开发者福利:史上最全Android 开发和安全系列工具
取證工具
- bandicoot?- 一個(gè)Python工具箱,用于分析手機(jī)元數(shù)據(jù)。它提供了一個(gè)完整,易于使用的環(huán)境,數(shù)據(jù)科學(xué)家分析手機(jī)元數(shù)據(jù)。只需幾行代碼,加載數(shù)據(jù)集,可視化數(shù)據(jù),執(zhí)行分析和導(dǎo)出結(jié)果。
- Android Connections Forensics- 使法庭調(diào)查員能夠連接到其原始進(jìn)程
- Android Forensics- 開源Android Forensics應(yīng)用程序和框架
- Android Data Extractor Lite
- BitPim?- 一個(gè)程序,允許您查看和操縱數(shù)據(jù)在LG,三星,三洋和其他制造商的許多CDMA手機(jī)。
- fridump- 一個(gè)開源內(nèi)存轉(zhuǎn)儲(chǔ)工具,主要針對滲透測試人員和開發(fā)人員。
- LiME- (以前稱為DMD)是一個(gè)可加載內(nèi)核模塊(LKM),它允許從Linux和基于Linux的設(shè)備(如Android提供的設(shè)備)中獲取易失性內(nèi)存。
- Open Source Android Forensics
- Project RetroScope
- P2P-ADB?- 電話到手機(jī)Android Debug Bridge - 一個(gè)用于從其他手機(jī)“調(diào)試”手機(jī)的項(xiàng)目。
- pySimReader?- 它允許用戶寫出任意原始SMS PDU到SIM卡。
開發(fā)工具
-
Android SDK?- Android軟件開發(fā)工具包(SDK)包括一整套開發(fā)工具。這些包括調(diào)試器,庫,基于QEMU的手持機(jī)仿真器,文檔,示例代碼和教程。
-
Android NDK?- NDK是一個(gè)工具集,允許您使用本地代碼語言(如C和C ++)來實(shí)現(xiàn)應(yīng)用程序的各個(gè)部分。
- ADT Bundle?- Android開發(fā)工具(ADT)包是一個(gè)單一的下載,包含開發(fā)人員開始創(chuàng)建Android應(yīng)用程序的一切。
Native Android Runtime Emulation- 本機(jī)Android仿真器。
靜態(tài)分析工具
-
Amandroid?- 一個(gè)數(shù)據(jù)流分析框架的Android應(yīng)用程序的安全審查。
-
Androwarn?- 另一個(gè)靜態(tài)代碼分析器的惡意Android應(yīng)用程序
-
ApkAnalyser?- 一個(gè)靜態(tài)的虛擬分析工具,用于檢查和驗(yàn)證Android應(yīng)用程序的開發(fā)工作。
-
APKInspector- 一個(gè)強(qiáng)大的GUI工具,分析人員分析Android應(yīng)用程序。
-
droid-hunter?- Android應(yīng)用程序漏洞分析和pentesting工具。
-
Error-Prone?- 將常見的Java錯(cuò)誤作為編譯時(shí)錯(cuò)誤
-
FindBugs + FindSecurityBugs?- FindSecurityBugs是FindBugs的擴(kuò)展,包括Java應(yīng)用程序的安全規(guī)則。它會(huì)找到加密問題以及Android的具體問題。
-
FlowDroid?- FlowDroid是一個(gè)用于Android應(yīng)用程序的上下文,對敏感對象和生命周期的靜態(tài)分析工具。
-
Lint- Android lint工具是一個(gè)靜態(tài)代碼分析工具,檢查您的Android項(xiàng)目源文件的潛在錯(cuò)誤和優(yōu)化改進(jìn)正確性,安全性,性能,可用性,可訪問性和國際化。
-
Smali CFGs?- Smali控制流程圖
-
Smali和Baksmali- smali / baksmali是dalvik使用的dex格式的匯編/反匯編器,Android的Java VM實(shí)現(xiàn)。
-
