Android安全测试神器大全
在线分析
1. AndroTotal
2. Tracedroid
3. Visual Threat
4. Mobile Malware Sandbox
5. Appknox – 非免费
6. IBM Security AppScan Mobile Analyzer – 非免费
7. NVISO ApkScan
8. AVC UnDroid
9. habo -非免费
10. Virustotal-max 128MB
11. Fraunhofer App-ray – 非免费
12. AppCritique – 上传Android APK,可以免费进行安全评估
13. NowSecure Lab Automated – 非免费,用于对Android和iOS移动应用程序进行安全性测试的应用程序工具。实验室自动功能可以对云中的真实设备进行动态和静态分析,并在几分钟内返回结果
静态分析工具
1. Androwarn – 检测并警告用户有关Android应用程序开发的潜在恶意行为
2. ApkAnalyser
3. APKInspector
4. Droid Intent Data Flow Analysis for Information Leakage – 分析程序信息泄露
5. DroidLegacy
6. Several tools from PSU
7. Smali CFG generator
8. FlowDroid
9. Android Decompiler – 非免费
10. PSCout – 使用静态分析从Android OS源代码中提取权限规范的工具
11. Amandroid
12. SmaliSCA – Smali静态代码分析
13. CFGScanDroid – 扫描和比较CFG与恶意应用程序的CFG
14. Madrolyzer – 提取可操作的数据,例如C&C,电话号码等
15. SPARTA – 验证应用程序满足信息流安全策略
16. ConDroid – 执行符号+具体执行的组合
17. DroidRA
18. RiskInDroid– 一种用于根据Android应用的权限计算其风险的工具,并提供在线演示
19. SUPER – 安全,统一,功能强大且可扩展的Rust Android分析仪
20. ClassyShark – 独立的二进制检查工具,可以浏览任何Android可执行文件并显示重要信息
Android安全性(应用漏洞扫描程序)
1. QARK – Linkdeln的QARK供应用程序开发人员扫描应用程序是否存在安全问题
2. AndroBugs
3. Nogotofail
4. Devknox – 自动更正Android安全性问题,就像通过IDE进行拼写检查一样
5. JAADAS – 程序内和程序间联合程序分析工具,可在Soot和Scala的基础上找到Android应用程序中的漏洞
动态分析工具
1. Android DBI framework
2. Androl4b – 用于评估Android应用程序,逆向工程和恶意软件分析的虚拟机
3. Android Malware Analysis Toolkit – (Linux发行版)更早以前是 在线分析器
4. Mobile-Security-Framework MobSF – 移动安全框架是一种智能的,多合一的开源移动应用程序(Android / iOS)自动化测试框架,能够执行静态,动态分析和Web API测试
5. AppUse – 用于渗透测试的自定义构建
6. Cobradroid – 用于恶意软件分析的自定义映像
7. Droidbox
8. Drozer
9. Xposed – 等同于执行基于存根的代码注入,但不对二进制文件进行任何修改
10. Inspeckage – Android Package Inspector –具有api挂钩的动态分析,启动未导出的活动等。(放置模块)
11. Android Hooker – 动态Java代码检测(需要Substrate框架)
12. ProbeDroid – 动态Java代码检测
13. Android Tamer – 适用于Android安全专业人员的虚拟/实时平台
14. DECAF – 基于QEMU的动态可执行代码分析框架(DroidScope现在是DECAF的扩展)
15. CuckooDroid – Cuckoo沙箱的Android扩展
16. Mem – Android安全性的内存分析(需要root)
17. Crowdroid –无法找到实际工具
18. AuditdAndroid – 已审计的 android端口,不再处于活动开发中
19. AndroidSecurity Evaluation Framework – 不再处于积极开发中
20. Android Reverse Engineering – ARE(Android逆向工程)不再处于积极开发中
21. Aurasium – 通过字节码重写和就地参考监视器为Android应用程序实施实用的安全策略
22. Android Linux Kernel modules
23. Appie – Appie是已预先配置为可作为Android Pentesting环境使用的软件包。它完全可移植,可在USB记忆棒或智能手机上携带。这是Android应用程序所需的所有工具的一站式解决方案安全评估和现有虚拟机的绝佳替代品
24. StaDynA – 在存在动态代码更新功能(动态类加载和反射)的情况下支持安全应用程序分析的系统。该工具结合了Android应用程序的静态和动态分析,以揭示隐藏/更新的行为,并使用此信息扩展静态分析结果
25. DroidAnalytics – 不完整
26. Vezir Project – 用于移动应用程序渗透测试和移动恶意软件分析的虚拟机;
27. MARA – 移动应用程序逆向工程和分析框架
28. Taintdroid – 需要AOSP编译
逆向工程
1. Smali/Baksmali – APK反编译
2. emacs syntax coloring for smali files
3. vim syntax coloring for smali files
4. AndBug
5. Androguard – 功能强大,可与其他工具很好地集成
6. Apktool – 对编译/反编译非常有用(使用smali)
7. Android Framework for Exploitation
8. Bypass signature and permission checks for IPCs
9. Android OpenDebug – 使设备上的任何应用程序都可调试(使用cydia基板)
10. Dare – .dex到.class转换器
11. Dex2Jar – dex到jar转换器
12. Enjarify – Google的dex到jar转换器
