一堆黑客工具集合分享!
文章來(lái)源:?重生信息安全,侵刪
Android安全測(cè)試更多地被安全行業(yè)用來(lái)測(cè)試Android應(yīng)用程序中的漏洞。下面將列舉全面的Android滲透測(cè)試工具和資源列表,其涵蓋了在Android移動(dòng)設(shè)備中執(zhí)行滲透測(cè)試各方面操作。
一、在線分析工具
1.AndroTotal
2.Tracedroid
3.Visual Threat
4.Mobile Malware Sandbox
5.Appknox?-?收費(fèi)
6.IBM Security AppScan Mobile Analyzer?-?收費(fèi)
7.NVISO ApkScan
8.AVC UnDroid
9.habo?- 10/day
10.Virustotal?-?最大128MB
11.Fraunhofer App-ray?-?收費(fèi)
12.AppCritique?-?上傳Android?APK并進(jìn)行免費(fèi)的安全評(píng)估
13.NowSecure Lab Automated?–?對(duì)于Android和iOS移動(dòng)應(yīng)用程序進(jìn)行安全測(cè)試,該工具可以自動(dòng)對(duì)上傳的軟件進(jìn)行靜態(tài)和動(dòng)態(tài)分析并返回掃描結(jié)果;收費(fèi)
二、靜態(tài)分析工具
1.Androwarn?–?檢測(cè)并警告用戶有關(guān)Android應(yīng)用程序開(kāi)發(fā)的潛在惡意行為
2.ApkAnalyser
3.APKInspector
4.Droid Intent Data Flow Analysis for Information Leakage
5.DroidLegacy
6.Several tools from PSU
7.Smali CFG generator
8.FlowDroid
9.Android Decompiler?–?收費(fèi)
10.PSCout?–?使用靜態(tài)分析從Android源碼中提取ACL
11.Amandroid
12.SmaliSCA?– Smali?靜態(tài)代碼分析
13.CFGScanDroid?–?掃描并比較CFG與惡意程序的CFG
14.Madrolyzer?–?提取敏感的數(shù)據(jù),例如:C&C、電話等
15.SPARTA?–?驗(yàn)證應(yīng)用程序滿足信息安全策略
16.ConDroid?–?執(zhí)行符號(hào)+具體執(zhí)行的組合
17.DroidRA
18.RiskInDroid?–?一種用于根據(jù)Android應(yīng)用程序ACL并檢測(cè)其風(fēng)險(xiǎn)的工具,提供在線演示
19.SUPER?–?安全、統(tǒng)一、功能強(qiáng)大且可擴(kuò)展的分析工具
20.ClassyShark?–?獨(dú)立的二進(jìn)制檢查工具,可以瀏覽任何Android可執(zhí)行文件并顯示重要信息
三、Android漏洞掃描工具
1.QARK?– LinkedIn的QARK是為應(yīng)用程序開(kāi)發(fā)人員掃描應(yīng)用程序的安全問(wèn)題
2.AndroBugs
3.Nogotofail
4.Devknox?– 自動(dòng)糾正Android的安全問(wèn)題
5.JAADAS?– 程序內(nèi)和程序間聯(lián)合程序分析工具,可基于Soot和Scala查找Android應(yīng)用程序中的漏洞
四、動(dòng)態(tài)分析工具
1.Android DBI framework
2.Androl4b–?用于評(píng)估Android應(yīng)用程序、逆向工程和惡意軟件分析的虛擬機(jī)
3.Android Malware Analysis Toolkit
4.Mobile-Security-Framework MobSF?–?自動(dòng)測(cè)試框架,能夠執(zhí)行靜態(tài)、動(dòng)態(tài)分析和Web?API測(cè)試
5.AppUse
6.Cobradroid?–?可以用于惡意軟件的分析和自定義畫(huà)像
7.Droidbox
8.Drozer
9.Xposed
10.Inspeckage
11.Android Hooker?–?動(dòng)態(tài)Java代碼檢測(cè)
12.ProbeDroid?–?動(dòng)態(tài)Java代碼檢測(cè)
13.Android Tamer
14.DECAF
15.CuckooDroid
16.Mem
17.Crowdroid
18.AuditdAndroid
19.AndroidSecurity Evaluation Framework
20.Android Reverse Engineering
21.Aurasium
22.Android Linux Kernel modules
23.Appie
24.StaDynA
25.DroidAnalytics
26.Vezir Project
27.MARA
28.Taintdroid?–?需要AOSP編譯
五、逆向工具
1.Smali/Baksmali?–?APK反編譯
2.emacs syntax coloring for smali files
3.vim syntax coloring for smali files
4.AndBug
5.Androguard?–?功能強(qiáng)大,并且可與其他工具很好的集成
6.Apktool
7.Android Framework for Exploitation
