Android安全测试神器大全
在線分析
1.?AndroTotal
2.?Tracedroid
3.?Visual Threat
4.?Mobile Malware Sandbox
5.?Appknox?– 非免費
6.?IBM Security AppScan Mobile Analyzer?–?非免費
7.?NVISO ApkScan?
8.?AVC UnDroid?
9.?habo?-非免費
10.?Virustotal-max?128MB
11.?Fraunhofer App-ray?–?非免費
12.?AppCritique?– 上傳Android APK,可以免費進行安全評估
13. NowSecure Lab Automated – 非免費,用于對Android和iOS移動應用程序進行安全性測試的應用程序工具。實驗室自動功能可以對云中的真實設備進行動態和靜態分析,并在幾分鐘內返回結果
?
靜態分析工具?
1.?Androwarn?– 檢測并警告用戶有關Android應用程序開發的潛在惡意行為
2.?ApkAnalyser
3.?APKInspector
4.?Droid Intent Data Flow Analysis for Information Leakage?– 分析程序信息泄露
5.?DroidLegacy
6.?Several tools from PSU
7.?Smali CFG generator
8.?FlowDroid
9.?Android Decompiler?– 非免費
10.?PSCout?–?使用靜態分析從Android OS源代碼中提取權限規范的工具
11.?Amandroid
12.?SmaliSCA?– Smali靜態代碼分析
13.?CFGScanDroid?–?掃描和比較CFG與惡意應用程序的CFG
14.?Madrolyzer?–?提取可操作的數據,例如C&C,電話號碼等
15.?SPARTA?–?驗證應用程序滿足信息流安全策略
16.?ConDroid?–?執行符號+具體執行的組合
17.?DroidRA
18.?RiskInDroid–?一種用于根據Android應用的權限計算其風險的工具,并提供在線演示
19.?SUPER?–?安全,統一,功能強大且可擴展的Rust Android分析儀
20.?ClassyShark?–?獨立的二進制檢查工具,可以瀏覽任何Android可執行文件并顯示重要信息
?
Android安全性(應用漏洞掃描程序)
1.?QARK?– Linkdeln的QARK供應用程序開發人員掃描應用程序是否存在安全問題
2.?AndroBugs
3.?Nogotofail
4.?Devknox?– 自動更正Android安全性問題,就像通過IDE進行拼寫檢查一樣
5.?JAADAS?– 程序內和程序間聯合程序分析工具,可在Soot和Scala的基礎上找到Android應用程序中的漏洞
?
動態分析工具?
1.?Android DBI framework
2.?Androl4b?–?用于評估Android應用程序,逆向工程和惡意軟件分析的虛擬機
3.?Android Malware Analysis Toolkit?– (Linux發行版)更早以前是??在線分析器
4.?Mobile-Security-Framework MobSF?–?移動安全框架是一種智能的,多合一的開源移動應用程序(Android / iOS)自動化測試框架,能夠執行靜態,動態分析和Web API測試
5.?AppUse?–?用于滲透測試的自定義構建
6.?Cobradroid?–?用于惡意軟件分析的自定義映像
7.?Droidbox
8.?Drozer
9.?Xposed?–?等同于執行基于存根的代碼注入,但不對二進制文件進行任何修改
10. Inspeckage – Android Package Inspector –具有api掛鉤的動態分析,啟動未導出的活動等。(放置模塊)
11.?Android Hooker?–?動態Java代碼檢測(需要Substrate框架)
12.?ProbeDroid?–?動態Java代碼檢測
13.?Android Tamer?–?適用于Android安全專業人員的虛擬/實時平臺
14.?DECAF?–?基于QEMU的動態可執行代碼分析框架(DroidScope現在是DECAF的擴展)
15.?CuckooDroid?–? Cuckoo沙箱的Android擴展
16.?Mem?– Android安全性的內存分析(需要root)
17.?Crowdroid?–無法找到實際工具
18.?AuditdAndroid?–?已審計的 android端口,不再處于活動開發中
19.?AndroidSecurity Evaluation Framework?–?不再處于積極開發中
20.?Android Reverse Engineering?– ARE(Android逆向工程)不再處于積極開發中
21.?Aurasium?–?通過字節碼重寫和就地參考監視器為Android應用程序實施實用的安全策略
22.?Android Linux Kernel modules
23. Appie – Appie是已預先配置為可作為Android Pentesting環境使用的軟件包。它完全可移植,可在USB記憶棒或智能手機上攜帶。這是Android應用程序所需的所有工具的一站式解決方案安全評估和現有虛擬機的絕佳替代品
24. StaDynA –?在存在動態代碼更新功能(動態類加載和反射)的情況下支持安全應用程序分析的系統。該工具結合了Android應用程序的靜態和動態分析,以揭示隱藏/更新的行為,并使用此信息擴展靜態分析結果
25.?DroidAnalytics?–?不完整
26. Vezir Project –?用于移動應用程序滲透測試和移動惡意軟件分析的虛擬機;
27.?MARA?–?移動應用程序逆向工程和分析框架
28.?Taintdroid?–?需要AOSP編譯
?