13. Dedexer
14. Fino
15. Frida – 注入JavaScript来探索应用程序和 针对它的 GUI工具
16. Indroid – 螺纹注射套件
17. IntentSniffer
18. Introspy
19. Jad – Java反编译器
20. JD-GUI – Java反编译器
21. CFR – Java反编译器
22. Krakatau – Java反编译器
23. Procyon – Java反编译器
24. FernFlower – Java反编译器
25. Redexer – APK操作
26. Smali viewer
27. Simplify Android deobfuscator
28. Bytecode viewer
29. Radare2
模糊测试
1. IntentFuzzer
2. Radamsa Fuzzer
3. Honggfuzz
4. An Android port of the melkor ELF fuzzer
5. Media Fuzzing Framework for Android
6. AndroFuzz
应用重新包装检测器
1. FSquaDRA – 一种Android安全工具,用于根据应用程序资源哈希比较检测重新打包的Android应用程序
爬虫
1. Google play crawler (Java)
2. Google play crawler (Python)
3. Google play crawler (Node)– 获取应用程序详细信息并从官方Google Play商店下载应用程序
4. Aptoide downloader (Node) – 从Aptoide第三方Android市场下载应用程序
5. Appland downloader (Node) – 从Aptoide第三方Android市场下载应用程序
杂项工具
1. smalihook
2. APK-Downloader
3. AXMLPrinter2 – 将二进制XML文件转换为人类可读的XML文件
4. adb autocomplete
5. Dalvik opcodes
6. Opcodes table for quick reference
7. ExploitMe Android Labs – 练习
8. GoatDroid – 练习
9. mitmproxy
10. dockerfile/androguard
11. Android Vulnerability Test Suite – android-vts扫描设备中的漏洞集
12. AppMon –AppMon是一个自动框架,用于监视和篡改本机macOS,iOS和android应用程序的系统API调用。它基于Frida
学术/研究/出版物/书籍
Android软件安全与逆向分析
Android恶意代码分析与渗透测试
Android安全技术揭秘与防范
Android软件安全权威指南
Android应用安全测试与防护
Android应用安全防护和逆向分析
Android软件安全攻防实例分析
Android安全攻防实践
Android安全攻防权威指南
调查报告
1. Exploit Database
2. Androidsecurity related presentations
3. A good collection of static analysis papers
图书
1. SEI CERT Android Secure Coding Standard
其他
1. OWASP Mobile Security Testing Guide Manual
2. Android Reverse Engineering 101 by Daniele Altomare
3. doridori/Android-Security-Reference
4. android app security checklist
5. Mobile App Pentest Cheat Sheet
开发/漏洞
清单
1. AndroidSecurity Bulletins
2. Android’s reported security vulnerabilities
3. Android Devices Security Patch Status
4. AOSP – Issue tracker
5. OWASP Mobile Top 10 2016
6. Exploit Database –单击搜索
7. Vulnerability Google Doc
8. Google AndroidSecurity Team’s Classifications for Potentially Harmful Applications (Malware)
恶意软件
1. androguard – Database Android Malwares wiki
2. Android Malware Github repo
3. Android Malware Genome Project –包含1260个恶意软件样本,这些样本分为49个不同的恶意软件家族,可免费用于研究目的
4. Contagio Mobile Malware Mini Dump
5. VirusTotal Malware Intelligence Service –由VirusTotal提供支持,非免费
6. Admire
7. Drebin
赏金计划
1. AndroidSecurity Reward Program
如何举报
1. Android – reporting security issues
2. Android Reports and Resources – Android Hackerone披露的报告和其他资源列表
classyshark(图形化界面的反编译工具)
java -jar classyshark.jar
https://github.com/google/android-classyshark/releases
enjarify(反编译工具)
https://github.com/google/enjarify
AndroidSec(合并多个dex)
https://github.com/Simp1er/AndroidSec
TTDeDroid(一键反编译apk/aar/dex/jar)
https://github.com/tp7309/TTDeDroid
simplify(Android反混淆工具)
https://github.com/CalebFenton/simplify
gnirehtet Android网络共享神器(手机网络共享/反向网络共享)
https://github.com/Genymobile/gnirehtet
Termux(基于Termux打造Android手机渗透神器)
https://github.com/Cabbagec/termux-ohmyzsh
