APK取证,大量经典例题加实操,非常推荐练习。(二次修改版)

已于 2023-05-01 19:26:37 修改
阅读量3.4k 收藏 46
点赞数 2
文章标签: android 经验分享
于 2022-08-11 16:03:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ntrybw/article/details/126281764
版权

 第二次前言:由于我取证组队我不做手机模块,就一直没怎么学手机。觉得自己很欠缺,之后想全能一点,所以现在又来补习,觉得自己博客写得太差了,很惭愧,所以现在开始二次修订,希望把思路清晰的给大家展示,希望与大家一起进步,如果写得博客存在不当之处,请真正,我一定虚心接受,仔细修改,万分感谢。

我也是暑假里刚刚接触APK取证,觉得比pc取证有意思一点,所以把手头上的题目与大家分享,希望和大家一起进步。

话不多说,先上链接。

链接:https://pan.baidu.com/s/17mK1U8CTZtK0R902-3NMOQ?pwd=ybww 
提取码:ybww 
--来自百度网盘超级会员V2的分享

为了方便大家,这里也包含了Fidder汉化版,和两个案例。

那我就一题一题做下去了。

Apk分析题

  1. APP包名?

答:com.example.readeveryday

然后用jadx查看

一般在andordand。xml下,这个package就是包名

一般只要拖进jadx就好,需要脱壳的脱掉

 

  1. 该APK具备下列哪些危险权限(多选)?

A读取短信  B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

答:

我们打开jadx验证,发现

<uses-permission android:name="android.permission.READ_CONTACTS"/>通讯录
    <uses-permission android:name="android.permission.READ_SMS"/>内存
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>内置sd卡
    <uses-permission android:name="android.permission.INTERNET"/>网络访问

在and.xml文件夹后面就是所需权限,这里权限主要是这四个

  1. APK回传地址?【格式:http://www.abc.com:12345

看回传地址可以静态,也可以动态,建议抓包比较方便,不然都是有点麻烦的,可以用fidder抓包,也可以弘连自己的转包软件,我绝对不用验证配置,就不是很麻烦,可操作性好很多:

  1. APK回传数据文件类型?

答:也是在代码也看,基本上可以猜到是ZIP文件

不放心的话看PK,然后转到16进制源码,发现就是ZIP文件常用文件格式。

6、APK回传数据加密密码?

答:先说一下思路,首先接上题,肯定是先把压缩包拿出来。

先复制Fiddler,然后放到010Editor里面。


 

 然后把文件拿出来。

 但是会发不开,我们去寻找原因。

 发现很多在Fiddler里面正常的代码,到010Editor就变成了问号????

 所以此处应该在Fiddler里面提取

 发现有密码,第一时间我想到了爆破。

 我给大家一个建议,一般密码数量超过5位,而且没有任何提示(比如纯数字),暴力是不可能成功的,所以老老实实去看静态。

jadx找到主函数,任何找啊找。

19_08.05r发现密码,还是暴力来得快。

7、APK发送回后台服务器的数据包含以下哪些内容?(多选)

A.手机通讯录B.手机短信C.相册D.GPS定位信息

E.手机应用列表

答:打开得到答案。

—————————————————分隔符—————————————————————

第一套题目做完了,下面开始第二套。

第一题:[填空题]请获取app安装包的SHA256校验值(格式:不区分大小写)(5分)

  3. [填空题]请获取app运行后的进程名(格式:小写,半角符号)(10分)
  4. 这个题,我觉得是意思理解题,app运行后的进程名,其实就是应用包名。
  6. [填空题] 请获取app安装包签名证书的签名序列号 (格式:0x1a2b3c4d)(10分)
  7. 也是一个偏概念性的题目,签名证书一般在jadx的APK signature里面。
  8. 序列号: 0x4a5f7527
  10. [填空题] 请分析该APP安装后显示的APP名称 (5分)
  11. 爱聊(模拟扔进去就好了)
  12. [单选]请分析该APP是否具备读取短信的权限(10分)

