安卓恶意应用识别(三)(批量反编译与属性值提取)

已于 2023-09-17 11:32:59 修改
阅读量932 收藏 1
点赞数 1
分类专栏: 安卓恶意应用静态识别与防御 文章标签: android
于 2023-09-17 11:03:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44165950/article/details/132881415
版权

前言

上篇说到对安卓APK反编译,本篇实现批量反编译和批量特征提取及计算,主要就是通过python代码与cmd进行批量化交互,我在写文章之前,尝试批量下载了安卓apk(大约10来个),发现现在这个应用软件不是一般的大啊,无奈电脑内存不太够,现仅将已下载10个apk作为示例展示。

1. 批量反编译

思路是这样:
第一步:调用cmd,读取指定路径下的文件,path+benign+k(k=1,2…n),进行反编译
第二步:结果就自动放到该文件夹目录下
出现的问题是os.system调用了cmd后立马又关闭,无法持续执行命令,看到文章windows系统如何使用python执行多条命令行命令
代码如下(我的cmd命令在pycharm中设定的就是malware_identification下):

def oper_cmd(apk):
    cmd_str = "cd ../restore & "+"apktool.bat d -f " + apk
    print(cmd_str)
    return subprocess.Popen(cmd_str, shell=True, stdout=None, stderr=None).wait()
for i in range(1,11):
    apk = "benign" + str(i) + ".apk"
    oper_cmd(apk)

执行如下图,开始批量反编译:
在这里插入图片描述
批量反编译成功!
在这里插入图片描述

2. 单文件特征提取

看到xml标签项和属性值,假设我们需要提取的特征就是属性值的最后一个字符串。
在这里插入图片描述
直接上提取代码,这里用到了xml.dom和正则表达式:

# 获取xml文件当中某个标签的属性值
import re
from xml.dom.minidom import parse

from character_handle.frequency_order import config_file

xmldom = parse(config_file) # 加载XML


for element in xmldom.getElementsByTagName("uses-permission"):
    a = element.getAttribute("android:name")
    b = re.findall(r'\w{1,}', a)[-1]
    print(b)

成功取出,同理,更改TagName也可以获取其他标签的属性值。
在这里插入图片描述
多做一步,计算特征属性值出现的频次:

# 获取xml文件当中某个标签的属性值
import re
from collections import Counter
from xml.dom.minidom import parse

from character_handle.frequency_order import sample_get
def counter(arr):
    return Counter(arr)
xmldom = parse(sample_get.get_file("benign1")) # 加载XML
# 多做一步,将每个特征存储为一个list,然后count
list_uses_permission = []
for element in xmldom.getElementsByTagName("uses-permission"):
    a = element.getAttribute("android:name")
    b = re.findall(r'\w{1,}', a)[-1]
    list_uses_permission.append(b)
c = counter(list_uses_permission)
print(c)

在这里插入图片描述

3. 批量文件特征提取

# 批量获取多个文件夹中xml当中某个标签的属性值
import re
from collections import Counter
from xml.dom.minidom import parse

from character_handle.frequency_order import sample_get
def counter(arr):
    return Counter(arr)
list_uses_permission = []
# 批量加载XML,并提取属性值
for i in range(1,11):
    xmldom = parse(sample_get.get_file("benign%d"%i))

    for element in xmldom.getElementsByTagName("uses-permission"):
        a = element.getAttribute("android:name")
        b = re.findall(r'\w{1,}', a)[-1]
        list_uses_permission.append(b)
c = counter(list_uses_permission)
print(c)

在这里插入图片描述
可以看到count函数已经帮助我们将频次顺序也归纳好了,这时候我们可以根据自己的需求去使用这些属性,end!
下一篇学习一下如何将这些属性值转化为特征值和特征向量进行处理。

