[转]开发者福利:史上最全Android 开发和安全系列工具
取证工具
- 一个Python工具箱,用于分析手机元数据。它提供了一个完整,易于使用的环境,数据科学家分析手机元数据。只需几行代码,加载数据集,可视化数据,执行分析和导出结果。
- (以前称为DMD)是一个可加载内核模块(LKM),它允许从Linux和基于Linux的设备(如Android提供的设备)中获取易失性内存。
开发工具
Android Studio IDE或Eclipse IDE
Android SDK工具
Android 5.0(Lollipop)平台
Android 5.0模拟器系统映像与Google API
静态分析工具
- FindSecurityBugs是FindBugs的扩展,包括Java应用程序的安全规则。它会找到加密问题以及Android的具体问题。
- Android lint工具是一个静态代码分析工具,检查您的Android项目源文件的潜在错误和优化改进正确性,安全性,性能,可用性,可访问性和国际化。
- smali / baksmali是dalvik使用的dex格式的汇编/反汇编器,Android的Java VM实现。
动态分析工具
- Cuckoo Sandbox的扩展,CuckooDroid带来了执行和分析Android应用程序到Cuckoo的功能。
- Drozer允许您通过承担应用程序的角色并与Dalvik VM,其他应用程序的IPC端点和基础操作系统交互来搜索应用程序和设备中的安全漏洞。
- Inspeckage是一个为Android应用程序提供动态分析的工具。通过应用hook到Android API的功能,Inspeckage将帮助您了解Android应用程序在运行时做什么。
逆向工程工具
- dextra实用程序开始了它的生命,作为AOSP的dexdump和dx - dump的替代品,两者都相当基本,并产生丰富,但非结构化的输出。除了支持所有的功能,它还支持各种输出模式,特定类,方法和字段查找,以及确定静态字段值。我更新了它以支持ART
- Enjarify是一个工具,用于将Dalvik字节码转换为等效的Java字节码。这允许Java分析工具分析Android应用程序。
- Lobotomy是一个Android安全工具包,将自动执行不同的Android评估和逆向工程任务。Lobotomy工具包的目标是提供一个控制台环境,允许用户加载其目标Android APK一次,然后拥有所有必要的工具,而不需要退出该环境。1.2版本将保持开源。
- Strongdb是一个用Python编写的gdb插件,用于帮助调试Android Native程序。主要代码使用gdb Python API。
hooking工具
在线分析
- Android Observatory是一个面向大量Android应用程序存储库的Web界面。它允许用户搜索或浏览成千上万的Android应用程序,并检索这些应用程序的原数据。
- Akana是一个在线Android应用程序Interactive Analysis Enviroment(IAE),它结合一些插件来检查恶意应用程序。
Android测试分发
- 基于Ubuntu Mate的Android安全虚拟机。它包括来自不同安全专家的最新框架,教程和实验室的集合,以及用于逆向工程和恶意软件分析的研究人员
- 一个便携式软件包为Android Pentesting和一个真棒的替代现有的虚拟机。它是Android应用安全评估,Android Forensics,Android恶意软件分析所需的所有工具的一站式答案。
- ShadowOS是一款由Fortify on Demand设计的免费工具,可帮助安全和QA团队测试Android应用程序的安全漏洞。它是一个基于KitKat的自定义操作系统,它拦截设备操作的特定区域,并使安全漏洞的测试应用程序更容易。
Android Vulnerable应用程序
Android安全应用框架
- 它是一个用于检测IMSI-Catchers的应用程序。IMSI捕获器是在目标移动电话和服务提供商的真实塔之间起作用的假移动塔(基站)。因此,他们被认为是中间人(MITM)攻击。在美国,IMSI捕捉器技术被称为“StingRay”。
- 本着开放数据收集的精神,并在社区的帮助下,让我们对Android安全状态的一个脉搏。NowSecure提供了一个设备上的应用程序来测试最近的设备漏洞。
- Kali Linux NetHunter项目是第一个用于Nexus设备的开源Android渗透测试平台。NetHunter支持无线802.11帧注入,一键式MANA Evil接入点设置,HID键盘(Teensy类攻击)以及BadUSB MITM攻击,并且建立在Kali Linux发行版和工具集的坚固肩膀上。
- Koodous是一个协作平台,将在线分析工具的功能与分析人员之间的社交互动相结合,通过一个庞大的APK存储库,专注于检测Android应用程序中的欺诈模式。您可以下载他们的Android应用程式,检查您的装置是否包含任何可疑应用程式。
应用程序安全框架
- AndroBugs框架是一个Android漏洞分析系统,可帮助开发人员或黑客在Android应用程序中发现潜在的安全漏洞。其命令行界面和输出提供了极高的效率和精度。
- AppMon是一个运行时安全测试和分析框架macOS,iOS和Android应用程序。对于移动渗透测试人员来说,通过在运行时检查API调用来验证源代码扫描器的安全问题报告,来验证安全问题报告是非常有用的。还可用于监控应用程序的整体活动,并专注于看起来可疑的事情,例如数据泄露,凭据,令牌等。您可以使用预定义的脚本或者编写自己的在运行时修改应用程序的功能/逻辑,例如欺骗DeviceID ,欺骗GPS坐标,伪造应用内购买,绕过苹果的TouchID等。
- App-Ray查看您的应用程序,并帮助您了解他们真正做什么。在全自动测试中,App-Ray分析应用程序并突出显示漏洞,数据泄露和隐私泄露。
- 移动安全框架是一个智能的,一体化的开源移动应用程序(Android / iOS)自动笔测试框架,能够执行静态和动态分析。
- 快速Android审查工具包 - 此工具旨在寻找几个安全相关的Android应用程序漏洞,无论是在源代码或打包APK。该工具还能够创建“概念验证”部署APK和/或ADB命令,能够利用它发现的许多漏洞。没有必要根植测试设备,因为此工具侧重于在其他安全条件下可以利用的漏洞。
Android Malwares相关
教程
Android漏洞列表
Android安全库
最佳实践
本文聚安全授权转载,原作者:lyxw,原文出处:
更多移动安全类技术文章,请持续关注阿里聚安全的安全专栏,或访问阿里聚安全博客
发布评论
热门评论区: