Android安全测试神器大全

在线分析

1. AndroTotal

2. Tracedroid

3. Visual Threat

4. Mobile Malware Sandbox

5. Appknox – 非免费

6. IBM Security AppScan Mobile Analyzer – 非免费

7. NVISO ApkScan 

8. AVC UnDroid 

9. habo -非免费

10. Virustotal-max 128MB

11. Fraunhofer App-ray – 非免费

12. AppCritique – 上传Android APK，可以免费进行安全评估

13. NowSecure Lab Automated – 非免费，用于对Android和iOS移动应用程序进行安全性测试的应用程序工具。实验室自动功能可以对云中的真实设备进行动态和静态分析，并在几分钟内返回结果

 

静态分析工具 

1. Androwarn – 检测并警告用户有关Android应用程序开发的潜在恶意行为

2. ApkAnalyser

3. APKInspector

4. Droid Intent Data Flow Analysis for Information Leakage – 分析程序信息泄露

5. DroidLegacy

6. Several tools from PSU

7. Smali CFG generator

8. FlowDroid

9. Android Decompiler – 非免费

10. PSCout – 使用静态分析从Android OS源代码中提取权限规范的工具

11. Amandroid

12. SmaliSCA – Smali静态代码分析

13. CFGScanDroid – 扫描和比较CFG与恶意应用程序的CFG

14. Madrolyzer – 提取可操作的数据，例如C&C，电话号码等

15. SPARTA – 验证应用程序满足信息流安全策略

16. ConDroid – 执行符号+具体执行的组合

17. DroidRA

18. RiskInDroid– 一种用于根据Android应用的权限计算其风险的工具，并提供在线演示

19. SUPER – 安全，统一，功能强大且可扩展的Rust Android分析仪

20. ClassyShark – 独立的二进制检查工具，可以浏览任何Android可执行文件并显示重要信息

 

Android安全性（应用漏洞扫描程序）

1. QARK – Linkdeln的QARK供应用程序开发人员扫描应用程序是否存在安全问题

2. AndroBugs

3. Nogotofail

4. Devknox – 自动更正Android安全性问题，就像通过IDE进行拼写检查一样

5. JAADAS – 程序内和程序间联合程序分析工具，可在Soot和Scala的基础上找到Android应用程序中的漏洞

 

动态分析工具 

1. Android DBI framework

2. Androl4b – 用于评估Android应用程序，逆向工程和恶意软件分析的虚拟机

3. Android Malware Analysis Toolkit – （Linux发行版）更早以前是  在线分析器

4. Mobile-Security-Framework MobSF – 移动安全框架是一种智能的，多合一的开源移动应用程序（Android / iOS）自动化测试框架，能够执行静态，动态分析和Web API测试

5. AppUse – 用于渗透测试的自定义构建

6. Cobradroid – 用于恶意软件分析的自定义映像

7. Droidbox

8. Drozer

9. Xposed – 等同于执行基于存根的代码注入，但不对二进制文件进行任何修改

10. Inspeckage – Android Package Inspector –具有api挂钩的动态分析，启动未导出的活动等。（放置模块）

11. Android Hooker – 动态Java代码检测（需要Substrate框架）

12. ProbeDroid – 动态Java代码检测

13. Android Tamer – 适用于Android安全专业人员的虚拟/实时平台

14. DECAF – 基于QEMU的动态可执行代码分析框架（DroidScope现在是DECAF的扩展）

15. CuckooDroid –  Cuckoo沙箱的Android扩展

16. Mem – Android安全性的内存分析（需要root）

17. Crowdroid –无法找到实际工具

18. AuditdAndroid – 已审计的 android端口，不再处于活动开发中

19. AndroidSecurity Evaluation Framework – 不再处于积极开发中

20. Android Reverse Engineering – ARE（Android逆向工程）不再处于积极开发中

21. Aurasium – 通过字节码重写和就地参考监视器为Android应用程序实施实用的安全策略

22. Android Linux Kernel modules

23. Appie – Appie是已预先配置为可作为Android Pentesting环境使用的软件包。它完全可移植，可在USB记忆棒或智能手机上携带。这是Android应用程序所需的所有工具的一站式解决方案安全评估和现有虚拟机的绝佳替代品

24. StaDynA – 在存在动态代码更新功能（动态类加载和反射）的情况下支持安全应用程序分析的系统。该工具结合了Android应用程序的静态和动态分析，以揭示隐藏/更新的行为，并使用此信息扩展静态分析结果

25. DroidAnalytics – 不完整

26. Vezir Project – 用于移动应用程序渗透测试和移动恶意软件分析的虚拟机；

27. MARA – 移动应用程序逆向工程和分析框架

28. Taintdroid – 需要AOSP编译

 

逆向工程

1. Smali/Baksmali – APK反编译

2. emacs syntax coloring for smali files

3. vim syntax coloring for smali files

4. AndBug

5. Androguard – 功能强大，可与其他工具很好地集成

6. Apktool – 对编译/反编译非常有用（使用smali）

7. Android Framework for Exploitation

8. Bypass signature and permission checks for IPCs

9. Android OpenDebug – 使设备上的任何应用程序都可调试（使用cydia基板）

10. Dare – .dex到.class转换器

11. Dex2Jar – dex到jar转换器

12. Enjarify – Google的dex到jar转换器

13. Dedexer

14. Fino

15. Frida – 注入JavaScript来探索应用程序和 针对它的  GUI工具

16. Indroid – 螺纹注射套件

17. IntentSniffer

18. Introspy

19. Jad – Java反编译器

20. JD-GUI  – Java反编译器

21. CFR – Java反编译器

22. Krakatau – Java反编译器

23. Procyon – Java反编译器

24. FernFlower – Java反编译器

25. Redexer – APK操作

26. Smali viewer

27. Simplify Android deobfuscator

28. Bytecode viewer

29. Radare2

 

