超级会员免费看
移动应用安全分析与攻击技术全解析
1. 自动化静态分析
在进行移动应用安全评估时,自动化静态分析是重要的一环。不过要注意,不能完全依赖自动化工具进行测试,因为它们并不完美,可能会遗漏关键问题。
1.1 使用 Qark 进行静态分析
可以使用 Qark(https://github.com/linkedin/qark/)来扫描源代码和应用的 APK 文件。使用以下命令对二进制文件进行静态分析:
$ qark --apk path/to/my.apk
执行该命令后,会进行反编译、扫描等操作,并将报告写入指定路径,整个过程可能需要一些时间。除了 Qark,还可以使用之前提到的 MobSF 工具。
1.2 二进制逆向
Qark 工具在运行时会对二进制文件进行逆向操作以进行检查,我们也可以手动进行。从 APK 中提取文件时,会得到一堆包含编译后应用代码的 DEX 文件。为了让这些字节码更易读,我们可以使用 Dex2jar 工具(https://github.com/pxb1988/dex2jar/)将字节码转换为 JAR 文件:
$ d2j-dex2jar.sh app.apk
dex2jar app.apk -> ./app-dex2jar.jar
另一个不错的工具是 Apkx(https://github.com/b-mueller/apkx/),它是不同反编译器的包装器。要记住,即使一个反编译器失败了
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
