移动安全测试框架MobSF(二):动态分析
MobSF框架之動態分析
一、使用配置
【1】方式一:虛擬設備,配置動態分析器(VirtualBox + MobSF_VM.ova)
參考:https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/1.-Documentation
http://www.freebuf.com/sectool/99475.html
http://www.mottoin.com/92477.html
【2】方式二:Android真機,安裝配置相應軟件(Xposed框架 + Droidmon/JustTrustMe/RootCloak模塊)
參考:https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/2.-Configure-MobSF-Dynamic-Analysis-Environment-in-your-Android-Device-or-VM
二、動態分析
動態分析的前端展示頁面如圖所示,主要功能包括:Environment Created,Start / Stop Screen,Install / Remove MobSF RootCA,Start Exported Activity Tester,Start Activity Tester,Take a Screenshot,Finish。
【1】Environment Created
> 設置web代理,用來抓取APP訪問流量
> 建立adb連接,adb connect ip:port
> 安裝程序,adb install -r xxx.apk
> 運行程序,adb shell am start -m xxx
【2】Start / Stop Screen
> 利用屏幕錄制軟件screencast提供的服務,來實現實時操作功能
【3】Install / Remove MobSF RootCA
> 安裝、卸載RootCA,方便對樣本中HTTPS流量進行截獲
> adb push ca.crt /xx
> adb shell su -c cp /xx /xxx
【4】Start Exported Activity Tester
> 遍歷獲取AndroidManifest.xml文件中的所有Exported Activity
> 依次啟動activity,adb -s IP:PORT shell am start -n PACKAGE/ACTIVITY
> 獲取當前activity運行時的屏幕截圖,并保存截屏
> 強制關閉應用,adb -s IP:PORT shell am force-stop PACKAGE
【5】Start Activity Tester
>?遍歷AndroidManifest.xml文件中的所有Activity,而不單單是Exported
> 處理流程與Exported Activity一致
【6】Take a Screenshot
> 截屏并保存到本地
> adb -s IP:PORT shell screencap -p /xx/screen.png
> adb -s IP:PORT pull /xx/screen.png /xxx/xx.png
【7】Finish
> 日志收集:收集程序運行過程中所有dalvikvm的Warning和ActivityManager的Information,以及Xposed目錄下的API監控日志
> 日志分析:以正則匹配為主,對日志文件進行分析處理,匹配惡意url、郵箱等特征信息
> MobSF完成檢測分析后,將所有可用信息輸出到web界面,方便分析人員進行分析
##總結##
對APK進行動態分析時,MobSF主要利用Xposed框架、Droidmon實現對應用程序調用API的情況進行監控,并且可靈活維護一份需要hook的API列表,主要工作包括:
1. 利用webproxy實現代理進而攔截樣本流量;
2. 安裝證書以便攔截https流量;
3. 遍歷所有activity,盡量多的獲取各個Activity運行得到的日志;
4. 利用正則匹配出API及參數和返回值;
5. 實時更新惡意url庫,以url信息特征進行查殺。
三、參考資料
【1】http://purpleroc.com/MD/2016-08-31@Android%20Malware%20Analysis%20Tool(1)--MobSF.html
總結
以上是生活随笔為你收集整理的移动安全测试框架MobSF(二):动态分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: layui table勾选框的修改_La
- 下一篇: 宕机处理:Kubernetes集群高可用