移动应用漏洞分析工具介绍

 dex文件反编译工具 dexdump、smali.jar/baksmali、dex2jar等

 class字节码反编译工具 jd-gui、jd-cmd、jad等

 逆向分析工具 IDA Pro、jdb、gdb、class-dump-z、Clutch、introspy、Cycript等

 综合逆向工具 APKTool、APKIDE（改之理）、 Android Killer、Xposed等

 协议抓包工具 Wireshark、 fiddler等

01 快速反编译APK并查看代码

 第一步准备测试工具与测试样本。测试工具：dex2jar、jd-gui；测试样本：sample001.apk

 第二步使用dex2jar对应用APP进行快速反编译，获取反编译.jar文件。

 第三步使用jd-gui查看反编译得到的.jar文件。

 第一步准备测试工具与测试样本。测试工具：APKIDE；测试样本：sample001.apk

 第二步将sample00.apk导入APKIDE中，等待APKIDE对APK进行反编译

 第三步通过APKIDE找到程序名称，更改程序名称

 第四步使用APKIDE对APK进行重编译、签名再安装到手机中

 第五步在手机中找到快速修改名称的APK，运行并查看APK是否采用保护

 第一步准备测试工具与测试样本。测试工具： fiddler；测试样本：sample001.apk

 第二步将搭建fiddler测试环境（PC与手机端）

 第三步在指定手机端上使用APK完成协议请求

 第四步在fiddler上抓取到APK的协议请求  第五步分析请求协议包结构

 第一步准备测试工具与测试样本。测试工具：爱加密漏洞分析平台；测试样本：sample001.apk

 第二步将sample001.apk上传到爱加密漏洞分析平台中，等待检测

 第三步下载sample001.apk的漏洞检测结果

 第四步对检测结果进行查看与分析

Last updated 4 years ago