- 动态分析分为动态跟踪和动态调试;
- 动态跟踪侧重于自动化分析,工具一般是自主研发或第三方提供的分析平台。在软件开发领域编写大型项目安全检测分析报告,以及在软件安全领域进行恶意代码与病毒的分析时,会广泛用到动态分析技术;
- 动态调试需要分析人员参与进来,依靠调试器的能力完成分析工作。在进行动态调试时,除了调试器,还要分析人员自主确定分析点;
- 开发软件时,一般可进行源码级调试,对设置断点的地方可通过阅读源码找到。逆向分析时,通常只能进行反汇编级别的调试,分析人员要通过阅读大量的反汇编代码来寻找突破口;
- 无论是对调试能力的考验,还是对开发人员耐心的考验,逆向分析中的动态调试都比软件开发中的动态调试大得多。
MobSF
- 强大的跨平台开源分析框架
- 下载地址:GitHub
- MobSF 文档:其中包含配置等信息
- 测试系统:Windows 10, Ubuntu (18.04, 19.04) , macOS Catalina
- 按照 MobSF 文档即可成功安装,安装完成后,启动 MobSF 服务器
⚠️ 仅限未加固包分析
macOS为例
下载安装
git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git
cd Mobile-Security-Framework-MobSF ./setup.sh
⚠️ 不要放在中文目录下,可能出现未知错误
运行
./run.sh
直接在浏览器中访问上图地址:http://0.0.0.0:8000
上传分析
在打开的页面上,可上传要分析的 APK(MobSF 会对其进行自动化处理)
签名信息
权限
API
安全性分析
-
清单文件分析
主要查看四大组件是否存在安全问题,例如可导出、隐式启动等。 -
代码分析
会将代码中常见的问题分类,例如弱加密、硬编码、不安全随机数、不正确的默认权限、不安全的数据存储等。 -
二进制文件分析
主要检测so文件是否做了强化处理。 -
其他文件分析
主要看本地是否有保存证书、密钥等文件
Inspeckage
Inspeckage是一个用来动态分析安卓app的xposed模块。Inspeckage对动态分析很多常用的功能进行了汇总并且内建一个webserver。整个分析操作可以在友好的界面环境中进行。
下载地址
安装Xposed后,下载以下插件.
http://repo.xposed.info/module/mobi.acpm.inspeckage
运行
-
Inspeckage运行后,界面如下。Module disable表示没有安装xposed模块,在choose target下拉列表中选择要分析的app
-
-
在电脑终端执行如下命令,转发手机的8008端口到本地
adb forward tcp:8008 tcp:8008 -
电脑上访问 http://127.0.0.1:8008 就可以看到Inspeckage的web界面。(如果web还没有输出结果,查看APP is running是否为true,Logcat左边分那个自动刷新按钮是否开启)
功能介绍
获取APP基本信息
- 权限:请求权限(Requested Permissions)、自定义权限(APP Permissions)
- 组件:导出和非导出的组件(Activity、Service、Broadcast Receiver、Content Provider)
- 共享库(Shared Libraries)
- 标志位:Debuggable,Allow Backup
- 其他:UID,GIDs,Package等
实时查看应用程序的行为
- Shared Preferences(日志和文件)
- Serialization(序列化)
- Crypto(加密)、Hash
- SQLite数据库
- HTTP、WebView、IPC等
- Hooks(自定义HOOK)
使用Logcat查看日志
需要先转发8887端口到本地adb forward tcp:8887 tcp:8887
点击Start,再点connect就可以在网页中实时查看app的logcat输出
自定义Hook
其他操作
- 开启任意Activity组件(导出和非导出)
- 调用Provider组件(导出和非导出)
- 开启、停止、重启应用程序
- Tree view按钮可以实时浏览app的数据目录并直接下载文件到本地
扫一扫
1100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