SPARTA- SPARTA項(xiàng)目(可靠可信應(yīng)用程序的靜態(tài)程序分析)正在構(gòu)建一個(gè)工具集,以驗(yàn)證手機(jī)應(yīng)用程序的安全性。
-
Thresher- thresher是一個(gè)靜態(tài)分析工具,專門檢查堆可達(dá)性。以便對由分析點(diǎn)報(bào)告的警報(bào)進(jìn)行精確的符號分析。
-
VectorAttackScanner– 這種工具用于分析Android應(yīng)用程序以檢測攻擊點(diǎn),例如接收器,服務(wù),進(jìn)程和庫
動(dòng)態(tài)分析工具
-
Android Hooker?- 此項(xiàng)目提供了各種工具和應(yīng)用程序,可用于自動(dòng)攔截和修改目標(biāo)應(yīng)用程序所做的任何API調(diào)用。
-
AppAudit- 在線工具(包括一個(gè)API)使用動(dòng)態(tài)和靜態(tài)分析檢測應(yīng)用程序中的隱藏?cái)?shù)據(jù)泄漏。
-
BareDroid- 在Android設(shè)備上大規(guī)模支持裸機(jī)分析。
-
CuckooDroid- Cuckoo Sandbox的擴(kuò)展,CuckooDroid帶來了執(zhí)行和分析Android應(yīng)用程序到Cuckoo的功能。
-
Droidbox- DroidBox是開發(fā)來提供Android應(yīng)用程序的動(dòng)態(tài)分析
-
Droid-FF?- Droid-FF是一個(gè)可擴(kuò)展的模糊框架Android
-
Drozer- Drozer允許您通過承擔(dān)應(yīng)用程序的角色并與Dalvik VM,其他應(yīng)用程序的IPC端點(diǎn)和基礎(chǔ)操作系統(tǒng)交互來搜索應(yīng)用程序和設(shè)備中的安全漏洞。
-
Marvin- Marvin是一個(gè)分析Android應(yīng)用程序以搜索漏洞的系統(tǒng),并允許通過其版本歷史跟蹤應(yīng)用程序。
-
Inspeckage- Inspeckage是一個(gè)為Android應(yīng)用程序提供動(dòng)態(tài)分析的工具。通過應(yīng)用hook到Android API的功能,Inspeckage將幫助您了解Android應(yīng)用程序在運(yùn)行時(shí)做什么。
-
PATDroid- 用于分析Android應(yīng)用程序和系統(tǒng)本身的工具和數(shù)據(jù)結(jié)構(gòu)集合。形成AppAudit的基礎(chǔ)。
逆向工程工具
-
Androguard- 反向工程,Android應(yīng)用程序的惡意軟件和好的軟件分析
-
Android Apk decompiler?- 在線反編譯為Apk和Dex Android文件
-
Android loadble內(nèi)核模塊?- 它主要用于在受控系統(tǒng)/仿真器上進(jìn)行反轉(zhuǎn)和調(diào)試。
-
AndBug- Android調(diào)試庫
-
ApkTool- 用于反向工程Android Apk文件的工具
-
APK Studio- APK Studio是一個(gè)IDE,用于在單個(gè)用戶界面中反編譯/編輯然后重新編譯Android應(yīng)用程序二進(jìn)制文件。
-
Bytecode-Viewer?- 一個(gè)Java 8 Jar和Android APK反向工程套件(解碼器,編輯器,調(diào)試器等)
-
ClassyShark- Android可執(zhí)行文件瀏覽器,用于分析APK。
-
CodeInspect- 用于Android和Java應(yīng)用程序的基于Jimple的反向工程框架。
-
dedex- 用于反匯編Android DEX文件的命令行工具。
-
dextra- dextra實(shí)用程序開始了它的生命,作為AOSP的dexdump和dx - dump的替代品,兩者都相當(dāng)基本,并產(chǎn)生豐富,但非結(jié)構(gòu)化的輸出。除了支持所有的功能,它還支持各種輸出模式,特定類,方法和字段查找,以及確定靜態(tài)字段值。我更新了它以支持ART
-
Dex2Jar- 使用android .dex和java .class文件的工具
