移动安全测试框架MobSF(二):动态分析
MobSF框架之動態(tài)分析
一、使用配置
【1】方式一:虛擬設(shè)備,配置動態(tài)分析器(VirtualBox + MobSF_VM.ova)
參考:https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/1.-Documentation
http://www.freebuf.com/sectool/99475.html
http://www.mottoin.com/92477.html
【2】方式二:Android真機(jī),安裝配置相應(yīng)軟件(Xposed框架 + Droidmon/JustTrustMe/RootCloak模塊)
參考:https://github.com/ajinabraham/Mobile-Security-Framework-MobSF/wiki/2.-Configure-MobSF-Dynamic-Analysis-Environment-in-your-Android-Device-or-VM
二、動態(tài)分析
動態(tài)分析的前端展示頁面如圖所示,主要功能包括:Environment Created,Start / Stop Screen,Install / Remove MobSF RootCA,Start Exported Activity Tester,Start Activity Tester,Take a Screenshot,Finish。
【1】Environment Created
> 設(shè)置web代理,用來抓取APP訪問流量
> 建立adb連接,adb connect ip:port
> 安裝程序,adb install -r xxx.apk
> 運(yùn)行程序,adb shell am start -m xxx
【2】Start / Stop Screen
> 利用屏幕錄制軟件screencast提供的服務(wù),來實(shí)現(xiàn)實(shí)時操作功能
【3】Install / Remove MobSF RootCA
> 安裝、卸載RootCA,方便對樣本中HTTPS流量進(jìn)行截獲
> adb push ca.crt /xx
> adb shell su -c cp /xx /xxx
【4】Start Exported Activity Tester
> 遍歷獲取AndroidManifest.xml文件中的所有Exported Activity
> 依次啟動activity,adb -s IP:PORT shell am start -n PACKAGE/ACTIVITY
> 獲取當(dāng)前activity運(yùn)行時的屏幕截圖,并保存截屏
> 強(qiáng)制關(guān)閉應(yīng)用,adb -s IP:PORT shell am force-stop PACKAGE
【5】Start Activity Tester
>?遍歷AndroidManifest.xml文件中的所有Activity,而不單單是Exported
> 處理流程與Exported Activity一致
【6】Take a Screenshot
> 截屏并保存到本地
> adb -s IP:PORT shell screencap -p /xx/screen.png
> adb -s IP:PORT pull /xx/screen.png /xxx/xx.png
【7】Finish
> 日志收集:收集程序運(yùn)行過程中所有dalvikvm的Warning和ActivityManager的Information,以及Xposed目錄下的API監(jiān)控日志
> 日志分析:以正則匹配為主,對日志文件進(jìn)行分析處理,匹配惡意url、郵箱等特征信息
> MobSF完成檢測分析后,將所有可用信息輸出到web界面,方便分析人員進(jìn)行分析
##總結(jié)##
對APK進(jìn)行動態(tài)分析時,MobSF主要利用Xposed框架、Droidmon實(shí)現(xiàn)對應(yīng)用程序調(diào)用API的情況進(jìn)行監(jiān)控,并且可靈活維護(hù)一份需要hook的API列表,主要工作包括:
1. 利用webproxy實(shí)現(xiàn)代理進(jìn)而攔截樣本流量;
2. 安裝證書以便攔截https流量;
3. 遍歷所有activity,盡量多的獲取各個Activity運(yùn)行得到的日志;
4. 利用正則匹配出API及參數(shù)和返回值;
5. 實(shí)時更新惡意url庫,以url信息特征進(jìn)行查殺。
三、參考資料
【1】http://purpleroc.com/MD/2016-08-31@Android%20Malware%20Analysis%20Tool(1)--MobSF.html
總結(jié)
以上是生活随笔為你收集整理的移动安全测试框架MobSF(二):动态分析的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: layui table勾选框的修改_La
- 下一篇: 宕机处理:Kubernetes集群高可用