模糊测试

1. IntentFuzzer

2. Radamsa Fuzzer

3. Honggfuzz

4. An Android port of the melkor ELF fuzzer

5. Media Fuzzing Framework for Android

6. AndroFuzz

 

应用重新包装检测器

1. FSquaDRA – 一种Android安全工具，用于根据应用程序资源哈希比较检测重新打包的Android应用程序

 

爬虫

1. Google play crawler (Java)

2. Google play crawler (Python)

3. Google play crawler (Node)– 获取应用程序详细信息并从官方Google Play商店下载应用程序

4. Aptoide downloader (Node) – 从Aptoide第三方Android市场下载应用程序

5. Appland downloader (Node) – 从Aptoide第三方Android市场下载应用程序

 

杂项工具

1. smalihook

2. APK-Downloader

3. AXMLPrinter2 – 将二进制XML文件转换为人类可读的XML文件

4. adb autocomplete

5. Dalvik opcodes

6. Opcodes table for quick reference

7. ExploitMe Android Labs – 练习

8. GoatDroid – 练习

9. mitmproxy

10. dockerfile/androguard

11. Android Vulnerability Test Suite – android-vts扫描设备中的漏洞集

12. AppMon –AppMon是一个自动框架，用于监视和篡改本机macOS，iOS和android应用程序的系统API调用。它基于Frida

 

学术/研究/出版物/书籍

Android软件安全与逆向分析

Android恶意代码分析与渗透测试

Android安全技术揭秘与防范

Android软件安全权威指南

Android应用安全测试与防护

Android应用安全防护和逆向分析

Android软件安全攻防实例分析

Android安全攻防实践

Android安全攻防权威指南

 

调查报告

1. Exploit Database

2. Androidsecurity related presentations

3. A good collection of static analysis papers

 

图书

1. SEI CERT Android Secure Coding Standard

 

其他

1. OWASP Mobile Security Testing Guide Manual

2. Android Reverse Engineering 101 by Daniele Altomare

3. doridori/Android-Security-Reference

4. android app security checklist

5. Mobile App Pentest Cheat Sheet

 

开发/漏洞

 

清单

1. AndroidSecurity Bulletins

2. Android’s reported security vulnerabilities

3. Android Devices Security Patch Status

4. AOSP – Issue tracker

5. OWASP Mobile Top 10 2016

6. Exploit Database –单击搜索

7. Vulnerability Google Doc

8. Google AndroidSecurity Team’s Classifications for Potentially Harmful Applications (Malware)

 

恶意软件

1. androguard – Database Android Malwares wiki

2. Android Malware Github repo

3. Android Malware Genome Project  –包含1260个恶意软件样本，这些样本分为49个不同的恶意软件家族，可免费用于研究目的

4. Contagio Mobile Malware Mini Dump

5. VirusTotal Malware Intelligence Service –由VirusTotal提供支持，非免费

6. Admire

7. Drebin

 

赏金计划

1. AndroidSecurity Reward Program

 

如何举报

1. Android – reporting security issues

2. Android Reports and Resources – Android Hackerone披露的报告和其他资源列表

 

classyshark（图形化界面的反编译工具）

java -jar classyshark.jar

https://github.com/google/android-classyshark/releases

 

enjarify（反编译工具）

https://github.com/google/enjarify

 

AndroidSec（合并多个dex）

https://github.com/Simp1er/AndroidSec

 

TTDeDroid（一键反编译apk/aar/dex/jar）

https://github.com/tp7309/TTDeDroid

 

simplify（Android反混淆工具）

https://github.com/CalebFenton/simplify

 

gnirehtet Android网络共享神器（手机网络共享/反向网络共享）

https://github.com/Genymobile/gnirehtet

 

Termux（基于Termux打造Android手机渗透神器）

https://github.com/Cabbagec/termux-ohmyzsh

 

Andrax（基于Andrax搭建Android手机的渗透测试平台）

https://andrax.thecrackertechnology.com/

https://andrax.thecrackertechnology.com/download/

https://gitee.com/marplutox/ANDRAX-Mobile-Pentest

https://gitlab.com/crk-mythical/andrax-hackers-platform-v5/

https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet

https://andrax.thecrackertechnology.com/documentation/remote-control-andrax/

 

unidbg

https://github.com/zhkl0228/unidbg

 

jni_help（Android so自动化逆向）

https://github.com/feicong/jni_help

 

Adhrit

https://github.com/abhi-r3v0/Adhrit

 

baksmali.jar和smali.jar

https://bitbucket.org/JesusFreke/smali/downloads/

 

apktool

https://bitbucket.org/iBotPeaches/apktool/downloads/

 

XJad

https://www.lanzous.com/i2vvdvi

 

Smali2JavaUI

https://forum.xda-developers.com/showthread.php?t=2430413

 

jadx

https://github.com/skylot/jadx/releases

 

JEB

https://www.pnfsoftware.com/

 

JEB3

https://www.pnfsoftware.com/blog/jeb3-alpha-is-available/

https://www.pnfsoftware.com/blog/category/jeb3/

 

GDA

http://www.gda.wiki:9090/

 

IDA

https://www.hex-rays.com/products/ida/news/

https://www.hex-rays.com/products/ida/

https://ida2020.org/

 

https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet

 

关注公众号，获取更多最新文章