 我们先看一看短信权限是什么,然后去反过来查找

 爆搜不到,所以没有

  1. [填空]请分析该APP调用的TencentMapSDK对应的KEY(答案格式:大写,半角符号,如:BDEOF-DIH9D-3GGHE-3RQ2K-UMR8W-DN2FA)(10分)
  3. 当然,反编译也可以做
  5. [填空题]请获取该APP连接的后台服务器地址 (格式: www.baidu.com )(10分)
  7. [不定向选择题] 请分析该APP配置文件“app_config.xml”,回答其加密内容时使用的算法(10分)A AES B DES C BASE16 D BASE64   答案:AD
  9. 由于我不会真相破解,所以我只能搜索,刷赖皮了。
  10. [填空题]请给出该APP配置文件“app_config.xml”中包含的升级唯一标识(inid)值(15分)

 这个还是先把文件拿出来

 我知道用来base64和AES算法,所以开始试一次。

但是key和iv都不知道,放弃

  1. [填空题]通过对APP进行分析,回答该APP的打包日期。(答案格式如:20210101 纯数字)(15分)放弃

如果有高手知道,请叫我做一下,非常感谢。

modest —YBW
关注
Android取证实战》
07-02
高清的扫描pdf 1分下载 《Android取证实战:调查、分析与移动安全》根据当前Android取证工作者的需求,首先从Android的硬件设备、应用开发环境、系统原理等多角度剖析了Android系统的安全原理,为读者打下坚实的理论基础,然后结合实用的取证分析工具和经典案例,系统而生动地讲解了Android取证的原理、技术、策略、方法和步骤,被公认为从事移动取证相关工作的从业人员必备的书籍之一。
APK取证经典例题,简单具有代表性,非常推荐新手尝试,本人也是小白,刚刚接触,给一套题目与大家分享
ntrybw的博客
08-11 901
ok,那么案例一就这么做完了,虽然软件依赖度很高,emmm不过一般公安电子取证都是软件取出来的啊,哈哈哈,一般公司又不电子取证,当然如果在这方面有需求可以私信我,我也可以做一个根据jadx的取证。链接:https://pan.baidu.com/s/11Nh-099gUDFJPX-Tbfx05w?然后信息就暴露了,建议大家可以稍微尝试一下,玩一下。抓包不难,但是过程还是略微有点麻烦,如果不会,可以看我的博文,我会做一个教程。模拟器打开发现就是答案,不过为了科学起见,我还是给大家抓一下包。...
安卓取证教程(一)
最新发布
龙哥盟
07-26 1165
Android 是一个快速成长、功能丰富且令人兴奋的移动平台。特性、连接性和流行度的结合自然导致了 Android 取证需求的增长。尽管移动取证的难度在增加,但其价值也在提升。Android 的开源特性极大地帮助取证分析师掌握了所需的基础知识,使得 Android 成为一个理想的作业平台。安卓被开发出来以支持广泛的设备和制造商。因此,任何主要组件的列表可能一列出就过时了。然而,有一些在安卓设备中始终如一的组件是值得讨论的。以下组件构成了安卓设备的核心。
取证刷题练习赛错题集1
mid2dog
10-19 1000
前言 每次打取证的时候最大的感悟就是电脑性能跟不上,老战友了 仿真一个windows镜像卡了我20分钟…痛哭流涕 所以,取证上我只能做到每做一个方面的题就直接做完,然后把这个软件关掉以提升性能 要不然不是蓝屏就是卡闪退orz 就像我小学第一部手机是充话费送的一样,之后尝试各种刷机来增强性能,自学了不少东西 逆境出强者。 开取证刷题的博客是为了总结一些不会的知识点,会的题目就不放上来了23333 错题 微信群号 微信的ID号就是群号,而后面的@chatroom是代表这是一个群聊…所以不用加上后面这部分 淦!
CTFShow-电子取证篇Writeup
Aluxian_的博客
05-18 3006
CTFShow-电子取证篇Writeup。
收集整理的经典Android应用源码安卓实例源代码72个合集.zip
10-29
