移动安全Android——客户端静态安全

一、反编译保护

测试工具

Jadx

GitHub - skylot/jadx: Dex to Java decompiler

PKID

[下载]PKID-APP查壳工具-Android安全-看雪-安全社区|安全招聘|kanxue.com

测试流程

(1)通过Jadx对客户端APK文件进行反编译,观察是否进行代码混淆

(2)使用PKID查看APK是否已经进行加固

二、安装包签名

测试流程

(1)使用Jadx反编译工具查看客户端签名状态,观察红框部分是否为专用签名

三、应用完整性校验

测试工具

apktool

Apktool | Apktool

测试流程

(1)将需要测试的APK文件放到apktool目录下

(2)通过apktool进行反编译,命令执行完成后会在当前目录下生成反编译后的文件夹

java -jar apktool_2.11.1.jar d APK包名
java -jar apktool_2.11.1.jar d xxxxxxxxx.apk

(3)进入反编译后的文件夹,在AndroidManifest.xml文件中检索HTTP,修改任意一个URL的值为www.baidu.com

(4)回到apktool目录下执行命令重新打包修改过的APK文件

java -jar apktool_2.11.1.jar b apk文件夹 -o 将要生成的apk文件名称
java -jar apktool_2.11.1.jar b xxxxxxxxxxx -o xxxxxxxxxxx1.apk

(5)若出现如下报错,删除文件夹下的public.xml文件即可

(6)对重新打包编译的APK文件进行签名

java -jar signapk.jar testkey.x509.pem testkey.pk8 原apk文件名 新apk文件名
java -jar signapk.jar testkey.x509.pem testkey.pk8 xxxxxxxxxx1.apk xxxxxxxxxx2.apk

(7)手机安装并运行重新打包的修改过的APP,如果出现闪退,卡第一屏等无法使用现象则说明应用存在自检校验,处于安全状态。如果能正常运行修改后的APP,则APP应用不满足完整性校验,存在风险。

四、组件导出安全

测试工具

ADB

Windows版本:https://dl.google.com/android/repository/platform-tools-latest-windows.zip
Mac版本:https://dl.google.com/android/repository/platform-tools-latest-windows.zip
Linux版本:https://dl.google.com/android/repository/platform-tools-latest-linux.zip

        adb安装目录下启动CMD窗口,执行adb version查看是否安装成功

drozer安装

GitHub - ReversecLabs/drozer at 3.1.0

(1)下载Github上的项目文件

(2)在drozer-3.1.0-py3-none-any.whl安装目录下启动CMD窗口,执行下面命令会生成三个exe文件,生成的文件并不会出现在当前目录下,需要到C盘python3目录下的scripts文件夹中找到,将其移回drozer文件夹下。

pip install drozer-3.1.0-py3-none-any.whl

drozer-agent安装

Release drozer-agent 3.1.0 · WithSecureLabs/drozer-agent · GitHub

        手机安装下面APK应用

测试流程

(1)手机USB接入电脑,进入开发者模式,打开USB调试模式

 设置——>关于手机/关于本机——>版本信息——>点击版本号6次即可进入开发者模式设置——>开发者选项——>下滑,开启USB调试

(2)adb检查设备连接情况

(3)adb开启监听端口

adb forward tcp:31415 tcp:31415

(4)手机打开drozer-agent监听

(5)Drozer文件夹下开启drozer控制台

drozer console connect

(6)手机运行待测APP后在adb执行以下命令,找到待测APP的包名

adb shell dumpsys activity top|findstr ACTIVITY

(7)Drozer执行命令进行组件导出安全检查,结合AI与网上教程进行可导出组件的调用测试

#查看可导出组件
run app.package.attacksurface 待测APP包名
run app.package.attacksurface 待测APP包名
run app.provider.info -a 待测APP包名
run app.activity.info -a 待测APP包名
run app.service.info -a 待测APP包名
run app.broadcast.info -a 待测APP包名

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.pswp.cn/news/907700.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

04-redis-分布式锁-edisson

04-redis-分布式锁-edisson

1 基本概念 百度百科:控制分布式系统之间同步访问共享资源方式。 在分布式系统中,常常需要协调他们的动作。如果不同的系统或是同一个系统的不同主机之间共享了一个或一组资源,那么访问这些资源的时候,往往需要互斥来防止…
阅读更多...
cf每日刷题

cf每日刷题

目录 String&#xff08;800&#xff09; Skibidus and Amogu&#xff08;800&#xff09; Apples in Boxes&#xff08;1100&#xff09; String&#xff08;800&#xff09; https://codeforces.com/problemset/problem/2062/A #include <iostream> #include <…
阅读更多...
AWS WebRTC:获取ICE服务地址(part 1)

