Android安全测试神器大全含静态测试动态分析反编译等
Android安全测试神器大全(含静态测试、动态分析、反编译等)
[2024软件测试面试刷题,这个小程序(永久刷题),靠它快速找到工作了!(刷题APP的天花板)_软件测试刷题小程序-CSDN博客
你知不知道有这么一个软件测试面试的刷题小程序。里面包含了面试常问的软件测试基础题,web自动化测试、app自动化测试、接口测试、性能测试、自动化测试、安全测试及一些常问到的人力资源题目。最主要的是他还收集了像阿里、华为这样的大厂面试真题,还有互动交流板块……_软件测试刷题小程序
“2024软件测试面试刷题,这个小程序(永久刷题),靠它快速找到工作了!(刷题APP的天花板)_软件测试刷题小程序-CSDN博客”)
在线分析
AndroTotal
Tracedroid
Visual Threat
Mobile Malware Sandbox
Appknox – 非免费
IBM Security AppScan Mobile Analyzer – 非免费
NVISO ApkScan
AVC UnDroid
habo -非免费
Virustotal-max 128MB
Fraunhofer App-ray – 非免费
AppCritique – 上传Android APK,可以免费进行安全评估
NowSecure Lab Automated – 非免费,用于对Android和iOS移动应用程序进行安全性测试的应用程序工具。实验室自动功能可以对云中的真实设备进行动态和静态分析,并在几分钟内返回结果。
静态分析工具
Androwarn – 检测并警告用户有关Android应用程序开发的潜在恶意行为
ApkAnalyser
APKInspector
Droid Intent Data Flow Analysis for Information Leakage – 分析程序信息泄露
DroidLegacy
Several tools from PSU
Smali CFG generator
FlowDroid
Android Decompiler – 非免费
PSCout – 使用静态分析从Android OS源代码中提取权限规范的工具
Amandroid
SmaliSCA – Smali静态代码分析
CFGScanDroid – 扫描和比较CFG与恶意应用程序的CFG
Madrolyzer – 提取可操作的数据,例如C&C,电话号码等
SPARTA – 验证应用程序满足信息流安全策略
ConDroid – 执行符号+具体执行的组合
DroidRA
RiskInDroid– 一种用于根据Android应用的权限计算其风险的工具,并提供在线演示
SUPER – 安全,统一,功能强大且可扩展的Rust Android分析仪
ClassyShark – 独立的二进制检查工具,可以浏览任何Android可执行文件并显示重要信息
Android安全性(应用漏洞扫描程序)
QARK – Linkdeln的QARK供应用程序开发人员扫描应用程序是否存在安全问题
AndroBugs
Nogotofail
Devknox – 自动更正Android安全性问题,就像通过IDE进行拼写检查一样
JAADAS – 程序内和程序间联合程序分析工具,可在Soot和Scala的基础上找到Android应用程序中的漏洞
动态分析工具
Android DBI framework
Androl4b – 用于评估Android应用程序,逆向工程和恶意软件分析的虚拟机
Android Malware Analysis Toolkit – (Linux发行版)更早以前是 在线分析器
Mobile-Security-Framework MobSF – 移动安全框架是一种智能的,多合一的开源移动应用程序(Android / iOS)自动化测试框架,能够执行静态,动态分析和Web API测试
AppUse – 用于渗透测试的自定义构建
Cobradroid – 用于恶意软件分析的自定义映像
Droidbox
Drozer
Xposed – 等同于执行基于存根的代码注入,但不对二进制文件进行任何修改
Inspeckage – Android Package Inspector –具有api挂钩的动态分析,启动未导出的活动等。(放置模块)
Android Hooker – 动态Java代码检测(需要Substrate框架)
ProbeDroid – 动态Java代码检测
Android Tamer – 适用于Android安全专业人员的虚拟/实时平台
DECAF – 基于QEMU的动态可执行代码分析框架(DroidScope现在是DECAF的扩展)
CuckooDroid – Cuckoo沙箱的Android扩展
Mem – Android安全性的内存分析(需要root)
Crowdroid –无法找到实际工具
AuditdAndroid – 已审计的 android端口,不再处于活动开发中
AndroidSecurity Evaluation Framework – 不再处于积极开发中
Android Reverse Engineering – ARE(Android逆向工程)不再处于积极开发中
Aurasium – 通过字节码重写和就地参考监视器为Android应用程序实施实用的安全策略
Android Linux Kernel modules
Appie – Appie是已预先配置为可作为Android Pentesting环境使用的软件包。它完全可移植,可在USB记忆棒或智能手机上携带。这是Android应用程序所需的所有工具的一站式解决方案安全评估和现有虚拟机的绝佳替代品
StaDynA – 在存在动态代码更新功能(动态类加载和反射)的情况下支持安全应用程序分析的系统。该工具结合了Android应用程序的静态和动态分析,以揭示隐藏/更新的行为,并使用此信息扩展静态分析结果
DroidAnalytics – 不完整
Vezir Project – 用于移动应用程序渗透测试和移动恶意软件分析的虚拟机;
MARA – 移动应用程序逆向工程和分析框架
Taintdroid – 需要AOSP编译
逆向工程
Smali/Baksmali – APK反编译
emacs syntax coloring for smali files
vim syntax coloring for smali files
AndBug
Androguard – 功能强大,可与其他工具很好地集成
Apktool – 对编译/反编译非常有用(使用smali)
Android Framework for Exploitation
