为FlowDroid加上addJavascriptInterface分析(上)

接上篇,上篇末尾提到FlowDroid本身是扫不到webview的js远程调用的,因为原理上讲带有JavascriptInterface注解的代码是不可达的,本文讲一下为如何从零开始,通过修改源码的方式,对FlowDroid进行修改和拓展。

继续阅读“为FlowDroid加上addJavascriptInterface分析(上)”

Soot/Heros/FlowDroid/JAADAS 等安卓应用静态代码分析工具科普

最近在看一些静态代码分析相关的技术,主要用于自动化漏洞挖掘,看了大量文章和代码,从最开始的晕头转向到现在的略知一二,学到了不少东西,但了解不深,本文只能从科普的角度讲一下这些工具的用途和使用方法。

继续阅读“Soot/Heros/FlowDroid/JAADAS 等安卓应用静态代码分析工具科普”

MobSF框架简要分析(上)

MobSF框架是一个开源的自动app检测的框架,国内相关的技术也有,BAT三家都有。开源项目里MobSF做的应该是很好的了,链接是https://github.com/MobSF/Mobile-Security-Framework-MobSF。本文记录一下学习和改进的过程,大概用了一下午一晚上,毕竟代码不是很多。

继续阅读“MobSF框架简要分析(上)”