APK取证,大量经典例题加实操,非常推荐练习。(二次修改版)

已于 2023-05-01 19:26:37 修改
阅读量4.6k 收藏 55
点赞数 4
文章标签: android 经验分享
于 2022-08-11 16:03:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ntrybw/article/details/126281764
版权

 第二次前言:由于我取证组队我不做手机模块,就一直没怎么学手机。觉得自己很欠缺,之后想全能一点,所以现在又来补习,觉得自己博客写得太差了,很惭愧,所以现在开始二次修订,希望把思路清晰的给大家展示,希望与大家一起进步,如果写得博客存在不当之处,请真正,我一定虚心接受,仔细修改,万分感谢。

我也是暑假里刚刚接触APK取证,觉得比pc取证有意思一点,所以把手头上的题目与大家分享,希望和大家一起进步。

话不多说,先上链接。

链接:https://pan.baidu.com/s/17mK1U8CTZtK0R902-3NMOQ?pwd=ybww 
提取码:ybww 
--来自百度网盘超级会员V2的分享

为了方便大家,这里也包含了Fidder汉化版,和两个案例。

那我就一题一题做下去了。

Apk分析题

  1. APP包名?

答:com.example.readeveryday

然后用jadx查看

一般在andordand。xml下,这个package就是包名

一般只要拖进jadx就好,需要脱壳的脱掉

 

  1. 该APK具备下列哪些危险权限(多选)?

A读取短信  B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

答:

我们打开jadx验证,发现

<uses-permission android:name="android.permission.READ_CONTACTS"/>通讯录
    <uses-permission android:name="android.permission.READ_SMS"/>内存
    <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>内置sd卡
    <uses-permission android:name="android.permission.INTERNET"/>网络访问

在and.xml文件夹后面就是所需权限,这里权限主要是这四个

  1. APK回传地址?【格式:http://www.abc.com:12345

看回传地址可以静态,也可以动态,建议抓包比较方便,不然都是有点麻烦的,可以用fidder抓包,也可以弘连自己的转包软件,我绝对不用验证配置,就不是很麻烦,可操作性好很多:

  1. APK回传数据文件类型?

答:也是在代码也看,基本上可以猜到是ZIP文件

不放心的话看PK,然后转到16进制源码,发现就是ZIP文件常用文件格式。

6、APK回传数据加密密码?

答:先说一下思路,首先接上题,肯定是先把压缩包拿出来。

先复制Fiddler,然后放到010Editor里面。


 

 然后把文件拿出来。

 但是会发不开,我们去寻找原因。

 发现很多在Fiddler里面正常的代码,到010Editor就变成了问号????

 所以此处应该在Fiddler里面提取

 发现有密码,第一时间我想到了爆破。

 我给大家一个建议,一般密码数量超过5位,而且没有任何提示(比如纯数字),暴力是不可能成功的,所以老老实实去看静态。

jadx找到主函数,任何找啊找。

19_08.05r发现密码,还是暴力来得快。

7、APK发送回后台服务器的数据包含以下哪些内容?(多选)

A.手机通讯录B.手机短信C.相册D.GPS定位信息

E.手机应用列表

答:打开得到答案。

—————————————————分隔符—————————————————————

第一套题目做完了,下面开始第二套。

第一题:[填空题]请获取app安装包的SHA256校验值(格式:不区分大小写)(5分)

  3. [填空题]请获取app运行后的进程名(格式:小写,半角符号)(10分)
  4. 这个题,我觉得是意思理解题,app运行后的进程名,其实就是应用包名。
  6. [填空题] 请获取app安装包签名证书的签名序列号 (格式:0x1a2b3c4d)(10分)
  7. 也是一个偏概念性的题目,签名证书一般在jadx的APK signature里面。
  8. 序列号: 0x4a5f7527
  10. [填空题] 请分析该APP安装后显示的APP名称 (5分)
  11. 爱聊(模拟扔进去就好了)
  12. [单选]请分析该APP是否具备读取短信的权限(10分)