逆向工程
1.?Smali/Baksmali?– APK反編譯
2.?emacs syntax coloring for smali files
3.?vim syntax coloring for smali files
4.?AndBug
5.?Androguard?–?功能強大,可與其他工具很好地集成
6.?Apktool?–?對編譯/反編譯非常有用(使用smali)
7.?Android Framework for Exploitation
8.?Bypass signature and permission checks for IPCs
9.?Android OpenDebug?–?使設備上的任何應用程序都可調試(使用cydia基板)
10. Dare – .dex到.class轉換器
11.?Dex2Jar?– dex到jar轉換器
12.?Enjarify?– Google的dex到jar轉換器
13.?Dedexer
14.?Fino
15.?Frida?–?注入JavaScript來探索應用程序和?針對它的? GUI工具
16.?Indroid?–?螺紋注射套件
17.?IntentSniffer
18.?Introspy
19.?Jad?– Java反編譯器
20.?JD-GUI??– Java反編譯器
21.?CFR?– Java反編譯器
22.?Krakatau?– Java反編譯器
23.?Procyon?– Java反編譯器
24.?FernFlower?– Java反編譯器
25.?Redexer?– APK操作
26.?Smali viewer
27.?Simplify Android deobfuscator
28.?Bytecode viewer
29.?Radare2
?
模糊測試
1.?IntentFuzzer
2.?Radamsa Fuzzer
3.?Honggfuzz
4.?An Android port of the melkor ELF fuzzer
5.?Media Fuzzing Framework for Android
6.?AndroFuzz
?
應用重新包裝檢測器
1.?FSquaDRA –?一種Android安全工具,用于根據應用程序資源哈希比較檢測重新打包的Android應用程序
?
爬蟲
1.?Google play crawler (Java)
2.?Google play crawler (Python)
3.?Google play crawler (Node)–?獲取應用程序詳細信息并從官方Google Play商店下載應用程序
4.?Aptoide downloader (Node)?–?從Aptoide第三方Android市場下載應用程序
5.?Appland downloader (Node)?–?從Aptoide第三方Android市場下載應用程序
?
雜項工具
1.?smalihook
2.?APK-Downloader
3.?AXMLPrinter2?–?將二進制XML文件轉換為人類可讀的XML文件
4.?adb autocomplete
5.?Dalvik opcodes
6.?Opcodes table for quick reference
7.?ExploitMe Android Labs?–?練習
8.?GoatDroid?–?練習
9.?mitmproxy
10.?dockerfile/androguard
11.?Android Vulnerability Test Suite?– android-vts掃描設備中的漏洞集
12. AppMon –AppMon是一個自動框架,用于監視和篡改本機macOS,iOS和android應用程序的系統API調用。它基于Frida
?
學術/研究/出版物/書籍
Android軟件安全與逆向分析
Android惡意代碼分析與滲透測試
Android安全技術揭秘與防范
Android軟件安全權威指南
Android應用安全測試與防護
Android應用安全防護和逆向分析
Android軟件安全攻防實例分析
Android安全攻防實踐
Android安全攻防權威指南
?