-
dexdisassembler- 一個(gè)用于拆卸Android DEX文件的GTK工具。
-
Enjarify- Enjarify是一個(gè)工具,用于將Dalvik字節(jié)碼轉(zhuǎn)換為等效的Java字節(jié)碼。這允許Java分析工具分析Android應(yīng)用程序。
-
Fern Flower?- FernFlower Java反編譯器
-
Fino- Android小型檢測工具
-
Introspy-Android?- Blackbox工具來幫助了解Android應(yīng)用程序在運(yùn)行時(shí)做什么,并幫助識別潛在的安全問題。
-
JD-Gui- 快速Java解壓縮器,方便閱讀java源代碼
-
JEB?- 交互Android Decompiler
-
Lobotomy- Lobotomy是一個(gè)Android安全工具包,將自動(dòng)執(zhí)行不同的Android評估和逆向工程任務(wù)。Lobotomy工具包的目標(biāo)是提供一個(gè)控制臺(tái)環(huán)境,允許用戶加載其目標(biāo)Android APK一次,然后擁有所有必要的工具,而不需要退出該環(huán)境。1.2版本將保持開源。
-
smali- Android的dex格式的匯編/反匯編程序
-
smali_emulator?- 模擬由apktool生成的smali源文件,例如,以便在APKs中取消模糊處理和加密。
-
Strongdb- Strongdb是一個(gè)用Python編寫的gdb插件,用于幫助調(diào)試Android Native程序。主要代碼使用gdb Python API。
-
Xenotix APK Reverser?- 一個(gè)開源的Android應(yīng)用程序包(APK)反編譯和反匯編由dex2jar,baksmali和jd-core
hooking工具
-
ADBI- Android動(dòng)態(tài)二進(jìn)制測試(ADBI)是一種用于動(dòng)態(tài)跟蹤Android本機(jī)層的工具。
-
Cydia Substrate?- 適用于Android的Cydia Substrate支持開發(fā)人員使用注入到目標(biāo)進(jìn)程內(nèi)存中的Substrate擴(kuò)展對現(xiàn)有軟件進(jìn)行更改。
-
Diff-GUI?- 用于在Android上注入JavaScript的GUI(使用Frida)
-
Dynamic Dalvik Instrumentation Toolkit?- 簡單易用的Dalvik代碼動(dòng)態(tài)儀器工具包。
-
Frida?- 注冊JavaScript以探索Android上的本機(jī)應(yīng)用
-
Xposed框架?- Xposed框架使您能夠在運(yùn)行時(shí)修改系統(tǒng)或應(yīng)用程序方面和行為,而無需修改任何Android應(yīng)用程序包(APK)。
在線分析
-
Android Observatory?- Android Observatory是一個(gè)面向大量Android應(yīng)用程序存儲(chǔ)庫的Web界面。它允許用戶搜索或?yàn)g覽成千上萬的Android應(yīng)用程序,并檢索這些應(yīng)用程序的原數(shù)據(jù)。
-
Android APK Decompiler?- 解壓APK文件變得容易。在線反編譯。
-
AndroidTotal- AndroTotal是一個(gè)免費(fèi)的服務(wù),掃描可疑APK與多個(gè)手機(jī)防病毒應(yīng)用程序。
-
Anubis- 未知二進(jìn)制文件的惡意軟件分析。
-
Akana- Akana是一個(gè)在線Android應(yīng)用程序Interactive Analysis Enviroment(IAE),它結(jié)合一些插件來檢查惡意應(yīng)用程序。
-
App360Scan- 說明應(yīng)用程序使用的權(quán)限,以及它可能對用戶造成的危害。
-
CopperDroid- 它自動(dòng)執(zhí)行Android惡意軟件的開箱即用的動(dòng)態(tài)行為分析。
-
Dexter- Dexter是一個(gè)具有協(xié)作功能的交互式Android軟件分析環(huán)境。