AWS WebRTC:获取ICE服务地址(part 1)

建立WebRTC连接的第二步是获取ICE服务地址。 ICE全称&#xff1a;Interactive Connectivity Establishment&#xff0c;建立互动连接。 ICE 服务地址&#xff0c;主要是 TURN 和 STUN 服务器的地址&#xff0c;用于 WebRTC 在 NAT 网络环境中协商建立连接。 上代码&#xff…
阅读更多...
Python兴趣匹配算法:从理论到实战的进阶指南

Python兴趣匹配算法:从理论到实战的进阶指南

目录 一、兴趣匹配算法的技术栈解析 1. 基础特征匹配阶段 2. 向量空间模型阶段 3. 深度学习阶段 二、工程化实践关键技术 1. 特征工程体系 2. 相似度计算优化 三、典型应用场景实现 1. 社交好友推荐系统 2. 电商商品推荐系统 四、性能优化与挑战应对 1. 计算性能优…
阅读更多...
【C语言】讲解 程序分配的区域(新手)

【C语言】讲解 程序分配的区域(新手)

目录 代码区 数据区 堆区 栈区 常量区 重点比较一下堆区与 栈区 总结&#xff1a; 前言&#xff1a; C语言程序的内存分配区域是理解其运行机制的重要部分。根据提供的多条证据&#xff0c;我们可以总结出C语言程序在运行时主要涉及以下五个关键内存区域&#xff1a; 代…
阅读更多...
Go语言之接口与多态 -《Go语言实战指南》

Go语言之接口与多态 -《Go语言实战指南》

接口是 Go 语言实现 多态 的核心机制。本章将帮助你理解接口的设计哲学、动态行为&#xff0c;以及它如何让 Go 实现面向接口编程的能力。 一、什么是接口&#xff1f; 接口是一组方法签名的集合&#xff0c;任何类型只要实现了接口中声明的所有方法&#xff0c;就被视为实现了…
阅读更多...
JSR 303(即 Bean Validation)是一个通过​​注解在 Java Bean 上定义和执行验证规则​​的规范

JSR 303(即 Bean Validation)是一个通过​​注解在 Java Bean 上定义和执行验证规则​​的规范

&#x1f6e0;️ 一、JSR 303是什么&#xff1f; JSR 303&#xff08;Java Specification Requests 303&#xff09;是Java EE 6的子规范&#xff0c;全称​​Bean Validation​​。它通过注解方式对JavaBean的属性值进行标准化校验&#xff0c;例如检查非空、长度、格式等规则…
阅读更多...
【图像处理入门】3. 几何变换基础:从平移旋转到插值魔法

【图像处理入门】3. 几何变换基础:从平移旋转到插值魔法

摘要 掌握图像的几何变换相当于学会「图像的空间魔法」。本文将带你理解平移/旋转/缩放的数学原理&#xff0c;掌握OpenCV中warpAffine和getAffineTransform的核心用法&#xff0c;对比最近邻、双线性等插值算法的优劣。通过图像翻转、镜像、透视变换实战&#xff0c;学会用变…
阅读更多...
微信小程序学习目录

微信小程序学习目录

个人简介 &#x1f468;‍&#x1f4bb;‍个人主页&#xff1a; 魔术师 &#x1f4d6;学习方向&#xff1a; 主攻前端方向&#xff0c;正逐渐往全栈发展 &#x1f6b4;个人状态&#xff1a; 研发工程师&#xff0c;现效力于政务服务网事业 &#x1f1e8;&#x1f1f3;人生格言&…
阅读更多...
QT 5.15.2 程序中文乱码

QT 5.15.2 程序中文乱码

1. 在.pro文件中添加&#xff1a; msvc { QMAKE_CXXFLAGS /source-charset:utf-8 /execution-charset:utf-8 }备注&#xff1a;.pro文件只有在选择 qmake 方式才会生成。 [Cmake 只会生成 CMakeLists.txt 文件] 2. 在文件首部增加以下程序行 #pragma execution_character_s…
阅读更多...
Unity UI设计优化与模式原则

Unity UI设计优化与模式原则

前言 在 Unity 中设计高效且可维护的 UI 系统时&#xff0c;需要结合性能优化和设计模式两大核心方向。以下是关键原则及实践方法&#xff1a; 对惹&#xff0c;这里有一个游戏开发交流小组&#xff0c;希望大家可以点击进来一起交流一下开发经验呀&#xff01; 一、UI 性能…
阅读更多...
CppCon 2014 学习: The Implementation of Value Types