恶意企鹅
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
安卓恶意应用识别(四)(特征处理与分类模型构建)——终结
专攻毕设大企鹅的博客
10-25 436
本文继前序3章,介绍了特征属性在获取后,如何进行处理和筛选,最后进行了模型带入。
反编译软件ILSpy的使用教程
TONY的博客
01-23 10万+
反编译软件ILSpy的使用教程
基于AI的恶意软件分析技术(3)
山楂的博客
05-05 7049
2020年一篇综述:基于AI的恶意软件检测和分类研究的发展、趋势和挑战
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1012
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
ART 在 Android 安全攻防中的应用
有价值炮灰
12-27 816
在日常的 Android 应用安全分析中,经常会遇到一些对抗,比如目标应用加壳、混淆、加固,需要进行脱壳还原;又或者会有针对常用注入工具的检测,比如 frida、Xposed 等,这时候也会想知道这些工具的核心原理以及是否自己可以实现。 其实这些问题的答案就在 Android 的 Java 虚拟机实现中。可以是早期的 Dalvik 虚拟机,也可以是最新的 ART 虚拟机。从时代潮流来看,本文主要专注于 ART。不过,为了铭记历史,也会对 Dalvik 虚拟机做一个简单的介绍。
《云计算与大数据技术应用
m0_64366382的博客
01-13 1万+
《第一章》云计算概述 1.1什么是云计算? 1.1.1云计算的定义 云计算是分布式计算的一种,指的是通过网络“云”将巨大的数据计算处理程序分解成无数个小程序,然后,通过多部服务器组成的系统进行处理和分析这些小程序得到结果并返回给用户。云计算早期,简单地说,就是简单的分布式计算,解决任务分发,并进行计算结果的合并。因而,云计算又称为网格计算。通过这项技术,可以在很短的时间内(几秒钟)完成对数以万计的数据的处理...
安卓逆向_2 --- Androidkiller,apktool、dex2jar、jd-gui、jadx、jeb、gda
freeking101的博客
02-28 1万+
Androidkiller,apktool、dex2jar、jd-gui、jadx 反编译工具
android安卓源码海量项目合集打包-1
热门推荐
chenhao0568的专栏
06-11 13万+
下载地址 最后更新共计113个分类5177套源码29.2 GB。 卷 新加卷 的文件夹 PATH 列表 卷序列号为 00000200 5E7A:7F30 F:. ├─前台界面 │ ├─3D标签云卡片热门 │ │ Android TagCloudView云标签的灵活运用.rar │ │ Android 实现 标签 拖动 改变位置.rar │ │ android 流式布局和热门标签.zip │ │ ...
超好用的python批量反编译软件
04-01
因此,反编译的结果可能与原始的`.py`文件有所不同,尤其是在处理包含异常处理、导入语句或其他复杂结构的代码时。 在Python社区中,有一些知名的反编译工具,如`uncompyle6`、`decompyle3`和` uncompyle2`,它们...
android安卓app反编译apk反编译教程.zip_android反编译smali
01-12
本教程将围绕"android安卓app反编译apk反编译教程"这一主题,详细讲解如何进行APK反编译,以及涉及到的相关知识点。 首先,我们要理解什么是APK反编译APKAndroid应用的安装包,包含了应用的所有资源、代码和元...
android反编译件套.rar
06-08
反编译件套apktool +dex2jar+jd-gui,反编译需要的文件,下载可以直接使用 使用说明参考:http://blog.csdn.net/vipzjyno1/article/details/21039349/
行为特征序列匹配检测Android恶意应用.pdf
09-21
静态分析方法通过对APK安装包进行反编译,分析其代码结构、权限请求等信息来识别恶意行为,但这种方法对混淆、隐藏和加密的恶意代码往往无能为力。为了应对这一挑战,张震和曹天杰提出了基于行为特征序列匹配的...
安卓配置文件XML批量反编译2_0
10-02
鼠标视图操作,批量反编译安卓的布局文件和配置文件,针对XML文件的,核心文件AXMLPrinter2.jar,你可以自己反编译我的文件,更新AXMLPrinter2.jar这个jar包,就可以更新反编译核心了,我的这个AXMLPrinter2.jar包...
MTK平台Android13实现方launcher为默认
肥匪斐's blogs
06-27 179
目前有遇到客户的定制需求,希望使用方的launcher作为默认的launcher使用,一般情况下直接将方launcher通过内置到系统并通过overlay机制即可很方便的实现launcher的替换,但是存在一个问题,需要增加ROM的维护成本。本文通过设备在使用前联网通过后台下发方launcher到设备安装,并设置为默认的launcher,这样进入设备后即为默认的方launcher。
android 国内下载Gradle源
最新发布
听我俩天的博客
07-03 183
在中国使用 Gradle 时,可以配置使用一些国内的镜像源,以提高下载速度和稳定性。使用这些国内镜像源可以显著提高 Gradle 的下载速度。使用这些镜像源地址。
Android】在App里面安装Apk文件
每天不是在写bug就是在写bug的路上
06-28 781
在App里面安装Apk文件
Android 复习layer-list使用
qq_37324563的博客
06-28 444
通过shape画线段,通过 控制线段的具体位置。
都江堰操作系统(DJYOS)和安卓操作系统(Android)的区别
DJYOS都江堰操作系统
06-28 350
应用领域:都江堰操作系统主要应用于实时性和可靠性要求都很高的电力系统控制领域,也广泛适用于物联网系统;安卓主要应用于手机、平板电脑、手表、电视、汽车、可折叠设备和ChromeOS设备。综上所述,都江堰操作系统是一款全新的国产开源操作系统,而安卓是一种基于Linux的开放源代码软件栈,为各类设备和机型而创建,两者在调度核心、应用领域等方面存在着明显的区别。而安卓采用了分层的架构,主要分为应用程序层、应用程序框架层、系统运行库层和Linux内核层。- 调度核心:都江堰操作系统以事件为调度核心;

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

恶意企鹅

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值