Android逆向-Androguard

字数统计: 1.8k字   |   阅读时长≈ 8分

Androguard

Android逆向-Androguard

环境

先贴上安装好后的环境:

1
2
3
4
5
6
7
8
9
10
11
12
androguard==4.0
pygments==2.11.2
colorama==0.4.6
asn1crypto==1.5.1
click==8.0.4
pydot==1.4.2
IPython==8.10.0
mutf8==1.0.6
dataset==1.6.2
frida==16.1.4

loguru==0.7.2

即使是这样了还是有一堆小bug。

安装

pip安装(失败)

1
2
3
4
pip install python3-virtualenv
virtualenv venv-androguard 
source venv-androguard/bin/activate 
pip install -U androguard[magic,GUI]

git

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
proxychains4 git clone --recursive https://github.com/androguard/androguard.git
cd androguard/
virtualenv -p python3 venv-androguard
source venv-androguard/bin/activate

pip install pygments==2.11.2
pip install colorama==0.4.6
pip install asn1crypto==1.5.1
pip install click==8.0.4
pip install pydot==1.4.2
pip install IPython==8.10.0
pip install mutf8==1.0.6
pip install dataset==1.6.2
pip install frida==16.1.4

pip install loguru==0.7.2
pip install lxml==4.9.1

注意

Androguard现在最高只支持到了API 29。

Doc

Welcome to Androguard’s documentation! — Androguard 3.4.0 documentation

基本涵盖了Androguard的所有使用情况。

比较有用的其实是xref分析。其他没啥好看的。

基础使用

解析AndroidManifest.xml

1
androguard axml AndroidManifest.xml

解析resources.arsc

1
androguard arsc resources.arsc

展示APK签名

1
androguard sign <apk_path>

综合分析

1
androguard analyze <apk_path>

弹出来IPython交互界面进行操作。

反编译

1
python cli.py decompile -o output -f jpg  /root/Documents/AndroidRev/b.apk

修Bug

我的天,怎么这么多bug

IPython报错

好像8.10也能用,不知道为什么一开始不行,反正现在OK了,这一个就不管了

8.0版本以上的IPython移除了一些Androguard支持的特性,导致bug出现。所以最高安装6.0版本即可。

我可以考虑提出一个issue让他们改一下。

1
pip install ipython==6.0.0

quit时报错

暂时不知道怎么处理,不过问题不大

androguard/main.py

290行:

1
2
if ipshell is not None:
    ipshell()

find_fields报错

androguard/androguard/core/analysis/analysis.py

1838行:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
def find_fields(self, classname=".*", fieldname=".*", fieldtype=".*", accessflags=".*", encoding="utf-8"):
    """
    find fields by regex

    :param classname: regular expression of the classname
    :param fieldname: regular expression of the fieldname
    :param fieldtype: regular expression of the fieldtype
    :param accessflags: regular expression of the access flags
    :rtype: Iterator[FieldAnalysis]
    """
    classname = bytes(classname, encoding=encoding)
    fieldname = bytes(fieldname, encoding=encoding)
    fieldtype = bytes(fieldtype, encoding=encoding)
    for cname, c in self.classes.items():
        if re.match(classname, cname.encode(encoding)):
            for f in c.get_fields():
                z = f.get_field()
                if re.match(fieldname, z.get_name().encode(encoding)) and \
                   re.match(fieldtype, z.get_descriptor().encode(encoding)) and \
                   re.match(accessflags, z.get_access_flags_string()):
                    yield f

decompile报错

报错点主要围绕在hashlib库上。

androguard/androguard/core/bytecode.py

287行

1
2
3
4
_tmp = mx.get_method().get_class_name() + mx.get_method().get_name() + mx.get_method().get_descriptor()
_tmp = _tmp.encode()
sha256 = hashlib.sha256(
    _tmp ).digest()

304行:

1
2
_tmp = sha256 + basic_block.get_name().encode()
block_id = hashlib.md5(_tmp).hexdigest()

