安全测试-- apk 反编译

最新推荐文章于 2026-05-24 09:42:55 发布
原创 最新推荐文章于 2026-05-24 09:42:55 发布 · 567 阅读 · 1 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
这篇博客介绍了如何进行APK的反编译过程,包括下载apktool工具,放置位置,以及使用CMD命令进行反编译。文章还提到了Android漏洞检查清单,并提供了相关资源链接,帮助理解Android应用的安全测试。

https://www.cnblogs.com/cuiyubo/p/6721397.html

1 下载 apktool https://bitbucket.org/iBotPeaches/apktool/downloads

2 把 下好的 apktool.jar 放在任意目录(我直接放在 C根目录下)

3 记住需要反编译的apk的存放地址(我放在C盘)

4 cmd 输入命令

 

java -jar c:/apktool.jar d c:/test_0.apk

 

 

// 注意`apktool.jar`是刚才下载后的jar的名称,`d`参数表示decode
// 在这个命令后面还可以添加像`-o -s`之类的参数,例如
// java -jar apktool.jar d yourApkFile.apk -o destiantionDir -s
// 几个主要的参数设置方法及其含义:
-f 如果目标文件夹已存在,强制删除现有文件夹
-o 指定反编译的目标文件夹的名称(默认会将文件输出到以Apk文件名命名的文件夹中)
-s 保留classes.dex文件(默认会将dex文件解码成smali文件)
-r 保留resources.arsc文件(默认会将resources.arsc解码成具体的资源文件)

注意:反编译完默认放在 C:\Users\Lin 下

 

 

Android漏洞checklist

https://secvul.com/topics/571.html

http://blog.csdn.net/shayuchaor/article/details/60783216

 

1.后来问了大佬,快捷方法是这样的:

 

1.1先提取dex

1.2 再dex转jar

点击操作,就可以了

 

