Android Sandbox(沙箱)开源工具介绍

android sandbox 通过利用开源工具动态分析、静态分析android的相关应用,发现应用的具体行为,从而进行判断android应用的危险程度,本文重点介绍几款常用工具。

1、droidbox是基于TaintDroid系统构建的Sandbox,通过hook系统api对apk程序进行监控,随着android SDK的不断更新,其也要随之适配。

droidbox:http://code.google.com/p/droidbox/

taintbox:http://appanalysis.org/

DroidBox is developed to offer dynamic analysis of Androidapplications. The following information is shown in the results,generated when analysis is ended:

  • Hashes for the analyzed package
  • Incoming/outgoing network data
  • File read and write operations
  • Started services and loaded classes through DexClassLoader
  • Information leaks via the network, file and SMS
  • Circumvented permissions
  • Cryptography operations performed using Android API
  • Listing broadcast receivers
  • Sent SMS and phone calls

2、Apimonitor

Apimonitor:http://code.google.com/p/droidbox/wiki/APIMonitor 

Android is upgrading in a fast speed. To avoid endless porting ofDroidBox, we changed the way to do dynamic analysis. Instead of hooking systems, we interpose APIs in APK files and insert monitoring code. Byrunning the repackaged APK, we can get API call logs and understand APK's behavior.

3、AndroGuard

通过分析主要应用于android应用的静态分析

AndroGuard:http://code.google.com/p/androguard/

Description

Androguard is mainly a tool written in python to play with :

    * Dex (Dalvik virtual machine) (.dex), and ODex (disassemble, decompilation),
    * APK (Android application) (.apk),
    * Android's binary xml (.xml).

Androguard is available for Linux/OSX/Windows (python powered).

If you have decided to make a donation for the Androguard project in order to help the developers, click the donate button below for Paypal:

Features

Androguard has the following features :

    * Map and manipulate DEX/ODEX/APK format into full Python objects,
    * Diassemble/Decompilation/Modification of DEX/ODEX/APK format,
    * Access to the static analysis of the code (basic blocks, instructions, permissions (with database from http://www.android-permissions.org/) ...) and create your own static analysis tool,
    * Analysis a bunch of android apps,
    * Diffing of android applications,
    * Measure the efficiency of obfuscators (proguard, ...),
    * Determine if your application has been pirated (plagiarism/similarities/rip-off indicator),
    * Check if an android application is present in a database (malwares, goodwares ?),
    * Open source database of android malware (this opensource database is done on my free time, of course my free time is limited, so if you want to help, you are welcome !),
    * Detection of ad/open source librairies (WIP),
    * Risk indicator of malicious application,
    * Reverse engineering of applications (goodwares, malwares),
    * Transform Android's binary xml (like AndroidManifest.xml) into classic xml,
    * Visualize your application with gephi (gexf format), or with cytoscape (xgmml format), or PNG/DOT output,
    * Integration with external decompilers (JAD+dex2jar/DED/...)

4、其它

http://source.android.com/tech/index.html

The Dalvik Virtual Machine is the heart of Android. It's a fast, just-in-timecompiled, optimized bytecode virtual machine. Android applications arecompiled to Dalvik bytecode and run on the Dalvik VM. This section includesdetailed information such as the Dalvik bytecode format specification,design information on the VM itself, and so on.



