Android逆向工程101 – Part 5

Posted by 江湖迈杰的博客 on January 17, 2016

到目前为止,在之前关于Android逆向工程的介绍中,我们已经知道了APK文件的格式,如何使用使用AAPT提取应用程序中和Android SDK相关的有用信息,如何将DEX字节码转化成更具可读性、易于编辑的格式以及如何反编译和修改Android应用程序的源代码和资源

本文是这个系列的最后一篇文章,我们将介绍Androguard,一个可以处理Android文件的python工具

根据官网的介绍,Androguard 可以做以下几件事:

  • DEX, ODEX
  • APK
  • Android二进制格式的xml文件
  • Android 资源
  • 反汇编 DEX/ODEX 字节码
  • DEX/ODEX文件的反编译

Androguard的功能是相当出色的,Github上的介绍并不完整,可以在这里找到更为全面的介绍。

Androguard 可用于Linux,OS X,Windows等平台

安装

项目以前的主页,详细介绍了安装过程,而GitHub上的文档不提供任何更新的信息。

需要注意的是我们的机器上要安装了Python(2.6或更高版本),这用于反编译/反汇编APK文件。对于更高级的功能,它是需要安装其它模块:在安装页面上,我们可以找到关于各模块的需要的简要说明。

注意在Androguard文件夹中运行如下命令:

sudo python setup.py install

在安装好以后,我们可以直接在 Androguard 的主文件夹下运行这些工具。

如果机器的操作系统是Windows,建议在 ARE-Android Reverse Engineering virtual machine(还包含有其他的逆向工程工具) 上运行 Androguard:关于程序的下载和安装相关介绍可以在官方wiki页面找到。我们只需要使用VirtualBox运行这个镜像就行了。

文章中所有的例子使用的 Androguard 的版本都是 2.0 。它可以在这里直接下载,也可以在stable releases页面中选择另一个版本。

要做的第一件事,就是检查我们的安装是否正常,所以让我们需要加入 Androguard 的主文件夹,然后输入以下命令:

androlyze.py -s

我们将看到下面这个输出:

这是一个交互式的命令行,正在等待输入.

在分析时,我们需要设置apk文件以及反编译的类型。事实上,有3个不同的反编译类型:DADDEDdex2jar + JED。具体介绍请看这里。在下面的例子中,我们使用的是DAD,因为它是默认的反编译类型,所以无需额外的配置。

a,d,dx = AnalyzeAPK("FILENAME.apk", decompiler="dad")`

反编译一个程序的时间取决于具体的apk文件:当程序完成后,我们就可以根据提示运行其他命令。

现在,我们可以输入a.,然后按下TAB键,我们可以得到APK想干的自动补全提示。

我们先用一些简单的命令来获得APK文件中的一些有用信息吧。

APK 文件

它可以列出APK文件(其本质上是一个ZIP文件)中包含的所有文件:

a.get_files()

Application Activities

使用如下命令,我们可以得到应用中包含的所有Activity:

a.get_activities()

Application 的权限

使用如下的命令,我们可以得到应用在manifest文件中声明的所有权限:

a.get_permissions()

它也可以得到关于每一项权限的详细描述:

a.get_requested_aosp_permissions_details()

Androguard 的一个重要的特征就是可以找到应用程序的哪些代码请求了在manifest文件中声明的权限。

它可以帮助我们做一下几件事:

  • 知道我们是否忘记了需要在manifest文件声明的权限
  • 知道我们是否在manifest文件中声明了多余的权限
  • 帮助我们review使用到权限的代码片段,再次确认我们可能遗漏的注解。

show_Permissions(dx)

Application Content providers

使用如下的命令,我们可以得到应用在manifest文件中声明的所有Content Provider:

a.get_providers()

Application signature

同时,我们也可以知道apk文件的签名以及其存放的位置:

a.get_signature_name()

a.get_signature()

这里是目前最为完整的命令列表的文档:它的版本是1.9,不管怎么说,它都是一个很好的参考文档。

Code dumping

使用工具 androdd,我们可以得到APK文件中所有类的源代码(整理包括应用的代码和依赖):在这种情况下,我们得到的是Java类,而不是我们使用dex2jar得到的.class文件。

androdd.py -i FILENAME.apk -o OUTPUT_DIR

在输入文件中,我们可以根据包名找到对应的Java类。

当然,我们得到的代码可能和之前开发者写的代码不完全一样,但无论如何,它的可读性提高了,更容易理解。请记住,如果原来的应用程序代码已经被混淆,方法和类的名称可能已被重命名,工具不能得到原来的名称。

例如,下面是我们的一个Fragment:源代码可以在这里找到.

正如在本系列中之前的介绍中,我们知道,我们无法找到资源名称,如字符串,布局,阵列,颜色,但是,我们可以得到的是一个整形值,在build的时候他和特定的资源相对应,并存储在R.java文件中。在这里,它表示为一个十进制值,而在原来的类文件是十六进制。

XML manifest

使用下面的工具,我们可以得到manifest文件,在apk文件中,它只要是以二进制格式存在的,我们得到的是纯文本格式的xml文件,更容易阅读。

androaxml.py -i FILENAME.apk -o OUTPUT.xml

如果我们打开生成的XML文件,我们可以看到完整的APK manifest 文件,几乎和原来文件一样。

比较两个apk文件

Androguard 还提供了一个重要的工具 androsim ,可以用于比较两个应用里的文件。这是一个重要的功能,因为我们可以将一个源程序和另一个程序比较,检测其是否有所改变,可以用于检测恶意软件。同时也可以查看同一应用程序的两个不同版本之间的差异。

danielealtomare$ androsim.py -i FILENAME_1.apk FILENAME_2.apk -c ZLIB -n

这是两个APK文件比较的输出结果:

以下是同一应用程序的两个不同版本的比较结果:

--help可以得到可用于该工具的所有选项,因此这可以让分析更加精确,集中于应用程序的具体方面。

当然,Androguard 还可以做很多事情,但是,本文的目的只是简单介绍一下工具以及相关的实验和分析。

MENTIONS

结束系列之前,还要介绍一些比较好的工具。

第一个是Bytecode Viewer,它实际上是一套完整的逆向工程工具:它使我们通过smali/baksmali轻松地编辑apk文件以及浏览APK和DEX文件。同时也集成了 dex2jarApktool。更多信息可以查看这里

第二个是ClassyShark,这是为Android可执行文件设计的一个浏览器。它的客户端可以打开Android(APK)和桌面(JAR)文件。我们可以用ClassyShark打开APK/ ZIP/Class/Jar文件,并分析其内容。

这个系列就结束了:正如之前强调的,这只是简单介绍了Android的逆向工程以及一些工具的简单使用。当然,这只是逆向工程的冰山一角。对Android逆向工程的了解程度取决于我们的实际需要,所以,我们可能会发现一些更适合的工具。