調查報告
1.?Exploit Database
2.?Androidsecurity related presentations
3.?A good collection of static analysis papers
?
圖書
1.?SEI CERT Android Secure Coding Standard
?
其他
1.?OWASP Mobile Security Testing Guide Manual
2.?Android Reverse Engineering 101 by Daniele Altomare
3.?doridori/Android-Security-Reference
4.?android app security checklist
5.?Mobile App Pentest Cheat Sheet
?
開發/漏洞
?
清單
1.?AndroidSecurity Bulletins
2.?Android’s reported security vulnerabilities
3.?Android Devices Security Patch Status
4.?AOSP – Issue tracker
5.?OWASP Mobile Top 10 2016
6.?Exploit Database?–單擊搜索
7.?Vulnerability Google Doc
8.?Google AndroidSecurity Team’s Classifications for Potentially Harmful Applications (Malware)
?
惡意軟件
1.?androguard – Database Android Malwares wiki
2.?Android Malware Github repo
3.?Android Malware Genome Project??–包含1260個惡意軟件樣本,這些樣本分為49個不同的惡意軟件家族,可免費用于研究目的
4.?Contagio Mobile Malware Mini Dump
5.?VirusTotal Malware Intelligence Service?–由VirusTotal提供支持,非免費
6.?Admire
7.?Drebin
?
賞金計劃
1.?AndroidSecurity Reward Program
?
如何舉報
1.?Android – reporting security issues
2.?Android Reports and Resources?– Android Hackerone披露的報告和其他資源列表
?
classyshark(圖形化界面的反編譯工具)
java -jar classyshark.jar
https://github.com/google/android-classyshark/releases
?
enjarify(反編譯工具)
https://github.com/google/enjarify
?
AndroidSec(合并多個dex)
https://github.com/Simp1er/AndroidSec
?
TTDeDroid(一鍵反編譯apk/aar/dex/jar)
https://github.com/tp7309/TTDeDroid
?
simplify(Android反混淆工具)
https://github.com/CalebFenton/simplify
?
gnirehtet Android網絡共享神器(手機網絡共享/反向網絡共享)
https://github.com/Genymobile/gnirehtet
?
Termux(基于Termux打造Android手機滲透神器)
https://github.com/Cabbagec/termux-ohmyzsh
?
Andrax(基于Andrax搭建Android手機的滲透測試平臺)
https://andrax.thecrackertechnology.com/
https://andrax.thecrackertechnology.com/download/
https://gitee.com/marplutox/ANDRAX-Mobile-Pentest
https://gitlab.com/crk-mythical/andrax-hackers-platform-v5/
https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet
https://andrax.thecrackertechnology.com/documentation/remote-control-andrax/
?
unidbg
https://github.com/zhkl0228/unidbg
?
jni_help(Android so自動化逆向)
https://github.com/feicong/jni_help
?
Adhrit
https://github.com/abhi-r3v0/Adhrit
?
baksmali.jar和smali.jar
https://bitbucket.org/JesusFreke/smali/downloads/
?
apktool
https://bitbucket.org/iBotPeaches/apktool/downloads/
?
XJad
https://www.lanzous.com/i2vvdvi
?
Smali2JavaUI
https://forum.xda-developers.com/showthread.php?t=2430413
?
jadx
https://github.com/skylot/jadx/releases
?
JEB
https://www.pnfsoftware.com/
?
JEB3
https://www.pnfsoftware.com/blog/jeb3-alpha-is-available/
https://www.pnfsoftware.com/blog/category/jeb3/
?
GDA
http://www.gda.wiki:9090/
?
IDA
https://www.hex-rays.com/products/ida/news/
https://www.hex-rays.com/products/ida/
https://ida2020.org/
?
https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet
?
關注公眾號,獲取更多最新文章
總結
以上是生活随笔為你收集整理的Android安全测试神器大全的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 计算机 smb共享,文件大师SMB共享使
- 下一篇: 移动互联网开发入门Android Stu