Inspeckage，安卓动态分析工具

From：安卓分析工具 Inspeckage 介绍：http://xdxd.love/2016/08/09/安卓分析辅助工具Inspeckage介绍/

PJ 微信数据库并查询数据上传服务器：http://blog.csdn.net/qq_35834055

https://github.com/1998lixin/WeChat-database/tree/dev

安卓 Hacking Part ( 1 - 24 )：https://www.anquanke.com/post/id/85839

Inspeckage 简介

Inspeckage (Package Inspector)是一个简单的应用程序（apk），也是一个用来动态分析安卓 app 的 xposed 模块。通过一个内部的 HTTP 服务器提供友好的网页界面，作为 Xposed 框架模块。用户可以在没有 Xposed 的情况下运行，但是 80% 的功能都是依赖于 Xposed 框架，所以建议在测试环境/设备中安装该框架。

可以参考：Inspeckage - Android Package Inspector：https://github.com/ac-pm/Inspeckage

Inspeckage 在 Android 设备上运行：

安装完 Xposed Installer 后，可以在 xposed 的 " 下载 " 里面搜索 " Inspeckage " 关键字，就可以找到 Inspeckage

点击，跳转到 Inspeckage 信息页面，点击 "版本" ---> "安装"，即可安装 Inspeckage，安装完需要重启模拟器。

可以在桌面上看到 inspeckage 的图标，在 choose target 下拉列表中选择要分析的 app，这里选择 " 识货.apk "

识货.apk 下载地址：https://www.wandoujia.com/apps/5780453

然后在电脑的 terminal 中执行 " 端口转发 " 命令：adb forward tcp:8008 tcp:8008

( 如果有多个设备时，使用 adb devices 查看设备，再使用 -s 指定要连接的设备)

转发电脑的 8008 端口到手机的 8008 端口。

在电脑上访问 http://127.0.0.1:8008 就可以看到 inspeckage 的 web 界面了。

点击页面，开启实时更新为 on，然后在模拟器中点击 LAUNCH APP，在页面中刷新就可以看到数据了。动态刷新开关打开，webserver就会加载手机端的所有数据。（这个开关并不是控制手机端工具的开关，仅仅是webserver是否动态刷新数据的开关。查看数据时，可以关闭动态刷新，否则展开数据会不断的被收起，无法正常查看）

(如果 web 页面没有输出结果，查看 APP is running 是否为 true，Logcat 左边分那个自动刷新按钮是否开启)

页面功能说明

如图所示，inspeckage 提供了对所分析 apk 的一些基本信息，提供直接下载 apk 到电脑，截图手机屏幕等辅助功能，最核心的功能是监控 share preferences，加解密函数的使用，http 访问等。下面一一分析。

设置

使用 logcat 功能需要先转发端口到本地：adb forward tcp:8887 tcp:8887

点击 start，再点 connect 就可以在网页中实时查看该 app 的 logcat 输出。

Tree view 按钮可以实时浏览 app 的数据目录并直接下载文件到本地。

如果采用 inspeckage 来分析的话，直接在 crypto 记录中就可以看到。

（ 识货.apk 的 6.23.1 版本有个函数在 so 里面 ）

由于这个apk 采用的 md5 方法是写在 so 中的，所以 inspeckage 的 hash 记录中并没有相关的记录。这个可以采用 hook 自定义函数的方式来解决。

反编译 apk，找到调用 so 的方法为 getPart2，同理其实也可以手动 hook 住 getPart1。

设置好 hook 的方法后，重启 app 生效。

在 hook 的记录中可以看到 getPart2 的返回值。Inspeckage 在动态分析 apk 的过程可以快速获得一些信息，节省分析的时间。

功能

使用 Inspeckage，用户可以获取大量关于应用程序行为的信息：

模块说明

Logcat 实时查看该app的logcat输出
Tree View 可以实时浏览app的数据目录并直接下载文件到本地
Package Information 应用基本信息（组件信息、权限信息、共享库信息）
Shared Preferences LOG：app XML文件读写记录；Files：具体XML写入内容
Serialization 反序列化记录
Crypto 常见加解密记录（KEY、IV值）
Hash 常见的哈希算法记录
SQLite SQLite数据库操作记录
HTTP HTTP网络请求记录
File System 文件读写记录
Misc. 调用Clipboard,URL.Parse()记录
WebView 调用webview内容
IPC 进程之间通信记录
+Hooks 运行过程中用户自定义Hook记录

1、信息收集

获取APP基本信息（如上图所示）

【1】权限：请求权限（Requested Permissions）、自定义权限（APP Permissions）

【2】组件：导出和非导出的组件（Activity、Service、Broadcast Receiver、Content Provider）

【3】共享库（Shared Libraries）

【4】标志位：Debuggable，Allow Backup

【5】其他：UID，GIDs，Package等

l 请求权限

l App权限

l 共享库

l 导出和非导出的Activity，内容提供其，广播接收器和服务

l 检查该应用程序是否可调式

l 版本，UID和GID

2、Hooks

使用 Hooks，用户可以实时查看应用程序的行为：

【1】Shared Preferences（日志和文件）

【2】Serialization（序列化）

【3】Crypto（加密）、Hash

【4】SQLite数据库

【5】HTTP、WebView、IPC等

【6】Hooks（自定义HOOK）

l 共享首选项（日志和文件）

l 序列化

l 加密

l 哈希表

l SQLite数据库

l HTTP（HTTP代理工具是最好的选择）

l 杂项（剪贴板，URL.Parse()）

l WebView

l IPC

使用 Logcat 查看日志的功能，需要先转发 8887 端口到本地：

点击 Start，再点 connect 就可以在网页中实时查看 app 的 logcat 输出

+Hooks 模块中，可对被测 APP 进行 hook，很方便。

3、其他操作

使用 Xposed，用户可以执行一系列操作，例如开启非输出的Activity：

l 开启任意Activity（输出和非输出）

l 调用提供器（输出和非输出）

l 禁用FLAG_SECURE

l 取消SSL选项

l 开启、停止或重启应用程序

4、附加部分

l APK下载

l 查看应用程序的目录树

l 下载应用程序的文件

l 下载hooks生成的文本文件格式的输出

l 屏幕截图

5、配置

设置选项中，提供了ssl uncheck，设置代理等。经过测试发现 SSL uncheck 效果一般。https 流量依然很多抓不到。

尽管该工具有一些连接 HTTP 库的 hooks，使用外部代理工具仍然是分析应用程序流量的最好的选择。

在 Inspeckage 中，用户可以：

l 添加连接目标应用的代理

l 启用和禁用代理

l 在ARP表中添加条目