8.Bypass signature and permission checks for IPCs
9.Android OpenDebug
10.Dare?–?將.dex?轉(zhuǎn)換為?.class
11.Dex2Jar?–?將.dex?轉(zhuǎn)換為?.class
12.Enjarify?–?將.dex?轉(zhuǎn)換為?.class(Chrome)
13.Dedexer
14.Fino
15.Frida?–?GUI圖形化
16.Indroid
17.IntentSniffer
18.Introspy
19.Jad?– Java?反編譯
20.JD-GUI?– Java?反編譯
21.CFR?– Java?反編譯
22.Krakatau?– Java?反編譯
23.Procyon?– Java?反編譯
24.FernFlower?– Java?反編譯
25.Redexer
26.Smali viewer
27.Simplify Android deobfuscator
28.Bytecode viewer
29.Radare2
六、模糊測(cè)試工具
1.IntentFuzzer
2.Radamsa Fuzzer
3.Honggfuzz
4.An Android port of the melkor ELF fuzzer
5.Media Fuzzing Framework for Android
6.AndroFuzz
七、應(yīng)用包裝檢測(cè)工具
FSquaDRA?– a Android Security tool for detection of repackaged Android applications based on app resources hash comparison.
八、下載市場(chǎng)爬蟲(chóng)
1.Google play crawler (Java)
2.Google play crawler (Python)
3.Google play crawler (Node)?–?獲取應(yīng)用程序詳細(xì)信息并從官方Google?Play商店下載應(yīng)用程序
4.Aptoide downloader (Node)?–?從Aptoide第三方Android市場(chǎng)下載應(yīng)用程序
5.Appland downloader (Node)?–?從Apland第三方Android市場(chǎng)下載應(yīng)用程序
九、雜項(xiàng)工具
1.smalihook
2.APK-Downloader
3.AXMLPrinter2?–?將二進(jìn)制XML文件轉(zhuǎn)換為可讀的XML文件
4.adb autocomplete
5.Dalvik opcodes
6.Opcodes table for quick reference
7.ExploitMe Android Labs
8.GoatDroid
9.mitmproxy
10.dockerfile/androguard
11.Android Vulnerability Test Suite
12.AppMon
十、學(xué)術(shù)、研究、出版物、書(shū)籍
10.1?調(diào)查報(bào)告
1.Exploit Database
2.Androidsecurity related presentations
3.A good collection of static analysis papers
10.2?圖書(shū)
1.SEI CERT Android Secure Coding Standard
10.3?其他
1.OWASP Mobile Security Testing Guide Manual
2.Android Reverse Engineering 101 by Daniele Altomare
3.doridori/Android-Security-Reference
4.android app security checklist
5.Mobile App Pentest Cheat Sheet
十一、開(kāi)發(fā)漏洞利用
11.1?清單
1.AndroidSecurity Bulletins
2.Android’s reported security vulnerabilities
3.Android Devices Security Patch Status
4.AOSP – Issue tracker
5.OWASP Mobile Top 10 2016
6.Exploit Database
7.Vulnerability Google Doc
8.Google AndroidSecurity Team’s Classifications for Potentially Harmful Applications (Malware)
11.2?惡意軟件
1.androguard – Database Android Malwares wiki
2.Android Malware Github repo
3.Android Malware Genome Project?–?包含1260個(gè)惡意樣本
4.Contagio Mobile Malware Mini Dump
5.VirusTotal Malware Intelligence Service
6.Admire
7.Drebin
十二、賞金計(jì)劃
AndroidSecurity Reward Program
十三、如何提交漏洞
1.Android – reporting security issues
2.Android Reports and Resources