-
Eacus- Android Lite應(yīng)用分析框架
-
Mobile Sandbox?- 移動(dòng)沙箱提供靜態(tài)和動(dòng)態(tài)惡意軟件分析,結(jié)合Android應(yīng)用程序的機(jī)器學(xué)習(xí)技術(shù)。
-
NVISO ApkScan?- NVISO的ApkScan web應(yīng)用程序允許您掃描Android應(yīng)用程序的惡意軟件。
-
Sandroid- 一個(gè)自動(dòng)Android應(yīng)用程序分析系統(tǒng)
-
Virus Total?- VirusTotal是一個(gè)免費(fèi)的服務(wù),可以分析可疑文件和URL,并有助于快速檢測病毒,蠕蟲,木馬和各種惡意軟件。
Android測試分發(fā)
-
Android Tamer- Android Tamer是一個(gè)虛擬/現(xiàn)場平臺(tái)Android安全專業(yè)人士。
-
Androl4b- 基于Ubuntu Mate的Android安全虛擬機(jī)。它包括來自不同安全專家的最新框架,教程和實(shí)驗(yàn)室的集合,以及用于逆向工程和惡意軟件分析的研究人員
-
Appie- 一個(gè)便攜式軟件包為Android Pentesting和一個(gè)真棒的替代現(xiàn)有的虛擬機(jī)。它是Android應(yīng)用安全評估,Android Forensics,Android惡意軟件分析所需的所有工具的一站式答案。
-
AppUse- AppUse是由AppSec Labs開發(fā)的VM(虛擬機(jī))。
-
Mobisec- 移動(dòng)安全測試環(huán)境
-
NowSecure Lab community edition?- 它對移動(dòng)應(yīng)用程序進(jìn)行動(dòng)態(tài)分析(網(wǎng)絡(luò)流量)
-
Santoku Linux- Santoku是一個(gè)操作系統(tǒng),可以作為獨(dú)立操作系統(tǒng)在VM外部運(yùn)行。
-
Shadow OS?- ShadowOS是一款由Fortify on Demand設(shè)計(jì)的免費(fèi)工具,可幫助安全和QA團(tuán)隊(duì)測試Android應(yīng)用程序的安全漏洞。它是一個(gè)基于KitKat的自定義操作系統(tǒng),它攔截設(shè)備操作的特定區(qū)域,并使安全漏洞的測試應(yīng)用程序更容易。
-
Vezir Project?- 另一個(gè)Linux虛擬機(jī)的移動(dòng)應(yīng)用程序Pentesting和移動(dòng)惡意軟件分析。
Android Vulnerable應(yīng)用程序
-
Android Challenges of Various Conferences/Events
-
Damn Vulnerable Android應(yīng)用程序?- DIVA(Damn不安全和易受攻擊的應(yīng)用程序)是一個(gè)應(yīng)用程序故意設(shè)計(jì)為不安全。
-
Owasp Goatdroid項(xiàng)目
-
ExploitMe labs by SecurityCompass
-
InsecureBank V2
-
Sieve- Sieve是一個(gè)密碼管理器應(yīng)用程序,充滿了安全漏洞。
Android安全應(yīng)用框架
-
Android IMSI-Catcher-Detector?- 它是一個(gè)用于檢測IMSI-Catchers的應(yīng)用程序。IMSI捕獲器是在目標(biāo)移動(dòng)電話和服務(wù)提供商的真實(shí)塔之間起作用的假移動(dòng)塔(基站)。因此,他們被認(rèn)為是中間人(MITM)攻擊。在美國,IMSI捕捉器技術(shù)被稱為“StingRay”。
-
Am I Vulnerable- AIV是一種Android安全應(yīng)用,可通知用戶在設(shè)備上安裝的應(yīng)用版本中發(fā)現(xiàn)的公開已知漏洞。
-