356:

1
2
child_id = hashlib.md5(sha256 + DVMBasicMethodBlockChild[-1].get_name().encode()).hexdigest()

372:

1
exception_id = hashlib.md5(sha256 + exception_block.get_name().encode()).hexdigest()

381:

1
2
3
block_id = hashlib.md5(sha256 + basic_block.get_name().encode()).hexdigest()
child_id = hashlib.md5(sha256 + DVMBasicMethodBlockChild.get_name().encode()).hexdigest()

androguard/main.py添加

1
from androguard.core import dex

175行:

1
2
3
bytecode_buff = dex.get_bytecodes_method(vm, vmx, method)
# bytecode_buff = DEX.get_bytecodes_method(vm, vmx, method)

脚本

读取通话记录

Android获取手机通话记录的方法 - 经验笔记 (nhooo.com)

1
2
3
4
5
6
7
8
9
10
11
12
13
import android.content.ContentResolver;
import android.provider.CallLog;

ContentResolver resolver = getContentResolver();

Cursor cursor = resolver.query(CallLog.Calls.CONTENT_URI, // 查询通话记录的URI
        new String[] { CallLog.Calls.CACHED_NAME// 通话记录的联系人
            , CallLog.Calls.NUMBER// 通话记录的电话号码.
            , CallLog.Calls.DATE// 通话记录的日期
            , CallLog.Calls.DURATION// 通话时长
            , CallLog.Calls.TYPE }// 通话类型
        , null, null, CallLog.Calls.DEFAULT_SORT_ORDER// 按照时间逆序排列,最近打的最先显示
    );

CallLog.Calls里面的这些都是常量,猜测应该是字符串什么的。这种东西不太适合xref分析,可以考虑直接查String?

1
2
3
4
5
6
7
8
9
_apk, _dex, _dx = AnalyzeAPK()

CallLog = _dx.classes.get("Landroid/provider/CallLog")
ContentResolver = _dx.classes.get("Landroid/content/ContentResolver")

Strings = []
for tmp in _dex:
    Strings.append(tmp.get_strings())
    
1
2
3
4
5
6
7
"date"
"number"
"duration"
"type"
"date DESC"

CallLog.Calls.CONTENT_URI

读取通讯人记录

检索联系人列表 | Android 开发者 | Android Developers

Android–读取通讯录并添加联系人-阿里云开发者社区 (aliyun.com)

Android读取手机通讯录联系人到自己项目-腾讯云开发者社区-腾讯云 (tencent.com)

ContactsContract

1
2
3
4
5
6
7
8
9
android.provider.ContactsContract


ContactsContract.Contacts.DISPLAY_NAME_PRIMARY :
ContactsContract.Contacts.DISPLAY_NAME
ContactsContract.Contacts.CONTENT_URI,
ContactsContract.CommonDataKinds.Phone.CONTENT_URI,
ContactsContract.CommonDataKinds.Phone.DISPLAY_NAME
ContactsContract.CommonDataKinds.Phone.NUMBER

判断方式:

  1. 导入了android.provider.ContactsContract
  2. 包含了如下字符串:”data1”,”display_name”

读取日历

日历提供程序概览 | Android 开发者 | Android Developers

Android 获取日历日程事件_unknown url content://com.android.calendar/calenda_Choi晨的博客-CSDN博客

