写在前面
工欲善其事必先利于器,android安全测试主要有两个方向:
(1)http/https流量分析
(2)逆向
流量分析跟web测试差不多,逆向第一步就是下下工具,看看apk文件,学学android基础知识
系统环境:win10+JDK8+python27
一、android逆向之工具
1.dex2jar dex->jar
dex文件是由java字节码转成的dalvik字节码
1.cmd窗口进入F:\Android\apktools\dex2jar-2.0
2.命令:d2j-dex2jar.bat classes.dex回车
3.完成后我们在F:\Android\apktools\dex2jar-2.0目录下就会多了个classes-dex2jar.jar文件,这个就是我们需要的jar文件,接下来就是如何查看java代码了
2.jd-gui 查看jar代码,在dex2jar之后使用
然后用它打开classes-dex2jar.jar就可以了,如果apk经过混淆,那么看到的都是a、b之类的。
3.Apkto