IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

APK文件分析工具:AppMon

发布时间:2016-11-22 19:51文章来源:互联网文章作者: 互联网点击次数:
对手机恶意软件研究人员来说,有很多APP行为分析工具可以选择,在这里,我要向大家推荐的是AppMon,它可以通过二进制指令获取app程序运行记录,并显示调用函数和相关参数。 AppMon工作原理 AppMon使用了多平台动态框架环境Frida,Frida是一款基于python + ja
logo.png 对手机恶意软件研究人员来说,有很多APP行为分析工具可以选择,在这里,我要向大家推荐的是AppMon,它可以通过二进制指令获取app程序运行记录,并显示调用函数和相关参数。

AppMon工作原理

AppMon使用了多平台动态框架环境Frida,Frida是一款基于python + javascript 的hook框架,适应android\ios\linux\win\osx等平台的脚本交互环境。AppMon还包括了一系列app事件监控和行为修改脚本,并能通过web接口显示和操作。

安装

AppMon的运行环境需要Frida和其它模块: sudo -H pip install argparse frida flask termcolor Linux环境下可以克隆github安装: https://github.com/dpnishant/appmon/ 如果是Windows环境,下载解压之后,需要对appmon.py中变量merge_script_path的绝对路径进行修改,可以是临时文件夹或其它所需文件路径,如: merge_script_path = ‘C:/Users/<nombre_usuario>/AppData/Local/Temp/merged.js 考虑到Frida的稳定性,推荐使用Android 4.4.x版本模拟器,另外,建议用adb命令安装apk程序。

分析

让我们来分析一个恶意程序样本Android/Torec.A,该程序可以实现窃取短信和通话记录等关键信息,并能利用 Tor网络的.onion代理服务器隐藏指令控制服务器,远程执行代码。程序Manifest文件显示包名为com.baseapp,现在开始启动AppMon控制端: img_1-1.png Windows下的启动界面如下: img_2.png AppMon创建了一个访问5000端口的简单服务器,实现web界面的分析显示: img_3-1.png 打开浏览器,选择需要分析的APK文件,点击“Next”: img_4-2.png 之后,将会显示apk程序执行阶段短暂的事件日志记录: img_5-1-1024x544.png 我们再以Android/Monitor.Rasatremon.A为分析样本执行程序,通过web界面日志记录,可以看到具体的HTTP网络连接活动: img_6-3.png img_7-2-1024x537.png 除此之外,AppMon还有其它功能,如密码恢复等。总之,对apk分析来说,它是一款好用的工具。 具体参见:https://dpnishant.github.io/appmon/ *参考来源:welivesecurity,FB小编clouds编译,转载请注明来自FreeBuf(FreeBuf.COM)
APK文件分析工具:AppMon
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/565750.html

标签分类:

上一篇:上一篇:Linux高危漏洞:按Enter键70秒获得root权限
下一篇: 下一篇:没有了
无觅关联推荐,快速提升流量