收集整理的经典Android应用源码安卓实例源代码72个合集,android安卓实例应用源代码,仅供学习及设计参考。
电子数据取证Android APK分析
知远同学的博客
04-22 2422
当打包应用程序时,AndroidManifest.xml 文件会自动生成,并且会被打包进 APK 文件中。当你安装应用程序时,Android 系统会读取这个文件,以确定应用程序的基本信息和权限要求。开发者可以在 AndroidManifest.xml 文件中声明应用程序使用的权限,例如访问网络、访问文件、访问相机等。在应用程序安装时,用户会看到这些权限的描述信息,然后决定是否允许应用程序使用这些权限。
Android 渗透测试学习手册 第五章 Android 取证
热门推荐
龙哥盟
12-11 4万+
第五章 Android 取证 作者:Aditya Gupta 译者:飞龙 协议:CC BY-NC-SA 4.0 5.1 取证类型取证是使用不同的手动和自动方法从设备中提取和分析数据。它可以大致分为两类: 逻辑采集:这是的一种取证方法,其中取证员与设备交互并从文件系统提取数据。该数据可以是任何内容,诸如应用特定数据,联系人,通话记录,消息,web 浏览器历史,社交网络用户信息和
安卓如何从图片路径中得到宽高_CTF 与取证系列 2 ——安卓手机文件分析取证题目(上)...
weixin_39706367的博客
10-30 190
题目:安卓手机文件分析取证(Wi-Fi名称)题目连接https://www.mozhe.cn/bug/detail/K1doaXNFemlxODh1QUQ1WVJyOTZRQT09bW96aGUmozhe背景介绍嫌疑人在疑似犯罪时连接过一个Wi-Fi,分析取证文件找到该Wi-Fi名。解题思路题目中提供了手机的数据文件,下载后解压,众所周知,wifi相关信息一般保存在wpa_supplic...
APK静态分析(取证角度)——实战部分
currify的博客
07-29 902
样本1.apk使用的回传地址是什么?样本2.apk使用的回传地址是什么?样本3.apk的应用名称是什么?
Android 利用apktool工具实现apk二次打包功能的java小程序
加油,向未来!
06-18 4337
前言 前面博文写了如何通过apktool工具实现apk二次打包,二次打包是实现了,但终究感觉一行一行的输入命令也是比较麻烦,当然我们可以使用bat脚本来简化作。不过本人对脚本代码不太熟悉,对bat脚本的批处理和文件作等也不太擅长,所以最终决定还是回归java,用我最擅长java代码来实现apk二次打包,修改apk文件功能。 小程序(不是微信小程序)编写要点 小程序实现二次打包目的是给apk...
ANDROID取证实战—调查、分析与移动安全,高清完整扫描版
11-14
android取证实战:调查、分析与移动安全》是android取证领域广受好评的经典著作,也是国内第一本关于android取证的著作,由资深取证技术专家撰写,世界顶级取证专家审校,权威性毋庸置疑!本书根据当前android取证工作者的需求,首先从android的硬件设备、应用开发环境、系统原理等多角度剖析了android系统的安全原理,为读者打下坚实的理论基础,然后结合实用的取证分析工具和经典案例,系统而生动地讲解了android取证的原理、技术、策略、方法和步骤,被公认为从事移动取证相关工作的从业人员必备的书籍之一。    全书一共7章:第1章介绍了android平台的概况和特点、linux与androidandroid取证,并讲解如何创建基于 ubuntu 的虚拟机;第2章讲解了android所支持的各种类型的硬件和终端设备,为取证和安全分析做好准备。第3章讲解了软件开发套件、android虚拟终端的安装,以及取证技术的一些重要概念,涵盖davlik虚拟机、android程序调试桥、usb调试设置等;第4章分析了android系统的数据存储方式、涉及的内存类型,以及android中常见的各类文件系统;第5章分析了android终端设备成为泄漏数据以及用于作为主动攻击源的原因,并为个人、企业安全总监和应用开发者提供了一些非常具体的建议;第6章深入讲解了规避密码的几个不同策略和多种逻辑获取技术和物理获取技术(如adb pull、备份分析、aflogical、jtag、芯片摘取、afphysical等);第7章介绍了一些具体的策略和android文件的目录(文件夹)结构,并深入分析了11个可以用于获取android终端设备中主要数据的应用程序。
