第二次前言:由于我取证组队我不做手机模块,就一直没怎么学手机。觉得自己很欠缺,之后想全能一点,所以现在又来补习,觉得自己博客写得太差了,很惭愧,所以现在开始二次修订,希望把思路清晰的给大家展示,希望与大家一起进步,如果写得博客存在不当之处,请真正,我一定虚心接受,仔细修改,万分感谢。
我也是暑假里刚刚接触APK取证,觉得比pc取证有意思一点,所以把手头上的题目与大家分享,希望和大家一起进步。
话不多说,先上链接。
链接:https://pan.baidu.com/s/17mK1U8CTZtK0R902-3NMOQ?pwd=ybww
提取码:ybww
--来自百度网盘超级会员V2的分享
为了方便大家,这里也包含了Fidder汉化版,和两个案例。
那我就一题一题做下去了。
Apk分析题
- APP包名?
答:com.example.readeveryday
然后用jadx查看
一般在andordand。xml下,这个package就是包名
一般只要拖进jadx就好,需要脱壳的脱掉
- 该APK具备下列哪些危险权限(多选)?
A读取短信 B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信
答:
我们打开jadx验证,发现
<uses-permission android:name="android.permission.READ_CONTACTS"/>通讯录 <uses-permission android:name="android.permission.READ_SMS"/>内存 <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>内置sd卡 <uses-permission android:name="android.permission.INTERNET"/>网络访问
在and.xml文件夹后面就是所需权限,这里权限主要是这四个
- APK回传地址?【格式:http://www.abc.com:12345】
看回传地址可以静态,也可以动态,建议抓包比较方便,不然都是有点麻烦的,可以用fidder抓包,也可以弘连自己的转包软件,我绝对不用验证配置,就不是很麻烦,可操作性好很多:
- APK回传数据文件类型?
答:也是在代码也看,基本上可以猜到是ZIP文件
不放心的话看PK,然后转到16进制源码,发现就是ZIP文件常用文件格式。
6、APK回传数据加密密码?
答:先说一下思路,首先接上题,肯定是先把压缩包拿出来。
先复制Fiddler,然后放到010Editor里面。
然后把文件拿出来。
但是会发不开,我们去寻找原因。
发现很多在Fiddler里面正常的代码,到010Editor就变成了问号????
所以此处应该在Fiddler里面提取
发现有密码,第一时间我想到了爆破。
我给大家一个建议,一般密码数量超过5位,而且没有任何提示(比如纯数字),暴力是不可能成功的,所以老老实实去看静态。
jadx找到主函数,任何找啊找。
19_08.05r发现密码,还是暴力来得快。
7、APK发送回后台服务器的数据包含以下哪些内容?(多选)
A.手机通讯录B.手机短信C.相册D.GPS定位信息
E.手机应用列表
答:打开得到答案。
—————————————————分隔符—————————————————————
第一套题目做完了,下面开始第二套。
第一题:[填空题]请获取app安装包的SHA256校验值(格式:不区分大小写)(5分)
- [填空题]请获取app运行后的进程名(格式:小写,半角符号)(10分)
- 这个题,我觉得是意思理解题,app运行后的进程名,其实就是应用包名。
- [填空题] 请获取app安装包签名证书的签名序列号 (格式:0x1a2b3c4d)(10分)
- 也是一个偏概念性的题目,签名证书一般在jadx的APK signature里面。
-
序列号: 0x4a5f7527
- [填空题] 请分析该APP安装后显示的APP名称 (5分)
- 爱聊(模拟扔进去就好了)
- [单选]请分析该APP是否具备读取短信的权限(10分)
我们先看一看短信权限是什么,然后去反过来查找
爆搜不到,所以没有
- [填空]请分析该APP调用的TencentMapSDK对应的KEY(答案格式:大写,半角符号,如:BDEOF-DIH9D-3GGHE-3RQ2K-UMR8W-DN2FA)(10分)
- 当然,反编译也可以做
- [填空题]请获取该APP连接的后台服务器地址 (格式: www.baidu.com )(10分)
- [不定向选择题] 请分析该APP配置文件“app_config.xml”,回答其加密内容时使用的算法(10分)A AES B DES C BASE16 D BASE64 答案:AD
- 由于我不会真相破解,所以我只能搜索,刷赖皮了。
- [填空题]请给出该APP配置文件“app_config.xml”中包含的升级唯一标识(inid)值(15分)
这个还是先把文件拿出来
我知道用来base64和AES算法,所以开始试一次。
但是key和iv都不知道,放弃
- [填空题]通过对APP进行分析,回答该APP的打包日期。(答案格式如:20210101 纯数字)(15分)放弃
如果有高手知道,请叫我做一下,非常感谢。