确实有read calendar这种权限,但主要是给Google自己的原生日历用的。

1
2
import android.provider.CalendarContract;
import android.provider.CalendarContract.Calendars;
表(类) 描述
CalendarContract.Calendars 此表储存日历特定信息。此表中的每一行都包含一个日历的详细信息,例如名称、颜色、同步信息等。
CalendarContract.Events 此表储存事件特定信息。此表中的每一行都包含一个事件的相关信息,例如事件的标题、地点、开始时间、结束时间等。事件可一次性发生,也可多次重复发生。参加者、提醒和扩展属性存储在单独的表内。它们各自都有一个 EVENT_ID,用于引用 Events 表中的 _ID
CalendarContract.Instances 此表储存每个事件实例的开始时间和结束时间。此表中的每一行都表示一个事件实例。对于一次性事件,实例与事件为 1:1 映射。对于重复事件,系统会自动生成多个行,分别对应多个事件实例。
CalendarContract.Attendees 此表储存事件参加者(来宾)信息。每一行都表示事件的一位来宾。每一行会指定来宾类型,以及来宾是否参加该事件的响应。
CalendarContract.Reminders 此表储存提醒/通知数据。每一行都表示事件的一个提醒。一个事件可以有多个提醒。您可以在 MAX_REMINDERS 中指定每个事件的最大提醒数量,后者由拥有给定日历的同步适配器设置。提醒需指定为在事件发生前的某个时间(分钟)发出,而且其拥有一个可决定用户提醒方式的方法。 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
String[] EVENT_PROJECTION = new String[] {
        CalendarContract.Calendars._ID,                           // "_id"
        CalendarContract.Calendars.ACCOUNT_NAME,                  // "account_name"
        CalendarContract.Calendars.CALENDAR_DISPLAY_NAME,         // "calendar_displayName"
        CalendarContract.Calendars.OWNER_ACCOUNT                  // "ownerAccount"
};

values.put(Events.DTSTART, startMillis);
values.put(Events.DTEND, endMillis);
values.put(Events.TITLE, "Jazzercise");
values.put(Events.DESCRIPTION, "Group workout");
values.put(Events.CALENDAR_ID, calID);
values.put(Events.EVENT_TIMEZONE, "America/Los_Angeles");
Uri uri = cr.insert(Events.CONTENT_URI, values);

public static final String[] INSTANCE_PROJECTION = new String[] {
    Instances.EVENT_ID,      // 0
    Instances.BEGIN,         // 1
    Instances.TITLE          // 2
  };
  
private static String CALENDER_URL = "content://com.android.calendar/calendars";
private static String CALENDER_EVENT_URL = "content://com.android.calendar/events";
private static String CALENDER_REMINDER_URL = "content://com.android.calendar/reminders";


读取短信

Android读取与接收短信 - 掘金 (juejin.cn)

android 短信 读取 android读取短信权限_mob6454cc7966b9的技术博客_51CTO博客

Android 开发者 | Android Developers

content://sms/inbox 收件箱

content://sms/sent 已发送

content://sms/draft 草稿

content://sms/outbox 发件箱 

1
2
3
4
5
android.permission.READ_SMS
"android.provider.Telephony.SMS_RECEIVED"
"android.provider.Telephony.SMS_DELIVER"

import android.telephony.SmsMessage;

读取蓝牙匹配信息

安卓读取蓝牙BLE设备信息_android获取当前连接的ble设备-CSDN博客

手记|Android 获取已配对蓝牙列表和已连接蓝牙名称 - 掘金 (juejin.cn)

Android获取蓝牙列表 - 简书 (jianshu.com)

1
2
3
4
5
6
7
8
9
10
11
import android.bluetooth.BluetoothAdapter
import android.bluetooth.BluetoothDevice
import android.bluetooth.BluetoothProfile

BluetoothAdapter.getDefaultAdapter()
BluetoothDevice.getAddress()
BluetoothDevice.getName();

// 自定义的
//BluetoothUtils.getInstance().initBluetooth(this);
//BluetoothUtils.getInstance().setBluetoothListener(this);

读取wifi连接记录

Android 如何获取所有的wifi连接历史记录?-CSDN博客

读取导航记录

参考

Welcome to Androguard’s documentation! — Androguard 3.4.0 documentation

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

A junior undergraduate
studying in the college of cyber science and engineering
in Sichuan University
in Sichuan , China.
Pronouns:He/him.
A core member of 0x401 CTF team
majorly focus on Reverse Engineering chanllenges.