Andrax(基于Andrax搭建Android手机的渗透测试平台)
https://andrax.thecrackertechnology.com/
https://andrax.thecrackertechnology.com/download/
https://gitee.com/marplutox/ANDRAX-Mobile-Pentest
https://gitlab.com/crk-mythical/andrax-hackers-platform-v5/
https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet
https://andrax.thecrackertechnology.com/documentation/remote-control-andrax/
unidbg
https://github.com/zhkl0228/unidbg
jni_help(Android so自动化逆向)
https://github.com/feicong/jni_help
Adhrit
https://github.com/abhi-r3v0/Adhrit
baksmali.jar和smali.jar
https://bitbucket.org/JesusFreke/smali/downloads/
apktool
https://bitbucket.org/iBotPeaches/apktool/downloads/
XJad
https://www.lanzous.com/i2vvdvi
Smali2JavaUI
https://forum.xda-developers.com/showthread.php?t=2430413
jadx
https://github.com/skylot/jadx/releases
JEB
https://www.pnfsoftware.com/
JEB3
https://www.pnfsoftware.com/blog/jeb3-alpha-is-available/
https://www.pnfsoftware.com/blog/category/jeb3/
GDA
http://www.gda.wiki:9090/
IDA
https://www.hex-rays.com/products/ida/news/
https://www.hex-rays.com/products/ida/
https://ida2020.org/
https://github.com/tanprathan/MobileApp-Pentest-Cheatsheet
关注公众号,获取更多最新文章
Android安全测试神器大全相关推荐
- android app 渗透测试,android app渗透测试方法大全.pdf
Android APP 渗透测试方法大全 by backlion 一.Android APP 渗透测试方法 1.测试环境 SDK : J a JDK , Android SDK. 工具: 7zip, ...
- android维修手机,还能修手机烧屏?安卓手机屏幕测试神器
本帖最后由 QZC0607 于 2015-9-2 16:23 编辑 还能修手机烧屏?安卓手机屏幕测试神器 屏幕是手机的面子,也是用户面对手机最多的部件.但偏偏,手机屏幕也是厂商品控最差的部件之一,很多 ...
- Android通用流行框架大全
Android通用流行框架大全 1. 缓存 名称 描述 DiskLruCache Java实现基于LRU的磁盘缓存 2.图片加载 名称 描述 Android Universal Image Loade ...
- Android手机隐藏命令大全
Android手机隐藏命令大全,用之前要考 虑清楚尤其是涉及到格式化或者恢复出厂设 置类的! 注意:因Android版本较多,固有部分隐 藏命令或不能使用(笔者用HTC legend测试 发现部分命令 ...
- Android 基本测试工具的使用
Android 基本测试工具的使用和无线学习介绍 1,日志查看工具 1)DDMS Android测试中,使用最多的日志查看工具就是DDMS了. ddms可以从两个地方打开,1,Eclipse的的ddm ...
- Android Manifest 权限描述大全
文章转自:http://www.bejson.com/doc/AndroidManifest/ Android Manifest 权限描述大全 安卓猿可以方便的查看安卓权限描述功能 权限 名称 描述 ...
- 一款超级给力的弱网测试神器—Qnet(附视频)
一.APP弱网测试背景 App在使用的过程中,难免会遇到不同的弱网络环境,像在公车上.在地铁.地下车库等.在这种情况下,手机常常会出现网络抖动.上行或下行超时,导致APP应用中出现丢包延迟,从而影响用 ...
- Android之手机指令大全
Android之手机指令大全 注:拨号界面输入对应内容有惊喜 1.魅族手机高级指令 *#*#4636#*#* - 显示手机信息.电池信息.电池记录.使用统计数据.WiFi 信息 *#*#7780#*# ...
- Android手机应用接口大全
Android手机应用接口大全 Android Socket Google C C++ 显示网页: 1. Uri uri = Uri.parse("http://www.google.co ...
最新文章
- 总编下午茶:挑战者心态能否帮助微软重回云计算巅峰?
- javascript之回调函数小知识
- 购房占比47.54%,数据揭秘女性偏爱婚前买房背后原因
- 机器学习模型在携程海外酒店推荐场景中的应用
- redis 哨兵 异步_突破Java面试(23-8) - Redis哨兵主备切换的数据丢失问题-阿里云开发者社区...
- sass玩转颜色总结笔记
- 【java】JVM Attach机制实现与jstack使用(jvm参数DisableAttachMechanism)
- Linux中把程序添加到系统服务中
- 手机屏碎了,怎样辨别是外屏坏还是内屏坏,看完这篇文章就明白了
- gre填空高频词汇整理
- 马歇尔·卢森堡《非暴力沟通》——备忘
- 高斯(Gaussian)拟合的实现
- 找不到msvcr100.dll怎么办?三种方法教你
- 张健和他的Fcoin
- hevc_nvenc 详细分析2 ——preset分析
- css样式表诞生,[css]简明教程 CSS样式表概述
- SQL注入漏洞攻守之道
- terminate called after throwing an instance of 'std::cad_alloc' what():std::bad_alloc
- 【毕业设计】大数据疫情可视化分析系统 - python
- Comsys学生比赛管理系统