逆向分析dex的话,个人还是比较中意VTS,JEB(穷人买不起),IDA等。之前有尝试使用过androguard,感觉还是不咋习惯,虽然基于其基础上演变的一些项目挺有吸引力。不过作为项目的基础,androguard确实再适合不过了。至少静态分析很多功能直接调用或者在其上修改效果倒是事半功倍。也正因为这个目的,才有了第二篇体验。
其实官网的wiki写的很详细了,包括一些使用方法,api参考,都挺丰富的。但是官网提供的demo不多,我觉得通过对androlyze.py的一些常见功能的使用,可以帮助我们完善程序demo。这一篇主要内容正是介绍androlyze.py的一些使用样例,官网 wiki http://code.google.com/p/androguard/wiki/RE
这次采用的样本还是之前第一篇分析的。这次借助分析触发sendsms的条件作为例子,记录一下关于androlyze.py部分的一些常用函数。
首先,./androlyze.py -s 进入交互分析界面
1. apk, d, dx = AnalyzeAPK("./sampleapk/ee6bcd35c.apk",decompiler="dad") 开启分析模式吧,接着先查看对应apk使用了哪些权限,可以采用 apk.get_permissions() 获取权限
2.知道可能使用的权限之后,我们接下来看看对应权限时候有使用吧,这时候可以用 show_Permissions(dx) 查看对应权限的使用点
内容比较多,我就列出SENDSMS的部分
根据输出我们可以知道,Lcom/zsh/RegService;
->sendSms()V 是对应SEND_SMS权限使用点。
3.这时候可以使用d.CLASS_Lcom_zsh_RegService.METHOD_sendSms.source() 查看对应源代码,确实使用了发短信的函数。
4.接下来我们就要根据这个使用点找到之前的调用点,一步一步回溯找到触发这个时间的入口点可以使用 d.CLASS_Lcom_zsh_RegService.METHOD_sendSms.show_xref() 查找这个函数的调用关系,有的步骤直接省略了,组后找到是由MainTask线程触发的。
那么最后是那个函数调用了这个线程呢,由于这是了run,写过代码都知道,一般是创建了线程对象之后,start开始的,这是后run才启用,那么我们就找一下创建该线程对象的调用点吧。
确定了是由这个服务的回调产生的,那么确定一下这个类是不是真的是服务吧。
这么一条命令可以查看对应的类信息。可以看出确实是继承Service的。
5.走到这一步了,剩下就是考虑是那个intent触发这个service的,从androidmenifest开始吧,使用命令,可以通过 x = apk.xml xml = x['AndroidManifest.xml'] 以及
In [109]: for e in xml.getElementsByTagName('service'):
.....: print e.toxml() 获取service信息
6.可以想象会有一个intent,他的action为com.zsh.action.regservice,那么我们就开始查找对应的字符串引用吧 z = dx.tainted_variables.get_string('com.zsh.action.regservice')
7.最后我们发现 apk.get_main_activity() 正是入口
【【Android安全】|开源静态分析工具androguard体验(二)】 那么我们关于这个程序的短息调用路径大致摸清楚了~
推荐阅读
- android安全工具集|apktool + smali + dex2jar + jdgui实现apk反编译
- 动手打造Android7.0以上的注入工具
- 【Android安全】|Cydiasubstrate modules 简单编程之Java Hook 心得篇