CppCon 2014 学习: The Implementation of Value Types

“The Implementation of Value Types” 在C里&#xff0c;通常指的是如何设计和实现**值类型&#xff08;value types&#xff09;**的类&#xff0c;确保它们符合值语义&#xff08;value semantics&#xff09;&#xff0c;也就是说&#xff1a; 对象的赋值和拷贝操作应该是…
阅读更多...
每日算法刷题Day19 5.31:leetcode二分答案3道题,用时1h

每日算法刷题Day19 5.31:leetcode二分答案3道题,用时1h

6. 475.供暖器(中等&#xff0c;学习check函数双指针思想) 475. 供暖器 - 力扣&#xff08;LeetCode&#xff09; 思想 1.冬季已经来临。 你的任务是设计一个有固定加热半径的供暖器向所有房屋供暖。在加热器的加热半径范围内的每个房屋都可以获得供暖。现在&#xff0c;给出…
阅读更多...
【计算机网络】第2章:应用层—应用层协议原理

【计算机网络】第2章:应用层—应用层协议原理

目录 1. 网络应用的体系结构 2. 客户-服务器&#xff08;C/S&#xff09;体系结构 3. 对等体&#xff08;P2P&#xff09;体系结构 4. C/S 和 P2P 体系结构的混合体 Napster 即时通信 5. 进程通信 6. 分布式进程通信需要解决的问题 7. 问题1&#xff1a;对进程进行编址…
阅读更多...
PHP+MySQL开发语言 在线下单订水送水小程序源码及搭建指南

PHP+MySQL开发语言 在线下单订水送水小程序源码及搭建指南

随着互联网技术的不断发展&#xff0c;在线下单订水送水服务为人们所需要。分享一款 PHP 和 MySQL 搭建一个功能完善的在线订水送水小程序源码及搭建教程。这个系统将包含用户端和管理端两部分&#xff0c;用户可以在线下单、查询订单状态&#xff0c;管理员可以处理订单、管理…
阅读更多...
vBulletin未认证API方法调用漏洞(CVE-2025-48827)

vBulletin未认证API方法调用漏洞(CVE-2025-48827)

免责声明 本文档所述漏洞详情及复现方法仅限用于合法授权的安全研究和学术教育用途。任何个人或组织不得利用本文内容从事未经许可的渗透测试、网络攻击或其他违法行为。使用者应确保其行为符合相关法律法规,并取得目标系统的明确授权。 对于因不当使用本文信息而造成的任何直…
阅读更多...
计算机模拟分子合成有哪些应用软件?

计算机模拟分子合成有哪些应用软件?

参阅&#xff1a;Top 创新大奖 以下是用于计算机模拟分子合成&#xff08;包括逆合成设计、分子对接、分子动力学模拟及综合设计平台&#xff09;的主流应用软件分类总结&#xff0c;结合其核心功能和应用场景进行整理&#xff1a; &#x1f52c; 一、逆合成设计与路线规划软件…
阅读更多...
Excel 中的SUMIFS用法(基础版),重复项求和

Excel 中的SUMIFS用法(基础版),重复项求和

1. 首先复制筛选条件所在的列&#xff0c;去除重复项目 数据 》重复项 》删除重复项 2. 输入函数公式 SUMIFS(C:C,A:A,E2) 3. 选中单元格&#xff0c;通过 ShiftF3 查看函数参数 第一个参数&#xff1a;求和区域&#xff0c;要累加的值所在的区域范围 第二个参数&#xff1a…
阅读更多...
【xmb】内部文档148344597

【xmb】内部文档148344597

基于小米CyberDog 2的自主导航与视觉感知系统设计报告 摘要&#xff1a; 本文针对2025年全国大学生计算机系统能力大赛智能系统创新设计赛&#xff08;小米杯&#xff09;初赛要求&#xff0c;设计并实现了基于小米仿生四足机器人CyberDog 2的平台系统方案。参赛作品利用Cyber…
阅读更多...
从零开始理解机器学习:知识体系 + 核心术语详解

从零开始理解机器学习:知识体系 + 核心术语详解

你可能听说过“机器学习”&#xff0c;觉得它很神秘&#xff0c;像是让电脑自己学会做事。其实&#xff0c;机器学习的本质很简单&#xff1a;通过数据来自动建立规则&#xff0c;从而完成预测或决策任务。 这篇文章将带你系统梳理机器学习的知识体系&#xff0c;并用贴近生活…
阅读更多...
最新文章

Copyright @ 2022~2023