公司出品 | OSC开放源码街道社区(ID:oschina2013)
终端安全可靠是终端端合作开发的重要组成部分,不论是对合作开发或试验而言,终端端安全漏洞预测 / 试验等组织工作是必不可少的一小部分。他们归纳了二十余款终端安全可靠有关辅助工具,内含动态、动态预测架构,与此同时也有许多逆向工程和渗入试验架构。
1、Amandroid
Amandroid 是 Android 应用领域的动态预测架构,该架构对模块间展开流和语句脆弱的报文预测。
现阶段,采用静如第一类对准和掌控 / 报文重要信息。
Amandroid 便是间接处置模块间掌控和报文,因而它可用作化解相同应用领域程序的数个模块可视化引致的安全可靠难题。它能透过对 Android 运转时和库展开明晰选定和合理假定,来确保应用领域程序中不存有选定的安全可靠难题。
Amandroid 架构圣索弗,更易扩充其它类别的 Android 安全可靠难题预测。
工程项目门牌号:https://www.oschina.net/p/amandroid
2、APK Analyser
APKAnalyser 是这款 Android 动态、交互式预测辅助工具,用以试验和校正 Android 应用领域的合作开发组织工作。
ApkAnalyser 是个完备的辅助工具链,能修正十进制应用领域,采用者能装配,加装,运转,校正 logcat 的结论。ApkAnalyser 与此同时全力支持天然资源预测,能音频 XML,搜寻天然资源对准和检验应用领域潜在性难题。
ApkAnalyser 是个分立的 J2SE 应用领域,遵从 Apache 开放源码协议,完全采用 Java 编写。
注意:有时 ApkAnalyser 会消耗大量内存来预测 dalvik 字节码,很可能会耗尽内存,特别是在加载数个大的 odexed APK 文件时。此外,ApkAnalyse 是索尼公司十年前合作开发的辅助工具,因而部分内容可能有些过时,感兴趣的朋友能自行了解。
工程项目门牌号:https://www.oschina.net/p/apkanalyser
3、QARK
QARK 全称 Quick Android Review Kit :快速 Android 审查辅助工具包,这个辅助工具可用以检查 Android 应用领域的源代码和打包的 APK 中常见的安全可靠安全漏洞。
QARK 自动采用数个反编译器,利用它们的组合输出,在反编译 APK 时产生出色的结论。QARK 不需要 root 试验设备,因为该辅助工具专注于寻找在安全可靠环境下能被利用的安全漏洞。
与传统辅助工具相比,QARK 的主要优势在于它能生成 ADB 命令,甚至是功能齐全的 APK,从而将假定的安全漏洞转化为有效的 “POC” 安全漏洞利用。此外,QARK 提供详细的安全漏洞报告,使安全可靠审查人员能够找到对安全漏洞的精确且深入的解释,并从中学习。
注意:QARK 会将 Android 应用领域程序反编译回原始源代码,这在某些情况下可能属于违法行为,请谨慎采用。
工程项目门牌号:https://www.oschina.net/p/qark
4、APKLeaks
PKLeaks 采用起来非常方便,透过简单的命令行即可完成 APK 文件的重要信息提取,而且全力支持透过配置 Json 文件来调整脆弱重要信息的搜索规则,输出结论全力支持 txt 和 Json 两种格式(默认生成 txt 格式)。
APKLeaks 依赖于逆向工程辅助工具 jadx,如果环境中没有,则会提示加装。
注意:这个包适用作 Python2,不适用 Python3。
工程项目门牌号:https://www.oschina.net/p/apkleaks
5、Infer
Infer 是 Facebook 开放源码的动态程序预测辅助工具,用 OCaml 语言编写,用作在终端应用领域发布之前对其代码展开预测,找出潜在性的难题。
现阶段 Infer 全力支持检验 Java、C++、Objective-C 和 C 四种语言的代码。对于 Android 和 Java ,Infer 主要检查代码中的空指针异常、天然资源泄漏、注释可读性、缺少的锁保护和并发竞争条件。对于 C、C++ 和 iOS/Objective-C ,Infer 则主要检查空指针的取消引用、内存泄漏、编码约定和不可用的 API 等难题。
现阶段 Infer 已在 Facebook 中全面部署,持续运转以校正 Facebook 应用领域程序的 Android 和 iOS、Facebook Messenger、Instagram 等应用领域的代码修正。
工程项目门牌号:https://www.oschina.net/p/infer
6、MobSF
终端安全可靠架构 (MobSF) 是一个自动化、一体化的终端应用领域程序 (Android/iOS/Windows) 渗入试验、恶意软件预测和安全可靠评估架构,能够执行动态和动态预测(动态预测现阶段只全力支持 Android)。
MobSF 全力支持检验终端应用领域程序十进制文件(APK、XAPK、IPA 和 APPX)以及压缩源代码。MobSF 提供 REST API ,可与 CI/CD 或 DevSecOps 管道无缝集成。其动态分析器则可帮助合作开发者执行运转时安全可靠评估和可视化式仪器试验。
MobSF 将数据保持在本地环境之中,所以不必担心应用领域和有关的数据被发送至云端,造成数据泄露。
工程项目门牌号:https://www.oschina.net/p/mobsf
7、Radare2
Radare2(又名 R2) 是一个用 C 语言编写的类 UNIX 逆向工程架构和命令行辅助工具集。
R2 是功能强大的低级命令行辅助工具(有一个被称为 Cutter 的 GUI 版本)全力支持脚本,一般被用作跨平台的十进制预测辅助工具,用作预测、模拟、调试、修正和反汇编任何十进制文件。它全力支持在本地或透过远程 gdb 服务器编辑本地硬盘驱动器上的文件、查看内核内存和调试程序。
R2 全力支持 ARM、MIPS、X86 等数个平台,与此同时全力支持多种操作系统:Windows (since XP)、 Linux、 GNU/Hurd、iOS、 Android 、OpenBSD、 Z/OS、FirefoxOS 等。