Bypass signature and permission checks for IPCs
Android OpenDebug – 使设备上的任何应用程序都可调试(使用cydia基板)
Dare – .dex到.class转换器
Dex2Jar – dex到jar转换器
Enjarify – Google的dex到jar转换器
Dedexer
Fino
Frida – 注入JavaScript来探索应用程序和 针对它的 GUI工具
Indroid – 螺纹注射套件
IntentSniffer
Introspy
Jad – Java反编译器
JD-GUI – Java反编译器
CFR – Java反编译器
Krakatau – Java反编译器
Procyon – Java反编译器
FernFlower – Java反编译器
Redexer – APK操作
Smali viewer
Simplify Android deobfuscator
Bytecode viewer
Radare2
模糊测试
IntentFuzzer
Radamsa Fuzzer
Honggfuzz
An Android port of the melkor ELF fuzzer
Media Fuzzing Framework for Android
AndroFuzz
应用重新包装检测器
- FSquaDRA – 一种Android安全工具,用于根据应用程序资源哈希比较检测重新打包的Android应用程序
爬虫
Google play crawler (Java)
Google play crawler (Python)
Google play crawler (Node)– 获取应用程序详细信息并从官方Google Play商店下载应用程序
Aptoide downloader (Node) – 从Aptoide第三方Android市场下载应用程序
Appland downloader (Node) – 从Aptoide第三方Android市场下载应用程序
杂项工具
smalihook
APK-Downloader
AXMLPrinter2 – 将二进制XML文件转换为人类可读的XML文件
adb autocomplete
Dalvik opcodes
Opcodes table for quick reference
ExploitMe Android Labs – 练习
GoatDroid – 练习
mitmproxy
dockerfile/androguard
Android Vulnerability Test Suite – android-vts扫描设备中的漏洞集
AppMon –AppMon是一个自动框架,用于监视和篡改本机macOS,iOS和android应用程序的系统API调用。它基于Frida
研究/出版物/书籍
Android软件安全与逆向分析
Android恶意代码分析与渗透测试
Android安全技术揭秘与防范
Android软件安全权威指南
Android应用安全测试与防护
Android应用安全防护和逆向分析
Android软件安全攻防实例分析
Android安全攻防实践
Android安全攻防权威指南
调查报告
Exploit Database
Androidsecurity related presentations
A good collection of static analysis papers
其他
OWASP Mobile Security Testing Guide Manual
Android Reverse Engineering 101 by Daniele Altomare
doridori/Android-Security-Reference
android app security checklist
Mobile App Pentest Cheat Sheet
开发/漏洞
清单
AndroidSecurity Bulletins
Android’s reported security vulnerabilities
Android Devices Security Patch Status
AOSP – Issue tracker
OWASP Mobile Top 10 2016
Exploit Database –单击搜索
Vulnerability Google Doc
Google AndroidSecurity Team’s Classifications for Potentially Harmful Applications (Malware)
恶意软件
androguard – Database Android Malwares wiki
Android Malware Github repo
Android Malware Genome Project –包含1260个恶意软件样本,这些样本分为49个不同的恶意软件家族,可免费用于研究目的
Contagio Mobile Malware Mini Dump
VirusTotal Malware Intelligence Service –由VirusTotal提供支持,非免费
Admire
Drebin
如何下载
classyshark(图形化界面的反编译工具)
java -jar classyshark.jar
enjarify(反编译工具)
AndroidSec(合并多个dex)
TTDeDroid(一键反编译apk/aar/dex/jar)
simplify(Android反混淆工具)
gnirehtet Android网络共享神器(手机网络共享/反向网络共享)
Termux(基于Termux打造Android手机渗透神器)
Andrax(基于Andrax搭建Android手机的渗透测试平台)
unidbg
jni_help(Android so自动化逆向)
Adhrit
baksmali.jar和smali.jar
apktool
XJad
Smali2JavaUI
jadx
JEB
JEB3
GDA
IDA
行动吧,在路上总比一直观望的要好,未来的你肯定会感谢现在拼搏的自己!如果想学习提升找不到资料,没人答疑解惑时, 请及时加入群: 759968159 ,里面有各种测试开发资料和技术可以一起交流哦。
最后:
下方这份完整的软件测试视频教程已经整理上传完成,需要的朋友们可以自行领取
【保证100%免费】
软件测试面试文档
我们学习必然是为了找到高薪的工作,下面这些面试题是来自阿里、腾讯、字节等一线互联网大厂最新的面试资料,并且有字节大佬给出了权威的解答,刷完这一套面试资料相信大家都能找到满意的工作。
