APK文件分析工具:AppMon

标签: 工具 APK分析 APPMON | 发表时间:2016-11-22 06:01 | 作者:clouds
出处:http://www.freebuf.com

logo.png

对手机恶意软件研究人员来说,有很多APP行为分析工具可以选择,在这里,我要向大家推荐的是AppMon,它可以通过二进制指令获取app程序运行记录,并显示调用函数和相关参数。

AppMon工作原理

AppMon使用了多平台动态框架环境Frida,Frida是一款基于python + javascript 的hook框架,适应android\ios\linux\win\osx等平台的脚本交互环境。AppMon还包括了一系列app事件监控和行为修改脚本,并能通过web接口显示和操作。

安装

AppMon的运行环境需要Frida和其它模块:

  sudo -H pip install argparse frida flask termcolor

Linux环境下可以克隆github安装:

  https://github.com/dpnishant/appmon/

如果是Windows环境,下载解压之后,需要对appmon.py中变量merge_script_path的绝对路径进行修改,可以是临时文件夹或其它所需文件路径,如:

  merge_script_path = ‘C:/Users/<nombre_usuario>/AppData/Local/Temp/merged.js

考虑到Frida的稳定性,推荐使用Android 4.4.x版本模拟器,另外,建议用adb命令安装apk程序。

分析

让我们来分析一个恶意程序样本 Android/Torec.A,该程序可以实现窃取短信和通话记录等关键信息,并能利用 Tor网络的.onion代理服务器隐藏指令控制服务器,远程执行代码。程序Manifest文件显示包名为com.baseapp,现在开始启动AppMon控制端:

img_1-1.png

Windows下的启动界面如下:

img_2.png

AppMon创建了一个访问5000端口的简单服务器,实现web界面的分析显示:

img_3-1.png

打开浏览器,选择需要分析的APK文件,点击“Next”:

img_4-2.png

之后,将会显示apk程序执行阶段短暂的事件日志记录:

img_5-1-1024x544.png

我们再以 Android/Monitor.Rasatremon.A为分析样本执行程序,通过web界面日志记录,可以看到具体的HTTP网络连接活动:

img_6-3.png

img_7-2-1024x537.png

除此之外,AppMon还有其它功能,如密码恢复等。总之,对apk分析来说,它是一款好用的工具。

具体参见: https://dpnishant.github.io/appmon/

*参考来源: welivesecurity,FB小编clouds编译,转载请注明来自FreeBuf(FreeBuf.COM)

相关 [apk 文件 分析] 推荐:

APK文件分析工具:AppMon

- - FreeBuf.COM | 关注黑客与极客
对手机恶意软件研究人员来说,有很多APP行为分析工具可以选择,在这里,我要向大家推荐的是AppMon,它可以通过二进制指令获取app程序运行记录,并显示调用函数和相关参数. AppMon使用了多平台动态框架环境Frida,Frida是一款基于python + javascript 的hook框架,适应android\ios\linux\win\osx等平台的脚本交互环境.

[译] 使用 APK Analyzer 分析你的 APK

- - IT瘾-dev
本文来自“天天P图攻城狮”公众号(ttpic_dev). 本文是对 《Analyze Your Build with APK Analyzer》 的翻译. Android Studio 2.2包含了APK Analyzer,通过它我们能够直观地看到APK的组成. 使用APK Analyzer不仅能够减少你花在debug上的时间,而且还能减少你的APK大小.

apk安装时在SDCard创建文件夹和复制文件

- - ITeye博客
安装apk到用户手机上时在用户的SDCard创建文件夹(其实就是建立你唯一的应用的目录咯),以及复制一些你不想编译而有用的文件到你的目录下. 1、得到sdcard的路径:android.os.Environment.getExternalStorageDirectory().getAbsolutePath()一般都会得到路径“/mnt/sdcard".

教你用电脑从 Google Play 下载 Android 程序 apk 文件

- - 小众软件 - Appinn
APK Downloader 是一款帮助你用电脑从 Google Play (原 Android Market ) 下载 Android 应用程序 apk 文件的 Chrome 扩展. Ivan 同学在 Group 讨论组 里推荐了一个用电脑从 Google Play 里下载 Android 程序的方法,可以直接下载到 apk 文件.

Android 命令行编译、打包生成apk文件

- - CSDN博客移动开发推荐文章
安装JDK 和 Android SDK. 项目目录:D:\ProjectDemo. SDK目录 :D:\android-sdk-windows\platforms\android-8\. 二、命令行编译Android项目. Java代码生成class文件. aapt命令, 生成R文件. -f 如果编译生成的文件已经存在,强制覆盖.

使用ant自动编译、打包生成apk文件

- - CSDN博客移动开发推荐文章
    上次使用命令行生成apk文件 《Android 命令行编译、打包生成apk文件》,学习命令行生成的目的是为了编写ant打下基础. 下载ant包,配置环境变量. 二、ant编译Android项目. Java代码生成class文件. aapt命令, 生成R文件. -f 如果编译生成的文件已经存在,强制覆盖.

Apk文件如何安装到Android模拟器的方法详解

- - CSDN博客推荐文章
一.如何正确的启动模拟器(早于Android 1.5的开发版本跳过此步) :.   关于在eclipse里面如何集成android这些问题就不说了,这写问题我想还是不用在这里废话的. 要正确的启动模拟,你必须先要创建一个 AVD( Android Virtual Device 虚拟设备 ) ,你可以创建多个AVD,但是你的每一个启动了的模拟器都必须有一个AVD,这样你才能正确运行.

java解析APK

- - Linux - 操作系统 - ITeye博客
1、结合安卓提供apktool工具,用java执行cmd解析命令获取apk信息. 2、利用相关jar包里的集成方法解析apk. 这里只给出第二种方法,因为第一种方法在linux服务器下会出现不在控制范围之内的结果. // 将解压文件对象转列举对象. // 获得名为AndroidManifest.xml的文件.

android apk反编译

- - CSDN博客推荐文章
3.查看Jar包的GUI工具. apk文件其实就是一个MIME为zip的压缩包,可以用winrar软件打开看到里面的文件结构. 解压缩后找到里面的classes.dex文件,classes.dex文件就是java文件编译再通过Dalvik须立即提供的dx打包工具打包而成的,接下来就用2个工具来逆向导出java源文件.

Android APK反编译详解(附图)

- jason - iGFW
一、反编译Apk得到Java源代码. 首先要下载两个工具:dex2jar和JD-GUI. 前者是将apk中的classes.dex转化成Jar文件,而JD-GUI是一个反编译工具,可以直接查看Jar包的源代码. 首先将apk文件,将后缀改为zip,解压,得到其中的classes.dex,它就是java文件编译再通过dx工具打包而成的;解压下载的 dex2jar,将classes.dex复制到dex2jar.bat所在目录.