Android取证实战:调查、分析与移动安全
06-28
Android取证实战:调查、分析与移动安全
Android 取证实战调查、分析与移动安全.pdf
12-03
Aandroid 取证实战调查、分析与移动安全.pdf
Androidapk源码的修改工具
10-09
本人博客:Androidapk源码的修改--反编译+源码修改+重新打包+签名【附HelloWorld的修改实例】中用到的资源,博客以helloworld为例讲述了对apk源码进行修改的方法,感兴趣的可以看看
360加固(apk二次签名)
晨风的小窝
11-06 3960
360市场上传的安装包必须是加固后的,本篇就教大家如何给apk二次签名。签名步骤:1.需要删除apk包中的签名文件,META-INF(更改apk格式为压缩包形式,删除META-INF文件夹,改回.apk格式); 2.将证书(debug.keystore)复制到与需要重新签名的apk文件相同的目录下(如:复制到C:\Users\Sinaan\Desktop\3602); 3.进入cmd模式,进入C
apk注册机加密_apk软件添加注册机方法 安卓apk添加授权教程
weixin_39737831的博客
12-19 4343
1让SuperChm实现Call3具有一样的注册机制。首先得了解,一个Android程序由一个或多个Activity以及其他组件组成,每个Activity都是Android程序的一个展示“页面”,负责数据的处理和展示工作。并且每个Android程序有且仅有一个主Activity(隐藏程序没有主Activity)它是程序启动的第一个Activity。知道了这些,我们就看看Call3的第一个“页面”即...
Android之用新的签名文件对apk进行V3打包(apksigner命令方式)来解决签名不一致的升级问题
码莎拉蒂
04-14 2万+
v1 签名实际上就是 JAR 签名的方案,它不会保护 APK 内的所有问题,存在安全和效率问题v2 签名是一种全文件签名方案,增加了 APK 签名块(APK Signing Block),但仍无法解决更换签名的问题v3 签名是 v2 的升级版,也被称为 v2+。在 V2 插入的签名块(Apk Signature Block V2)中,又添加了一个新快(Attr 块),它使用链表存储了所有的签名信息,验证时就像 CA 证书的证明过程。
第七届蓝帽杯取证部分复盘一题多解,apk取证手机取证,计算机取证
Tummyiii的博客
08-31 2170
第七届蓝帽杯部分取证题目个人复盘和总结
利用安卓模拟器进行手机APK取证的研究现状
05-13
在数字取证领域,利用安卓模拟器进行手机APK取证的研究已经取得了一定的进展。目前已有多种安卓模拟器可供使用,如BlueStacks、Andy、NoxPlayer等。 研究人员可以使用这些模拟器来模拟安卓系统环境,并在此环境中安装并运行被取证APK文件。通过模拟器中的工具,可以获取APK文件中的各种数据和信息,如应用程序的代码、数据、通讯记录、文件系统信息等。 然而,利用安卓模拟器进行手机APK取证也存在一些问题和限制。例如,模拟器并不能完全还原真实的手机环境,可能存在兼容性问题、性能问题等。同时,模拟器中的应用程序可能会受到一些限制,如无法访问某些硬件设备或系统资源等。 综上所述,利用安卓模拟器进行手机APK取证是一种有前途的技术,但需要研究人员进一步改进和完善相关工具和方法,以提高取证的准确性和可靠性。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

modest —YBW

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值