 我们先看一看短信权限是什么,然后去反过来查找

 爆搜不到,所以没有

  1. [填空]请分析该APP调用的TencentMapSDK对应的KEY(答案格式:大写,半角符号,如:BDEOF-DIH9D-3GGHE-3RQ2K-UMR8W-DN2FA)(10分)
  3. 当然,反编译也可以做
  5. [填空题]请获取该APP连接的后台服务器地址 (格式: www.baidu.com )(10分)
  7. [不定向选择题] 请分析该APP配置文件“app_config.xml”,回答其加密内容时使用的算法(10分)A AES B DES C BASE16 D BASE64   答案:AD
  9. 由于我不会真相破解,所以我只能搜索,刷赖皮了。
  10. [填空题]请给出该APP配置文件“app_config.xml”中包含的升级唯一标识(inid)值(15分)

 这个还是先把文件拿出来

 我知道用来base64和AES算法,所以开始试一次。

但是key和iv都不知道,放弃

  1. [填空题]通过对APP进行分析,回答该APP的打包日期。(答案格式如:20210101 纯数字)(15分)放弃

如果有高手知道,请叫我做一下,非常感谢。

长安杯!宝塔取证!宝塔面板的题目实操,弘连软件使用的进阶练习分享练习,非常好的题目,推荐大家练习一下,针对服务器的宝塔面板取证,题目也很good!(推荐做一下,提示一下自己啦!)
ntrybw的博客
10-16 3237
经询问,张某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终张某不堪重负,选择了报警;我这个是连接ssh的,操作方便很多,在虚拟机里面搞事情过于麻烦,不知道怎么连接,可以看我的另一博文,清楚讲述了怎么连接。当然这个链接鬼问题也很多,我个人建议多尝试一下,大不了重开,就会找到好办法的,多试试代码就全部背下来的。使用宝塔链接就ok,在宝塔链接的时候,我建议修改密码,改成123456,因为不知道为什么,用原来的密码我就是进不去,心态崩了。
uniapp如何实现最新发布apk版本检查和更新
前端-尔嵘
06-03 7480
我们要实现的用户进入apk首页之后,将安卓本机的apk版本和最新的apk版本对比,如果有更高级别的版本(版本号迭代的时候要逐渐增,比如:本地100版本号(v1.0.0),最新的是102版本号(v1.0.2),那么就提示更新)要提示用户更新,去点击更新按钮下载最新的apk并且安装体验!目前这个仅仅针对apk(安卓轻应用,由于没有正式的安卓证书,没办法发布到安卓应用市场,但是发布的apk配合线上的接口服务也是可以在安卓上体验和使用的,首次点击下载链接或者将下载链接入到草料二维码中扫码下载,记得用浏览器下载。
Android逆向解析壳与脱壳技术
m0_71524094的博客
06-08 4386
需要注意的是,这只是一个简单的示例代码,实际的脱壳代码可能会更复杂。需要注意的是,该示例只是一个简单的壳代码示例,实际的壳代码可能会更复杂。脱壳指的是将上保护壳的 Android 应用程序还原为未壳的状态,以便开发者能够更好地分析和处理应用程序的代码。如果要脱壳密的应用程序,需要了解密的方式并寻找去除密的方法,例如反编译、模拟器调试、修改 dex 文件等。需要注意的是,壳和脱壳都需要具备 Java 开发、反汇编、逆向分析等技术技能,对于普通的开发者来说是比较困难的任务。
【电子数据取证Android APK静态分析与动态分析
longxintec的博客
09-01 1395
在反编译后会得到明文的AndroidManifest.xml,里面定义各组件、组件权限和启动位置、软件基本信息等,通过对该xml文件的分析,可以获取到软件名称、包名等基本信息,同时对包含的各个组件进行分析,特别是Broadcast Receiver组件的触发条件,可能就包含有开机自启动项用于启动后台服务,这些在报告中都会被高亮显示出来。2、隐私窃取:病毒通过后台服务窃取用户隐私信息,包括通话录音、短信内容、IMEI、IMSI、地理位置、通讯录、浏览器历史记录等信息,然后上传到黑客控制的远程服务器;
第七届蓝帽杯取证部分复盘一题多解,apk取证手机取证,计算机取证
Tummyiii的博客
08-31 2733
第七届蓝帽杯部分取证题目个人复盘和总结
取证专栏——手机&APK&二进制
weixin_63576152的博客
09-06 2167
