【android逆向笔记】(九)恶意软件分析工具-androguard的使用

android逆向 专栏收录该内容
14 篇文章 2 订阅

写在前面:

因为windows下的python有一点问题,所以直接去找的santoku。

这一找就出事了,我找了一早上,本来想在早上写的,但是安装环境什么的,一直在浪费时间,网上对于这方面的资源又很少。而且安装的时候,有一个巨大的坑,就是不能用中文安装,不然会出莫名其妙的错误。之后使用英文版的直接成功。

然后使用tool安装,然后换成中文。于是乎大功告成的时候已经到下午四点了。

咳咳,扯远了。

这个是santoku的界面,如果想要镜像什么的,可以留言给我。

路过的免费评分可以评一评的哟~感谢- -。

这里写图片描述

这里是正式开始

由于androguard是一个个独立的.py文件,这里分开来进行展示。

1.androapkinfo.py 
2.androaxml.py 
3.androsign.py
4.androdd.py
5.androidiff.py
6.androgexf.py
7.androrisk.py
8.androsign.py 
9.androsim.py
10.androxgnnk.py
11.apkviewer.py

1.androapkinfo.py:

用来查看apk文件的信息,工具会输入apk文件的包、资源、权限、组件、方法等信息。使用时将信息重定向到文件后进行查看。

(1)直接输出内容

./androapkinfo.py -i ./name.apk

这里写图片描述

总结:该工具会输出非常详细的内容。

(2)查看全部功能

./androapkinfo.py -h

这里写图片描述

(3)把结果输出到一个文件里

./androapkinfo.py -i ./name.apk >name.txt

这里写图片描述

2.androaxml.py

用来解密APK包中的AndroidManifest.xml,也就是用来表示一些权限,还有Activity注册的xml文件。

(1)查看所有的使用方法

./androaxml.py -h 

这里写图片描述

(2)解密AndroidMainifest.xml

./androxml.py -i ./name.apk

这里写图片描述

(3)同样的可以输出的文本文件,这里就不再做重复了,有兴趣可以自己去尝试。参考androapkinfo.py

3.androcsign.py

androcsign.py用于添加apk文件的签名信息到一个数据库文件汇总。androguard工具目录下的signatures/dbandroguard文件为手机的恶意恶意软件信息数据库。首先要编写一个sign。

[
{
    "SAMPLE":"apks/crackme0502.apk" SMMPLE指定需要添加信息的apk文件。
},
{
    "BASE":"AndroidOS" //BASE指定文件运行的系统,固定为AndroidOS
    "NAME":"DroidDream" //NAME是该签名的名字
    "SIGNATURE":[   //具体的签名规则
        {
            "TYPE":"METHSIM" //指定签名的类型
            METHSIM //表示的是方法的签名,还有CLASSSIm表示为类签名;
    "CN":"Lcom/droider/crackme0502/MainActivity$SNChecker;", //CN用来指定方法所在的类。
            "MN":"isRegistered",//指定了方法名
            "D":"()Z" //指定了方法的签名信息。
        }
    ],
    "BF":"0" //指定签名的检测规则,可以同时满足1条或多条。
}
]

这里有原版的sgin下载:https://pan.baidu.com/s/1hr9imRa 密码:f032

使用指令:

./androcsign.py -i signatures/crackme0502.sign  -o signatures/dbandroguard

4.androdd.py

androdd.py用来生成apk文件汇总每个类的方法的调用流程图。

使用命令:

./androdd.py -i ./creackme0502.apk -o ./out -d -f PNG

5.androidiff.py

对比两个APK之间的差异。

使用命令:

./androdiff.py -i ./crackme0502.apk ./abc.apk

这里写图片描述

这里0,0,0,0说明是完全相同的两个APK。测试的时候使用的就是两个相同的APK,只是改了下名字。

6.androgexf.py

androgexf用来生成APK的GEXF格式的图形文件,可以使用Gephi查看。

命令:

./androgexf.py -i ./abc.apk -o ./abc.gexf

这里写图片描述

使用Gephi查看

这里写图片描述

7.androrisk.py

用于评估APK文件中潜在的风险。

命令:

./androrisk.py -m -i ./abc.apk

这里写图片描述

从输出结果来看,abc中没有发现风险,只有一项REFLECTION的表示程序中有使用到JAVA反射技术。

8.androsign.py

用于检测apk的信息是否存在于特定的数据库中。

命令:

./androsign.py -i apks/abc.apk -b signatures/dbandroguard -c signatures/dbconfig

9.androsim.py

androsim用于计算两个apk文件的相似度

命令:

./androsim.py -i ./abc.apk ./crackme0502.apk

这里写图片描述

10.androxgnnk.py

用来生成 apk/jar/class/dex文件的控制流程及功能调用图。

命令:

./androxgmml.py -i ./abc.apk -o abc.xgmml

这里写图片描述

11.apkviewer.py

为apk文件中每一个类生成一个地理的graphml图形文件。

命令:

./apkviewer.py -i ./abc.apk -o output

以上是对androguard的一个简单的应用以及对笔记的一个整理,大牛勿笑~

  • 1
    点赞
  • 2
    评论
  • 6
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

相关推荐
©️2020 CSDN 皮肤主题: 程序猿惹谁了 设计师:白松林 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值