AXML)表示。field有一点不同,不使用xref_from和xref_to,而是使用xref_read()和xref_write()。以上输出的逻辑表示为,输出对于每种方法中,对于每个交叉引用,此行代码打印了调用该方法的类名和方法名。
Android dump的使用1
jamikabin的专栏
01-05 1万+
android源码中很多service提供了dump函数,并会输出当前的状态。如何使用dump函数就是这篇文档要做的事儿首先,进入adb shell 第二,执行dumpsys –help 这样就能了解dumpsys命令的基本用法255|generic_x86_64:/ # dumpsys --help usage: dumpsys To dump all ser
androguard初体验
Don't rush and never settle. If it's meant to be, it will be.
03-19 1232
使用的APK APK来自某个apk第三方市场 Androguard主要方法 获取manifest文件:get_AndroidManifest() 判断APK是否有效:is_valid_APK() 获取APK文件名:get_filename() 获取APP名:get_app_name() 获取package名:get_package() 获取android版本名:get_androidve...
Androguard部署与实现原理
wtq1993的博客
02-26 4121
Android应用程序分析主要有静态分析和动态分析两种,常见的静态分析工具是Apktool、dex2jar以及jdgui。今天突然主要到Google code上有个叫做androguard的工具,提供了一系列的Apk以及dex、odex、arsc等文件的分析处理功能。很值得学习和分析。 androguard项目主页:http://code.google.com/p/androguard/ an
探索AndroguardAndroid安全分析的强大工具
gitblog_00094的博客
03-21 603
探索AndroguardAndroid安全分析的强大工具 androguardReverse engineering and pentesting for Android applications 项目地址:https://gitcode.com/gh_mirrors/an/androguard 在数字化的世界里,Android应用的安全性变得越来越重要。为了帮助开发者和安全研究人员检测潜在的...
【安装说明】Androguard
qq_42014001的博客
10-24 2779
安卓逆向分析
Androguard怎么用
07-12
Androguard是一个用于分析和反编译Android应用程序的强大工具。以下是使用Androguard的一般步骤: 1. 安装Androguard:首先,你需要安装Androguard库。你可以使用pip命令来安装它: ``` pip install androguard ``` 2. 导入Androguard库:在Python脚本中,导入Androguard库以便使用其中的功能: ``` from androguard.core.bytecodes.apk import APK from androguard.core.bytecodes.dvm import DalvikVMFormat ``` 3. 加载APK文件:使用APK类加载APK文件,以便进行后续分析和操作: ``` apk = APK("path/to/apk/file.apk") ``` 4. 获取应用程序信息:通过APK对象,你可以获取应用程序的各种信息,例如包名、版本号、权限等: ``` package_name = apk.get_package() version_code = apk.get_androidversion_code() permissions = apk.get_permissions() ``` 5. 分析DEX文件:使用DalvikVMFormat类加载DEX文件,以便对应用程序的字节码进行分析: ``` dex = DalvikVMFormat(apk.get_dex()) ``` 6. 分析类和方法:通过DalvikVMFormat对象,你可以获取类和方法的信息,例如类名、方法名、参数等: ``` classes = dex.get_classes() for cls in classes: class_name = cls.get_name() methods = cls.get_methods() for method in methods: method_name = method.get_name() parameters = method.get_descriptor().get_parameters() ``` 7. 其他功能:Androguard还提供了其他一些功能,例如分析资源文件、查找敏感API调用等。你可以根据你的需求进一步探索Androguard的文档和示例。 需要注意的是,Androguard是一个功能强大但复杂的工具,对Android应用程序进行深入分析需要一定的知识和经验。在使用Androguard进行任何操作时,请确保你有合法的使用权限,并遵守相关法律和伦理规范。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值