(5)IDA解析后的数据在伪代码界面是小端序存储的,如果看到一长串16进制数据,那么很可能是多个16进制数据合在了一起,并且顺序是反的,比如v1 = 0xE45D8CAB,真实的数据应该是v1[0] = 0xAB,v1[1] = 0x8C,v1[2] = 0x5D,v1[3] = 0xE4。①普通恶意:比如给某个路径下的文件进行字节密,导致文件不可正常显示,这也是最经典的,对于这类恶意程序,说到底就是二进制修改,写个解密脚本就能恢复,关键就是找密逻辑,简单的byte[i]++也有,难的密上密也有。
APK取证经典例题,简单具有代表性,非常推荐新手尝试,本人也是小白,刚刚接触,给一套题目与大家分享
ntrybw的博客
08-11 1011
ok,那么案例一就这么做完了,虽然软件依赖度很高,emmm不过一般公安电子取证都是软件取出来的啊,哈哈哈,一般公司又不电子取证,当然如果在这方面有需求可以私信我,我也可以做一个根据jadx的取证。链接:https://pan.baidu.com/s/11Nh-099gUDFJPX-Tbfx05w?然后信息就暴露了,建议大家可以稍微尝试一下,玩一下。抓包不难,但是过程还是略微有点麻烦,如果不会,可以看我的博文,我会做一个教程。模拟器打开发现就是答案,不过为了科学起见,我还是给大家抓一下包。...
电子数据取证Android APK分析
知远同学的博客
04-22 3162
当打包应用程序时,AndroidManifest.xml 文件会自动生成,并且会被打包进 APK 文件中。当你安装应用程序时,Android 系统会读取这个文件,以确定应用程序的基本信息和权限要求。开发者可以在 AndroidManifest.xml 文件中声明应用程序使用的权限,例如访问网络、访问文件、访问相机等。在应用程序安装时,用户会看到这些权限的描述信息,然后决定是否允许应用程序使用这些权限。
APK静态分析(取证角度),网络安全开发的基础
2401_83977626的博客
04-03 1095
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
【电子数据取证APK提取方法
longxintec的博客
06-05 1509
通过提取出来的APK我们可以获取到大量数据信息,例如服务器IP,可疑邮箱、可疑电话等等,并且这些APK很可能在安装的时候侵略我们手机内部的存储文件,将个人私密信息泄露出去,我们要利用好每一个提取技巧把APK提取出来作为分析,能够帮助我们平时更好的了解各种APK。1、打开chrome或是edge浏览器,按F12打开调试模式,把浏览器模拟成手机,方法如下所示:使用本文中概述的方法,我们可以使用Wireshark从流量包中提取各种文件。2、在手机QQ内切换到【联系人】,打开【设备】--【我的电脑】。
Android 利用apktool工具实现apk二次打包功能的java小程序
加油,向未来!
06-18 4898
前言 前面博文写了如何通过apktool工具实现apk二次打包,二次打包是实现了,但终究感觉一行一行的输入命令也是比较麻烦,当然我们可以使用bat脚本来简化操作。不过本人对脚本代码不太熟悉,对bat脚本的批处理和文件操作等也不太擅长,所以最终决定还是回归java,用我最擅长java代码来实现apk二次打包,修改apk文件功能。 小程序(不是微信小程序)编写要点 小程序实现二次打包目的是给apk...
收集整理的经典Android应用源码安卓实例源代码72个合集.zip
10-29
收集整理的经典Android应用源码安卓实例源代码72个合集,android安卓实例应用源代码,仅供学习及设计参考。
Android取证实战》
07-02
高清的扫描pdf 1分下载 《Android取证实战:调查、分析与移动安全》根据当前Android取证工作者的需求,首先从Android的硬件设备、应用开发环境、系统原理等多角度剖析了Android系统的安全原理,为读者打下坚实的理论基础,然后结合实用的取证分析工具和经典案例,系统而生动地讲解了Android取证的原理、技术、策略、方法和步骤,被公认为从事移动取证相关工作的从业人员必备的书籍之一。
Androidapk源码的修改工具
10-09
本人博客:Androidapk源码的修改--反编译+源码修改+重新打包+签名【附HelloWorld的修改实例】中用到的资源,博客以helloworld为例讲述了对apk源码进行修改的方法,感兴趣的可以看看
Android 渗透测试学习手册 第五章 Android 取证
热门推荐
龙哥盟
12-11 4万+