Sandboxie 是用于 32 位和 64 位 Windows NT 操作系统的基于沙盒的隔离软件。自从它成为开源软件以来,它一直由 David Xanatos 进行开发,在此之前,它由 Sophos(从 Invincea 收购,Invincea 后来从原始作者 Ronen Tzur 收购了)开发。它创建了一个类似于沙盒的隔离操作环境,在其中可以运行或安装应用程序而无需永久修改本地或映射驱动器。隔离的虚拟环境允许对不受信任的程序和 Web 浏览进行受控测试。 开源免费沙箱增强版 Sandboxie Plus 中文版开源免费沙箱增强版 Sandboxie Plus 中文版 由于 Open Sourcing 沙盒发布了两种版本,因此经典版本使用基于 MFC 的 UI 进行构建,此外还包含新功能和全新的基于 QT UI。所有新添加的功能都以 plus 分支为目标,但通常可以通过手动编辑 sandboxie.ini 文件在经典版本中使用。 项目维护 2004 年 – 2013 年 Ronen Tzur 2013 年 – 2017 年 Invincea Inc. 2017 年 – 2020 年 Sophos Group plc 开源发行 2020 年起 David Xanatos 如果您甚至对软件充满热情,那么您可能已经听说过沙盒,它是一种软件管理策略,可将应用程序与关键系统资源,其他应用程序和计算机的操作系统隔离开。通常,这样做是为了减轻系统故障和软件漏洞,并防止可能不可信的应用程序对系统进行永久更改。 简而言之,沙盒应用程序只能访问其自身“盒子”中的资源。有许多实用的沙箱工具,但可以说是基于著名的 Sandboxie 遗留应用程序的 Sandboxie Plus 最受欢迎的工具Sandboxie 最初于 2004 年作为用于 Internet Explorer 沙箱的应用程序发布,在随后的几年中增长了很多。它增加了对其他浏览器和许多 Win32 应用程序的支持,然后在 2013 年被 Invincea 收购,然后在 2017 年被 Sophos 收购,现在由 David Xanatos 以 Sandboxie Plus 的名义积极维护。 截至 2020 年,该应用程序被列为开放源代码 GPLv3,并且仍然是沙盒最好的应用程序之一。 在 Sandboxie Plus 中运行应用程序的基本指南 对于未经培训的用户,尽管具有现代的 GUI,但 Sandboxie 并不是一个简单的称呼。但是,在充分利用其潜力之前,需要进行一些练习。 在简单的安装过程之后,该应用程序突出显示系统上检测到的应用程序以及有关兼容性设置的各种建议。检测到的应用程序在“设置”菜单的“软件兼容性”部分中突出显示。 创建一个沙箱 您可以立即获得默认的沙箱。要在沙盒中运行应用程序,只需选择“创建新盒子”,输入名称,选择有问题的盒子,然后运行程序。最初,所有在沙箱中运行的应用看起来都很正常。但是,您可以观察到将鼠标光标移至窗口边框会激活彩色边框。此提示表明该程序已沙箱化。 您将获得有关如何在 Sandboxie Plus 中运行新应用程序的各种选项。例如,您可以将程序分组在一起并同时运行它们,添加各种应用程序限制和与Internet 相关的限制,选择哪些进程使用哪些资源,使用各种恢复选项(快速恢复和即时恢复),以及各种其他有用的兼容性和与跟踪相关的功能。 终止沙箱 终止沙箱也很简单:您可以选择从任务栏图标菜单或直接从应用程序的主窗口终止所有进程。 默认情况下,当您关闭其中运行的应用程序时,该沙箱会自动永久删除。但是,您可以从“设置”部分更改此行为。 结论 Sandboxie Plus 仍然可以做很多事情,因为该应用程序功能强大,而且比首次出现时复杂得多。学习使用有用的恢复选项可以产生各种有益的结果,甚至可以证明从整体上提高了生产率。 它可能并不完美,或者对初学者特别友好(因为它确实至少需要对操作系统的工作方式,设备,一般的访问权限等有基本的了解),但是无可否认,Sandboxie Plus 是其中之一。 Windows 最好的(即使不是最好的)沙箱应用程序。 它为应用程序测试提供了非常灵活和强大的隔离环境以及高度的灵活性。
要选择哪个更好用,需要根据实际需求和使用场景来进行评估。以下是对360沙箱sandbox的简要比较: 360沙箱是由中国的360公司开发的一款沙箱技术产品。它具有对恶意软件进行快速分析、检测和隔离的能力,可以在虚拟环境中模拟恶意软件的运行环境,以保护计算机系统的安全。360沙箱提供了简单易用的用户界面和功能丰富的工具,适合个人用户和中小型企业使用。 而sandbox则是一种通用术语,指的是隔离和限制程序执行环境的技术。它可以在操作系统层面或虚拟化技术中实现。sandbox可以提供更加灵活和定制化的设置,适用于开发者、研究人员和高级用户等有特殊需求的群体。 所以,要选择哪个更好用,可以从以下几个因素考虑: 1. 功能和用途:如果只需要简单的恶意软件检测和隔离功能,360沙箱足够满足需求。如果需要更高级的定制、更广泛的应用场景或特殊研究目的,则sandbox可能更适合。 2. 用户友好性:360沙箱提供了易于使用的界面和工具,对于普通用户来说更加友好。sandbox则可能需要更高的技术素养和操作技能。 3. 数据隐私:如果有涉及敏感数据或隐私信息的需求,sandbox可能提供更好的安全性和隐私保护,因为它可以完全隔离程序的执行环境。 因此,在选择哪个更好用时,需要根据具体需求和使用场景来综合考虑功能、用户友好性和安全性等因素。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值