工程项目门牌号:https://www.oschina.net/p/radare2
8、Adhrit
Adhrit 是一个开放源码的 Android APK 逆向和预测套件,可提取 APK 文件中的重要重要信息,并采用 Ghera 基准来识别 Android 应用领域程序中可能存有的安全漏洞。
Adhrit 深入预测 APK 文件的动态字节码,它依赖 Python3 和 JDK ,自带 GUI 界面,启动时会生成能上传 APK 并生成报告的 Web 界面,预测完毕会生成 Json 格式的预测报告。
注意:Adhrit 预测带有两个 “.” 的文件名时(如 my.app.apk)可能会出错。这种情况请重命名 apk 为一个 “.” (如 myapp.apk) 即可化解。
工程项目门牌号:https://www.oschina.net/p/adhrit
9、Bytecode Viewer
Bytecode Viewer (字节码查看器) 是一个高级轻量级 Java/Android 逆向工程套件,能预测 Java 8+ Jar 文件 和 Android APK 文件。
Bytecode Viewer 内置 6 个 Java 反编译器:Krakatau、CFR、Procyon、FernFlower、JADX、JD-GUI;和 3 个内置字节码反汇编器,包括 2 个汇编器:Krakatau 和 Smali/BakSmali ;以及 Dex2Jar 和 Enjarify 这两个 APK/DEX 转换器,与此同时拥有高级搜索、调试等功能。
Bytecode Viewer 全力支持含中文在内的 30 多种语言,全力支持解析 Class、Jar、XAPK、APK、DEX、WAR、JSP、图像天然资源、文本天然资源等多种格式的文件,采用起来非常简单。
工程项目门牌号:https://www.oschina.net/p/bytecode-viewer
10、Apktool
Apktool 是一个用作逆向工程第三方、封闭十进制 Android 应用领域程序的辅助工具。它能用以从 Android 的 apk 加装程序中提取各种天然资源,将天然资源分解为几乎原始的形式(比如resources.arsc、classes.dex和9.png.XMLs),并对这些天然资源展开修正和重新打包。
Apktool 可用作 也可将音频的天然资源重建回十进制 APK/JAR 文件,由于它全力支持自动化的 APK 构建,因而也能用以完成许多重复的 APK 构建任务。
Apktool 可用作应用领域的本地化、往应用领域中添加许多功能、使应用领域全力支持自定义平台、或预测学习应用领域程序内部结构等用途,不适用于盗版和其它非法用途。
Apktool 依赖于:Java 8 (JRE 1.8)、 Android SDK、AAPT、smali 基础知识 。
工程项目门牌号:https://www.oschina.net/p/apktool
11、MARA
MARA 是一个终端应用领域程序逆向工程和预测架构。它将常用的终端应用领域逆向工程和预测辅助工具组合在一起,用作试验终端应用领域,以抵御 OWASP(开放式 WEB 应用领域程序安全可靠工程项目)的终端安全可靠威胁。
MARA 全力支持 APK 逆向工程,比如将 Dalvik 字节码反汇编为 smali 字节码或 Java 字节码,与此同时还全力支持 APK 反混淆、APK 执行路径、IP 门牌号、URL、URI、电子邮件等基本重要信息的提取、APK 安全漏洞扫描、恶意软件预测、APK Manifest 预测等多种功能。
MARA 还提供基于 OWASP Top Mobile Top 10 和 OWASP Mobile Apps Checklist 的源代码动态预测,能够对 apk、dex 或 jar 文件执行单个或批量预测。
工程项目门牌号:https://www.oschina.net/p/mara
12、JADX
JADX 是一个 Dex 到 Java 的反编译器,用作从 Android Dex 和 Apk 文件生成 Java 源代码,有命令行和 GUI 两个版本。
JADX 的主要功能是从 APK、dex、aar、aab 和 zip 文件将 Dalvik 字节码反编译为 java 类,自带去混淆器。JADX-GUI 版本还全力支持以高亮语法查看反编译的代码、提供用法指引、全文检索和 smali 调试器等功能。
注意:在大
工程项目门牌号:https://www.oschina.net/p/jadx
13、Androl4b
AndroL4b 是一个基于 ubuntu-mate 的安卓安全可靠交互式机,可用作逆向工程和恶意软件预测。
AndroL4b 包括来自相同重要信息安全可靠极客和研究人员的最新架构、教程和安全漏洞实验室的集合,上文提到的 Radare2 、APKTools、ByteCodeViewer、Qark 、MARA 等辅助工具,AndroL4b 均已内置。与此同时还有 Android Security Sandbox 、InsecureBankv2 等安全漏洞实验室,可提供最新 Android 安全漏洞的详细重要信息。
工程项目门牌号:https://www.oschina.net/p/androl4b
14、BlackBox Engine
BlackBox(黑盒)是这款交互式引擎,能在 Android 上克隆和运转交互式应用领域,拥有免加装运转能力。黑盒能掌控被运转的交互式应用领域,做任何想做的事情。
工程项目门牌号:https://www.oschina.net/p/blackbox-engine
本文包含的合作开发辅助工具已收录至 Awesome 软件系列之终端安全可靠辅助工具:https://www.oschina.net/project/awesome?columnId=14<
小编对终端安全可靠涉猎甚少,如本文对辅助工具的描述有误,欢迎大伙在评论区批评指正。此外,若读者朋友还了解其它优质终端安全可靠辅助工具,欢迎在评论区所推荐,小编将第一时间收录。
