工具:1.AndroidMessenger工具
2.adb tools
3.jadx
4.jeb
5.xposed
6.SSL INPINNING
ADB命令
Adb tools cmd/adb
Adb命令连接安卓模拟器 Adb connect 127.0.0.1:21503
查看网络状态netstat netstat -antlp
查看已连接的安卓设备adb devices
看进程 ps
查看apk进程 adb shell ps
用户进程为u0_开头
获取root权限 pwd、、、whoami
pm list package
pm list packages -s 系统应用
pm list packages -3 第三方应用
pm path com.xxx 查看应用apk文件绝对路径
adb pull /data/app/xxx xxx.apk 提取apk
adb push '本地路径' '安卓路径' 上传文件
adb shell dumpsys package com 查看apk详细信息
adb shell service call iphonesubinfo 1 获取手机IMEI号
cd /data/data/com.brot.storage.work/ 找到该木马应用的本地安装目录
/data/app 存放应用的apk文件、库文件
/data/data 存放应用的数据文件
短信是:data/data/com.android.providers.telephony目录下的mmssms.db数据库文件中的sms表
通话记录:data/data/com.android.providers.contacts目录下的contacts2.db数据库文件中的call表
联系人是: data/data/com.android.providers.contacts目录下的contacts2.db数据库文件中的contacts表
使用命令:adb shell "pm list packages -f | grep com.brot.storage.work",如下所示:
再使用命令:adb pull /data/app/com.brot.storage.work-1/base.apk Desktop/com.brot.storage.work.apk,提取样本APK文件
解压缩的目录下,xml为配置文件,dex为可执行文件,arsc为资源索引(图片、字符串等的索引),meta-INF为证书目录
Gadx
资源文件—res—androidmanifest.xml(记录配置信息)
Packages 值等于包名 输入launch搜入口地址,搜索结果上两行的值为入口地址,定位到该地址
JEB
搜索—entire project全局搜索
加密算法 AES、des、aes。加密密钥m定义,thism赋值
查看函数调用,右键查找案例
apk分析:
查看AM配置文件(入口地址、权限、包名、注册组件)
查看签名