用户投稿
"白帽子手机APK渗透、分析神器"这个描述听起来像是一款专门用于Android应用(APK)渗透测试和安全分析的工具。以下是一些可能符合这个描述的工具,它们可以帮助安全研究人员或白帽子进行APK的渗透测试和分析:
1. "Apktool" - 用于反编译和重新编译APK文件的工具,可以帮助分析应用的结构和代码。
2. "Dex2jar" - 将Dex文件转换为Java可执行文件(jar),便于分析应用中的Java代码。
3. "JD-GUI" - 一个图形化界面,可以用来查看和修改Java代码,通常与Dex2jar配合使用。
4. "Xposed Framework" - 一个框架,允许在Android设备上运行模块,这些模块可以修改或增强系统功能,对于测试应用的安全性非常有用。
5. "MobSF (Mobile Security Framework)" - 一个开源的移动应用(Android/iOS/Windows)安全测试框架,可以自动检测APK/iOS应用中的安全漏洞。
6. "AndroBugs" - 一个用于自动化测试Android应用安全性的工具,可以帮助发现常见的漏洞。
7. "APKiD" - 一个用于识别APK文件签名算法的工具,可以帮助分析应用的签名强度。
8. "Frida" - 一个动态分析工具,可以注入到运行中的应用程序中,实时监控和修改应用程序的执行。
9. "Drozer" - 一个用于
相关内容:
对于不熟悉手机APK反编译的白帽子,还有熟悉但就是懒得去反编译的各种帽子,我觉得摸瓜应该能满足你了。想要APK里的域名、URL接口信息都有,通用的加壳、插件信息也都有,想要的Word版报告也有。
0. 概要
话说,第一次听到摸瓜应该是两年前了,当时觉得就是用开源框架搭的,没什么特别,网站还动不动就挂了。
今天突然一个00后小兄弟居然跟我提起来了,说用的人很多,我当时一愣,啊这个网站还活着。。瞬间激起了我这个老年人的求知欲望。
说实话,测试了一下还是挺佩服网站管理员的。APK在线反编译是个耗计算资源和存储的苦力活,能把网站坚持做这么久,技术改进了不少,有几个点超出了我的预期,运营模式也摸索出来点了,精神还是值得佩服。
1. APK分析
- 官方给的能力
官方在首页里展示了几种APK分析的能力,其中,4种分析引擎根据我的分析,第1种应该是通过源码的分析,第2种应该是so库文件的分析,第3种和第4种我也没分析出来。。至于458种插件,有很多国外的插件。205种加壳,倒是都是国内常见的。
摸瓜分析能力
- 实测结果
实测了一下,分析速度1-3分钟,貌似有好几个分析引擎,藏在各种生僻的java文件、so库、静态文件里的域名和后台接口基本都能提出来,常见的加壳类型和插件也都有。
感觉不止静态分析,可能还用了沙箱。。。上面的分析引擎应该有一种是。
域名线索里,添加了常见域名的标记,这个功能不错。分析的时候,可以直接略去哈。
apk分析出来的域名线索
url线索里,显示了是有哪个引擎分析出来的。
apk分析出来的url线索
加壳类型倒是没啥变化。
apk分析出来的加壳信息
2. APK搜索
目测网站每天的APK上传量几百个,看网上有说总量到几十万个了,不好说。当然注册用户上传的咱也看不到。
搜索可以用它站内的搜库功能,我觉得搜包名和文件名比较有意思,能发现一些意想不到的。当然也可以使用Google、Bing搜,具体怎么搜就不说了。
- 站内搜索
摸瓜站内搜索
- 外网搜索
外网搜索
3. APK报告导出
要我说,这是网站最良心的地方,就是能给你导出来一个有模有样的word报告,你可以随便拿来改,这对于白帽子来说,可真是救了命了。
要知道,宁可搞10个站,也绝对不会向一篇报告低头的,这个和年龄无关。
摸瓜导出报告
4. 最后
写在最后,网站其他的一些功能没列出来,可以自行测测。好的东西还是值得大家多传播、点赞的。
贴上摸瓜的网址:摸瓜-查诈骗APP_查病毒APP_免费APK反编译分析工具
微信扫一扫打赏
支付宝扫一扫打赏