Android Vulnerability Test Suite?- 本著開放數(shù)據(jù)收集的精神,并在社區(qū)的幫助下,讓我們對Android安全狀態(tài)的一個(gè)脈搏。NowSecure提供了一個(gè)設(shè)備上的應(yīng)用程序來測試最近的設(shè)備漏洞。
-
NetHunter?- Kali Linux NetHunter項(xiàng)目是第一個(gè)用于Nexus設(shè)備的開源Android滲透測試平臺(tái)。NetHunter支持無線802.11幀注入,一鍵式MANA Evil接入點(diǎn)設(shè)置,HID鍵盤(Teensy類攻擊)以及BadUSB MITM攻擊,并且建立在Kali Linux發(fā)行版和工具集的堅(jiān)固肩膀上。
-
Koodous- Koodous是一個(gè)協(xié)作平臺(tái),將在線分析工具的功能與分析人員之間的社交互動(dòng)相結(jié)合,通過一個(gè)龐大的APK存儲(chǔ)庫,專注于檢測Android應(yīng)用程序中的欺詐模式。您可以下載他們的Android應(yīng)用程式,檢查您的裝置是否包含任何可疑應(yīng)用程式。
-
SecureMe Droid(SMD)?- 是一種安全應(yīng)用程序,用于掃描現(xiàn)有應(yīng)用程序,新安裝和更新的應(yīng)用程序已知的漏洞和安全問題的Android設(shè)備。
應(yīng)用程序安全框架
-
AndroBugs- AndroBugs框架是一個(gè)Android漏洞分析系統(tǒng),可幫助開發(fā)人員或黑客在Android應(yīng)用程序中發(fā)現(xiàn)潛在的安全漏洞。其命令行界面和輸出提供了極高的效率和精度。
-
AppMon- AppMon是一個(gè)運(yùn)行時(shí)安全測試和分析框架macOS,iOS和Android應(yīng)用程序。對于移動(dòng)滲透測試人員來說,通過在運(yùn)行時(shí)檢查API調(diào)用來驗(yàn)證源代碼掃描器的安全問題報(bào)告,來驗(yàn)證安全問題報(bào)告是非常有用的。還可用于監(jiān)控應(yīng)用程序的整體活動(dòng),并專注于看起來可疑的事情,例如數(shù)據(jù)泄露,憑據(jù),令牌等。您可以使用預(yù)定義的腳本或者編寫自己的在運(yùn)行時(shí)修改應(yīng)用程序的功能/邏輯,例如欺騙DeviceID ,欺騙GPS坐標(biāo),偽造應(yīng)用內(nèi)購買,繞過蘋果的TouchID等。
-
AppRay- App-Ray查看您的應(yīng)用程序,并幫助您了解他們真正做什么。在全自動(dòng)測試中,App-Ray分析應(yīng)用程序并突出顯示漏洞,數(shù)據(jù)泄露和隱私泄露。
-
Mobile Security Framework (MobSF)?- 移動(dòng)安全框架是一個(gè)智能的,一體化的開源移動(dòng)應(yīng)用程序(Android / iOS)自動(dòng)筆測試框架,能夠執(zhí)行靜態(tài)和動(dòng)態(tài)分析。
-
Qark- 快速Android審查工具包 - 此工具旨在尋找?guī)讉€(gè)安全相關(guān)的Android應(yīng)用程序漏洞,無論是在源代碼或打包APK。該工具還能夠創(chuàng)建“概念驗(yàn)證”部署APK和/或ADB命令,能夠利用它發(fā)現(xiàn)的許多漏洞。沒有必要根植測試設(shè)備,因?yàn)榇斯ぞ邆?cè)重于在其他安全條件下可以利用的漏洞。
-
SUPER- 安全,統(tǒng)一,強(qiáng)大和可擴(kuò)展的Rust分析器可用于自動(dòng)分析應(yīng)用程序的漏洞。
Android Malwares相關(guān)
-
backdoor-apk?- 一個(gè)shell腳本,它簡化了向任何Android APK文件添加后門的過程。
-
Contagio Mini Dump?- Contagio mobile mini-dump提供了一個(gè)上傳保管箱,可供您分享您的移動(dòng)惡意軟件樣本。
-
Android Malwares Databases- 不再維護(hù)。
-
Android Malware Evaluating Tools
-
Maldrolyzer?- 從Android惡意軟件(C&C,電話號碼等)中提取“可操作”數(shù)據(jù)的簡單框架