android 安全测试 APK逆向分析工具 集合 3inOne
03-09
包含三个APK分析的常用工具软件,ApkAnalyser-master.zip;APKMessenger.zip;onekey-decompile-apk-1.0.1.zip
memspector.apk
11-02
Android App内存检测工具
APK安全】APK应用安全测试策略
水滴石穿
09-18 1629
adb backup -noapk com.example.app → 生成backup.ab → abx backup.ab解压 → 查看apps/com.example.app/sp/config.xml(SharedPreferences)是否含敏感数据。验证应用是否通过Log类输出敏感信息(如密码、手机号、Token),Android 15 默认限制Log.d/i/v在 release 版输出,但需确认配置有效性。
app如何进行安全测试
weixin_43886221的博客
04-02 3790
软件安全性测试是软件质量保证过程中的一个重要环节,其目的是为了发现、暴露和修复软件系统中可能存在的安全漏洞或弱点,确保系统在遭受恶意攻击时能够有效保护数据的机密性、完整性和可用性。在设计和执行软件安全性测试时,测试人员会模拟各种安全威胁和攻击场景,以验证软件在面临这些潜在风险时的安全防护能力。总之,在执行安全测试时,不仅要注重技术手段的有效性,还要充分考虑法律、伦理、风险管理等多个维度,确保整个测试过程既严谨又合规。软件安全性测试旨在确保软件产品的整体安全性,并为用户提供一个安全可靠的环境来使用和交互。
APP安全性测试、apk反编译
xiadanying的博客
06-12 1834
文章目录安全测试apk反编译 https://www.jianshu.com/p/d79a30a7ed94 https://blog.51cto.com/laoyinga/2155341 安全测试点 安装包 apk反编译 签名 发布前校验一下签名使用的key是否正确,以防被恶意第三方应用覆盖安装等 使用命令 jarsigner -verify -verbose -certs apk包路径 ...
APP 安全测试项总结
okcross0的博客
03-03 984
数据库是否存储敏感信息,某些应用会把cookie类数据保存在数据库中,一旦此数据被他人获取,可能造成用户账户被盗用等严重问题,测试中在跑完一个包含数据库操作的测试用例后,我们可以直接查看数据库里的数据,观察是否有敏感信息存储在内。如果用户安装了第三方键盘,可能存在劫持情况,对此,我们在一些特别敏感的输入地方可以做检查,例如金融类APP登录界面的用户名密码输入框等,看是否支持第三方输入法,一般建议使用应用内的软键盘。在获知接口设计后我们需要评估是否其中内容包含敏感信息,如果未使用安全通信,需要知会开发修改。
APP安全测试汇总【网络安全】
2401_84466325的博客
05-26 2630
检测 APP 移动客户端是否经过了正确签名,通过检测签名,可以检测出安装包在签名后是否被修改过。如 果 APP 使⽤了 debug 进⾏证书签名,那么 APP 中⼀部分 signature 级别的权限控制就会失效,导致攻击 者可以编写安装恶意 APP 直接替换掉原来的客户端。
Android APP安全测试APK反编译
03-10 486
APK反编译是Android APP安全测试的核心逆向分析手段,也是挖掘APP底层安全漏洞的关键前置步骤。通过APK反编译,能高效还原APP的配置文件、资源信息与核心源码,精准定位APP在配置、代码、本地存储等层面的安全缺陷。
APP安全测试apk反编译
weixin_42134907的博客
01-20 1050
#安全测试apk反编译 ##1. 需要的环境以及工具 SDK:Java JDK,Android SDK。 apk 工具:android 组件安全测试工具,activity 劫持测试工具,android 击键记录测试工具, 代理工具(proxydroid),MemSpector,Host Editor。 工具:7zip,dex2jar,jd-gui,apktool,IDA pro,ApkAnaly...
安全测试(五)Android APK软件安全 APP应用安全 手机软件安全 apk安全 apk反编译 应用日志窃取 apk漏洞 应用软件本身功能漏洞 高危权限泄密风险等 移动应用常规安全讲解
Benjamin CSDN博客
01-13 6842
安全测试(五)APP应用安全 手机软件安全 Android APK软件安全 apk安全 apk反编译 应用日志窃取 apk漏洞 应用软件本身功能漏洞 高危权限泄密风险等 移动应用常规安全讲解Android移动端安全 1、APP 接口安全 未加密 2、APP 接口安全 SQL、XSS、越权 3、APK 应用日志窃取 4、APP高危权限 5、apk反编译 5.1 apk反编译 简介 5.2apk反编译 工具 5.3 apk反编译 查看代码混淆
掌握APK反编译:实用工具与步骤
weixin_29717341的博客
09-04 1799
本文还有配套的精品资源,点击获取 简介:Android应用的APK文件包含了二进制代码、资源文件和元数据,反编译这些文件可以帮助开发者和安全专家进行安全分析、学习或逆向工程。本教程介绍如何使用 dex2jar、Androidfby 和 apktool 这三个关键工具来实现APK反编译,包括将Dalvik字节码转换回Java源代码的过程。同时,本教程也会提供关于APK反编译...
手把手反编译apk
探索者李小白的博客
12-09 268
android 测试工具包
11-06
JustTrustMe、Xposed、memspector等等,方便android测试,共14压缩包
Python-memspector检查Python函式的内存使用情况
08-10
memspector-检查 Python 函式的内存使用情况
App安全检测指南-V1.0-t00ls
10-12
前一段时间业务应求,需要测试一个 APP,谷歌、百度、土司和九零搜索了一下,发现 这方面的资料太少了,完整的测试流程、测试概要更是没有。所以有了这一篇文章。文章通 过业务中的测试要点(如下图)进行了实例测试或者说明,同时参考了公司的 APP 测试白皮 书进行了补充说明,算是一个手册吧。
【适合新手】Android应用安全测试入门指南
kiwi_tech_lab的博客
04-22 1438
本入门指南介绍的方法和工具可以帮助安全研究人员和开发者发现Android应用中简单的安全问题,从而修复Android APP的问题,提高应用的安全性。
AhMyth代码注入:动态修改APK行为的核心技术揭秘 [特殊字符]
最新发布
gitblog_00899的博客
05-24 977
**AhMyth代码注入**技术是这款跨平台Android远程管理工具的核心功能之一,它允许安全研究人员和专业人员动态修改APK文件的行为。通过巧妙的代码注入机制,AhMyth能够在原始应用中植入监控功能,实现远程设备管理。本文将深入解析AhMyth的代码注入原理,帮助您理解这一强大的Android安全工具如何工作。 ## 什么是AhMyth代码注入? 🤔 AhMyth代码注入是一种**动态
手机APP测试之apk包测试记录(重写,主,不含业务)
墨痕诉清风的博客
12-16 443
(4)参考资料 http://www.cnblogs.com/wotakuc/archive/2013/03/27/2984423.html http://www.saurik.com/id/17 https://books.google.com.hk/books?不要通过网页传输敏感信息,有的网站为了引导已经登录的用户到APP上使用,会使用脚本动态的生成URL Scheme的参数,其中包括了用户名、密码或者登录态token等敏感信息,让用户打开APP直接就登录了。
Hook入门小Demo
xiaoxin_OK的博客
06-26 2395
frida, hook常用的一些语法
终极安卓安全测试工具backdoor-apk:5分钟快速入门指南
gitblog_00118的博客
04-19 884
backdoor-apk是一款专为安卓安全测试设计的终极工具,它通过shell脚本简化了向任何Android APK文件添加后门的过程。该工具主要面向具备Linux、Bash、Metasploit、Apktool、Android SDK和smali等相关知识的用户,仅用于教育目的。 ## 快速了解backdoor-apk的核心功能 backdoor-apk作为一款强大的安卓安全测试工具,能够帮
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值