Dex文件格式扫描器:特征API的检测和扫描-小工具一枚(转载)

转载 2018年04月16日 21:36:30

之前由于工作需求,会分析大量APP的某些特殊API,对特殊API分析每次都需要打开JEB->查找特定API->分析流程….无奈APP是无穷的,而精力是有限的。于是发挥了人类最本能的天性——偷懒,既然想偷懒了,就让计算机帮助分析,于是写了个小工具来做上面的需求。

其实不外乎就是对Dex文件格式的解析,然后根据API特征进行扫描,把调用的类和方法输出,接下来就会针对输出的信息,在逐个分析利用。

既然是解析刚好理了一下Dex文件结构,网上各种分析过程,就不在这里详述了。这里我主要详述下如何获取API特征的。

Android Dalivk字节码生成的过程大致为Java->smali->dalivk字节码,现在拿到的最后一步的东西,开发看的都是Java层的代码,如何进行特征提取呢?显然中间层的smali就起了很重要的作用(自问自答的废话<( ̄_ ̄)>),因此需要看看dalivk字节码到smali的转换表,在后面会详述。 
http://pallergabor.uw.hu/androidblog/dalvik_opcodes.html

说说提取的特征吧,做法是首先查看smali对应代码,这时候会用到上面的转换表,相应转出对dalivk字节码,然后在代码段中匹配到字节码后,开始对特征API的字符串查找,相应的做出匹配,基于此来确定是否包含此API,例如初始化DexClassLoader时: 
CheckingInsAndClassValue(insNum,ins,dexHeader,0x70,””,”Ldalvik/system/DexClassLoader;”)

由于涉及相关信息,并没有把之前扫描的API接口加载代码里面,想扫描特殊的API的话请参照我的示例接口自行编写。当然,工具有很多地方待完善,也可以做成完全接口化的,目前只是够用而已。

扫描结果图: 
扫描DexClassLoader调用处

附上工具地址: 
https://github.com/Rorschach123/DexScanner

版权声明:本文为博主原创文章,未经博主允许不得转载,如有需要请私信博主。 https://blog.csdn.net/u011247544/article/details/61922270

Dex文件格式扫描器:特征API的检测和扫描(小工具一枚)

之前由于工作需求,会分析大量APP的某些特殊API,对特殊API分析每次都需要打开JEB->查找特定API->分析流程….无奈APP是无穷的,而精力是有限的。于是发挥了人类最本能的天性——偷懒,既然想...
  • u011247544
  • u011247544
  • 2017-03-13 17:22:04
  • 825

扫描目录下的php文件,是否含有木马特征

扫描目录下的php文件,是否含有木马特征
  • u011986449
  • u011986449
  • 2014-04-11 18:52:48
  • 1477

Android Dex文件格式解析

Dex文件是Android虚拟机下的可执行文件,包含了应用程序所用到所有操作指令和运行时数据。在程序编译过程中,java源文件先被编译成class文件,然后通过dx工具将多个class文件整合为一个d...
  • QQ1084283172
  • QQ1084283172
  • 2016-12-12 17:11:28
  • 2507

Web漏洞扫描工具-python

这是去年毕设做的一个Web漏洞扫描小工具,主要针对简单的SQL注入漏洞、SQL盲注和XSS漏洞,代码是看过github外国大神(听说是SMAP的编写者之一)的两个小工具源码,根据里面的思路自己写的。以...
  • u013181216
  • u013181216
  • 2016-09-26 23:25:19
  • 5305

waf实现扫描器识别

因为公司的三大业务之一就有一个云waf,每天拦截的日志里面,有将近90%的请求是扫描器发出,waf接收到请求会解析数据包,然后过一遍规则,过完成百上千条规则必定对性能有一定的影响。如果能识别出来是人还...
  • yangguangmeng
  • yangguangmeng
  • 2016-03-09 15:11:55
  • 835

网络扫描器的设计与实现

网络扫描器的设计与实现   来源:网络收集  整理...
  • tjgoahead
  • tjgoahead
  • 2006-11-13 15:42:00
  • 793

扫描器Scanner的Api

概述  软件包   类  使用  树  已过时  索引  帮助    JavaTM 2 Platform Standard Ed. 5.0    上一个类   下一个类 框架    无框架   ...
  • lzabcde
  • lzabcde
  • 2016-01-16 09:30:04
  • 557

[其他] Waf实现扫描器识别

一、扫描器指纹(head字段/请求参数值等) 目前最常见的手法就是收集扫描器的指纹特征来做识别,不同的扫描器都有自己的一些特征, 比如发出的请求会加一些特定的head 字段,测试漏洞的请求参数的值会带...
  • hitwangpeng
  • hitwangpeng
  • 2015-10-27 10:15:37
  • 609

Python安全小工具之Web目录扫描器

本次的程序实质是Web目录的暴力破解,即基本过程为取出字典内容、和目标网站进行组合、然后进行请求识别,能否扫描出相应的Web目录主要看字典的强大与否。至于字典,网上也很多资源,收集一下即可。 这里为了...
  • SKI_12
  • SKI_12
  • 2017-11-04 15:14:42
  • 1324

PHP Web木马扫描器

PHP Web木马扫描器
  • u011986449
  • u011986449
  • 2014-04-11 18:35:48
  • 2046
收藏助手
不良信息举报
您举报文章:Dex文件格式扫描器:特征API的检测和扫描-小工具一枚(转载)
举报原因:
原因补充:

(最多只允许输入30个字)