第五章 Android 取证 作者:Aditya Gupta 译者:飞龙 协议:CC BY-NC-SA 4.0 5.1 取证类型取证是使用不同的手动和自动方法从设备中提取和分析数据。它可以大致分为两类: 逻辑采集:这是的一种取证方法,其中取证员与设备交互并从文件系统提取数据。该数据可以是任何内容,诸如应用特定数据,联系人,通话记录,消息,web 浏览器历史,社交网络用户信息和
安卓如何从图片路径中得到宽高_CTF 与取证系列 2 ——安卓手机文件分析取证题目(上)...
weixin_39706367的博客
10-30 233
题目:安卓手机文件分析取证(Wi-Fi名称)题目连接https://www.mozhe.cn/bug/detail/K1doaXNFemlxODh1QUQ1WVJyOTZRQT09bW96aGUmozhe背景介绍嫌疑人在疑似犯罪时连接过一个Wi-Fi,分析取证文件找到该Wi-Fi名。解题思路题目中提供了手机的数据文件,下载后解压,众所周知,wifi相关信息一般保存在wpa_supplic...
APK静态分析(取证角度)——理论部分
currify的博客
07-29 2516
APP是指应用程序(Application),是指能够在手机、平板电脑、电脑等移动设备上运行的软件。APP可以帮助用户进行各种功能操作,如社交媒体、游戏、购物、学习、工作等。用户可以通过应用商店或者在线下载安装APP,然后在设备上使用它们。APP的种类非常丰富,能够满足用户不同的需求和兴趣。
APK静态分析(取证角度)——实战部分
currify的博客
07-29 1163
样本1.apk使用的回传地址是什么?样本2.apk使用的回传地址是什么?样本3.apk的应用名称是什么?
取证刷题练习赛错题集1
mid2dog
10-19 1140
前言 每次打取证的时候最大的感悟就是电脑性能跟不上,老战友了 仿真一个windows镜像卡了我20分钟…痛哭流涕 所以,取证上我只能做到每做一个方面的题就直接做完,然后把这个软件关掉以提升性能 要不然不是蓝屏就是卡闪退orz 就像我小学第一部手机是充话费送的一样,之后尝试各种刷机来增强性能,自学了不少东西 逆境出强者。 开取证刷题的博客是为了总结一些不会的知识点,会的题目就不放上来了23333 错题 微信群号 微信的ID号就是群号,而后面的@chatroom是代表这是一个群聊…所以不用上后面这部分 淦!
2024盘古石杯晋级赛APK取证
最新发布
01-06
### 关于2024盘古石杯晋级赛中APK取证的相关信息 #### 一、初步准备 为了有效地进行APK取证工作,在开始之前需准备好必要的工具和环境。这通常包括但不限于安装Android SDK以及一些辅助性的逆向工程软件,比如Apktool用于反编译APK文件,Jadx-GUI作为图形界面版的Java字节码查看器等。 #### 二、获取并解析目标APK 对于参赛者来说,获得官方提供的比赛样本是非常重要的一步。一旦得到了待分析的应用包(APK),可以利用上述提到的工具对其进行静态分析。例如,使用`apktool d your-app.apk`命令来提取资源文件与配置清单等内容[^1]。 ```bash apktool d your-app.apk -o output_folder/ ``` 此过程能够帮助理解应用程序内部结构及其可能存在的恶意行为模式。 #### 三、动态调试与监控网络流量 除了静态方法外,还可以采用更深入的方式——即通过设置虚拟设备或真实手机配合ADB(A ndroid Debug Bridge)来进行实时跟踪操作。这样不仅可以观察到运行期间产生的日志信息,还能捕获所有进出该APP的数据流,这对于发现潜在的安全漏洞至关重要[^2]。 #### 四、查找敏感数据存储位置 根据以往经验分享中的提示,某些关键证据可能会被储存在特定路径下的XML或其他格式文档内。因此建议重点检查类似`/data/data/package_name/shared_prefs/*.*`这样的目录下是否有可疑条目,特别是那些涉及账户认证凭证的地方[^4]。 #### 五、综合研判形成结论报告 最后阶段则是整理前面所收集的一切线索,并尝试还原整个事件发生的经过。撰写一份详尽的技术说明文档,清晰指出每一个环节的具体情况及依据所在,从而完成最终的任务提交。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

modest —YBW

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值