-
Spreitzenbarth - Android-Malware?- Families的列表及其主要功能。
教程
-
Android Application Security Series?- 一個(gè)簡單和詳細(xì)的Android應(yīng)用程序安全系列。有益于Android安全專業(yè)人員和開發(fā)人員。
-
Android Forensics Course
-
ARM簡介
-
Android Security Articles By Infosec Institute
-
Learning Android Bytecode
Android漏洞列表
-
Android Vulnerabilties
-
Android Vulnerability/Exploit List
-
Android CVE Details
Android安全庫
-
Android Password Store
-
Android Pinning- Android上的證書固定的獨(dú)立庫項(xiàng)目。
-
Conceal By Facebook- Conceal提供了簡單的Android API,用于執(zhí)行快速加密和數(shù)據(jù)認(rèn)證。
-
Dexguard- DexGuard是我們專門的優(yōu)化和obfuscator的Android。創(chuàng)建更快,更緊湊,更難以破解的應(yīng)用程序。
-
Encryption?- 加密是一種向Android項(xiàng)目創(chuàng)建加密字符串的簡單方法。
-
CWAC-Security?- 幫助您幫助您的用戶保護(hù)他們的數(shù)據(jù)
-
IOCipher- IOCipher是用于應(yīng)用程序的虛擬加密磁盤,而不需要設(shè)備根目錄。
-
Java AES Crypto?- 一個(gè)簡單的Android類,用于加密和解密字符串,旨在避免大多數(shù)類的經(jīng)典錯(cuò)誤。
-
NetCipher- 這是一個(gè)Android圖書館項(xiàng)目,提供多種手段來提高移動(dòng)應(yīng)用程序的網(wǎng)絡(luò)安全性。
-
OpenPGP API?- OpenPGP API提供了執(zhí)行OpenPGP操作(例如簽名,加密,解密,驗(yàn)證等)的方法,無需后臺(tái)線程的用戶交互。
-
OWASP Java HTML Sanitizer
-
Proguard- ProGuard是一個(gè)免費(fèi)的Java類文件縮小器,優(yōu)化器,混淆器和預(yù)校驗(yàn)器。它檢測和刪除未使用的類,字段,方法和屬性。
-
Spongy Castle?- 為Android免費(fèi)下載Bouncy Castle
-
SQL Cipher?- SQLCipher是SQLite的開源擴(kuò)展,為數(shù)據(jù)庫文件提供透明的256位AES加密。
-
Secure Preferences?- Android共享首選項(xiàng)封裝比加密共享首選項(xiàng)的鍵和值。
-
Trusted Intents?- 用于Android應(yīng)用程序之間靈活的信任交互的庫
最佳實(shí)踐
-
NIST網(wǎng)絡(luò)安全實(shí)踐指南:“移動(dòng)設(shè)備安全:云和混合構(gòu)建”
-
Android安全概述
-
開發(fā)人員的Android安全提示
-
移動(dòng)應(yīng)用滲透測試備忘錄
-
MobileAppReportCard:Microsoft Excel電子表格,用于對Android和iOS移動(dòng)應(yīng)用程序進(jìn)行一致的安全評估
-
項(xiàng)目/ OWASP移動(dòng)安全項(xiàng)目 - 十大移動(dòng)控制
-
開發(fā)商PCI移動(dòng)支付接受安全指南
-
Android中的安全編碼
-
Android應(yīng)用程序安全設(shè)計(jì)/安全編碼指南
總結(jié)
以上是生活随笔為你收集整理的开发者福利:史上最全Android 开发和安全系列工具的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 细说反射,Java 和 Android
- 下一篇: Android安全系列工具