apk安全测试常用工具
安全猎人
Posted on
基于上次看完apk安全测试,后续整理笔记中所需工具,并提供安装包;
| 序号 | 工具名称 | 工具描述 | 下载源 | 工具类别 |
| 1 | APKtool | apktool能够将apk中的文件反编译成最原始的文件,包括resource.arsc、classes.dex、xmls等文件,还能够将反编译的文件修改后重新二次打包成apk,目标对象是apk文件 | githun网站 | 静态分析 |
| 2 | baksmali | 能够将apk文件中的classes.dex文件或者脱壳后的classes.dex文件反编译smali文件,目标对象是classes.dex文件 | 官网网站 | 静态分析 |
| 3 | smali | slali与baksmali用法刚好相反,它的作用是将smali文件重新打包成classes.dex文件,目标对象是smali文件 | 官方网站 | 静态分析 |
| 4 | dex2jar | apktool和baksmali是将二进制文件反编译smali文件,dex2jar是将zpk或class.dex文件反变成java类文件,目标对象是apk文件或classes.dex文件 | 官方网站 githun网站 | 静态分析 |
| 5 | JD-GUI | 是一个独立的图形实用程序,显示class文件的java源码,阅读反编译的jar文件非常方便,该工具基于 C++ 编写的,非常适合熟悉C++语法的人,目标是jar文件 | 官方网站 | 静态分析 |
| 6 | JEB | 是一个为安全专业人士设计的功能强大的反编译工具,用于逆向工程或审计apk文件。JEB主页面分为工程浏览器、字节码展示区、代码展示区、日志区、上方还有菜单栏和快捷方式等,可视化非常好。目标对象是apk文件或classes.dex文件 | 官方网站 | 静态分析 |
| 7 | gdb | 是基于Linux系统的GCC动态调试工具,比图形化界面类的工具功能强大,主要是用命令调试,目前已经很少用了 | 官方网站 | 动态分析 |
| 8 | IDA Pro | 堪称神器,不仅支持动态调试和动态调试,还支持IDC和python插件扩展,功能非常强大,是进行逆向和安全评估需要掌控的首款工具 | 官方网站 | 动态分析 |
| 9 | Drozer | 是一款进行综合安全评估的android安全测试框架,可帮助android app和设备变得更安全,操作非常简单 | 官方网站 | 动态分析 |
| 10 | Fiddler | 是一款调试代理工具,它能够记录并检查所所有被代理的客户端和互联网之间的http/https 通信,支持设置断点调试,查看所有“进出”Fiddler的数据,包括cookie、js、css等文件,支持http/https协议 | 官方网站 | 抓包分析 |
| 11 | wireshark | 是一款网络封包分析软件,可以截取网络封包;wireshark使用win pcap作为接口,直接与网卡进行数据交换,几乎支持所有协议 | 官网网站 | 抓包分析 |
| 12 | burp | 是一个集成化的渗透测试工具,集成多工具,主要对web层面的渗透,也可用于抓包分析 | 官方网站 github网站 | 抓包分析 |
| 13 | xposed | 是一套开源的框架服务,可以在不修改apk文件的情况下影响运行,通过替换system/bin/App_process程序控制Zygote进程,使得App_process在启动过程中加载xposedBridge.jar包,从完成对Zygote进程及创建的Dalivk虚拟机的劫持 | 官方网站 github网站 | 挂钩框架 |
| 14 | Fridea | 是一款开会员的跨平台挂钩框架,核心使用C语言编写,JS可以完全访问内存,挂钩函数可以调用进行内的本地函数来执行,可以用来挂钩关键的函数,达到内存转存的目的 | 官方网站 | 挂钩框架 |
都看到这里啦,师傅帮点个赞和在看呗,嘿嘿~
有师傅一起吹水,闲聊可以加一下群~
所需工具安装包获取:apk工具
----------------往期精选-----------------