開發者福利：史上最全Android 開發和安全系列工具

取證工具

• bandicoot - 一個Python工具箱，用於分析手機後設資料。它提供了一個完整，易於使用的環境，資料科學家分析手機後設資料。只需幾行程式碼，載入資料集，視覺化資料，執行分析和匯出結果。
• Android Connections Forensics- 使法庭調查員能夠連線到其原始程式
• Android Forensics- 開源Android Forensics應用程式和框架
• Android Data Extractor Lite
• BitPim - 一個程式，允許您檢視和操縱資料在LG，三星，三洋和其他製造商的許多CDMA手機。
• fridump- 一個開源記憶體轉儲工具，主要針對滲透測試人員和開發人員。
• LiME- （以前稱為DMD）是一個可載入核心模組（LKM），它允許從Linux和基於Linux的裝置（如Android提供的裝置）中獲取易失性記憶體。
• Open Source Android Forensics
• Project RetroScope
• P2P-ADB - 電話到手機Android Debug Bridge - 一個用於從其他手機“除錯”手機的專案。
• pySimReader - 它允許使用者寫出任意原始SMS PDU到SIM卡。

開發工具

• Android SDK - Android軟體開發工具包（SDK）包括一整套開發工具。這些包括偵錯程式，庫，基於QEMU的手持機模擬器，文件，示例程式碼和教程。

• Android NDK - NDK是一個工具集，允許您使用原生程式碼語言（如C和C ++）來實現應用程式的各個部分。

• ADT Bundle - Android開發工具（ADT）包是一個單一的下載，包含開發人員開始建立Android應用程式的一切。

Android Studio IDE或Eclipse IDE 
Android SDK工具 
Android 5.0（Lollipop）平臺 
Android 5.0模擬器系統映像與Google API

Native Android Runtime Emulation- 本機Android模擬器。

靜態分析工具

• Amandroid - 一個資料流分析框架的Android應用程式的安全審查。

• Androwarn - 另一個靜態程式碼分析器的惡意Android應用程式

• ApkAnalyser - 一個靜態的虛擬分析工具，用於檢查和驗證Android應用程式的開發工作。

• APKInspector- 一個強大的GUI工具，分析人員分析Android應用程式。

• droid-hunter - Android應用程式漏洞分析和pentesting工具。

• Error-Prone - 將常見的Java錯誤作為編譯時錯誤

• FindBugs + FindSecurityBugs - FindSecurityBugs是FindBugs的擴充套件，包括Java應用程式的安全規則。它會找到加密問題以及Android的具體問題。

• FlowDroid - FlowDroid是一個用於Android應用程式的上下文，對敏感物件和生命週期的靜態分析工具。

• Lint- Android lint工具是一個靜態程式碼分析工具，檢查您的Android專案原始檔的潛在錯誤和優化改進正確性，安全性，效能，可用性，可訪問性和國際化。

• Smali CFGs - Smali控制流程圖

• Smali和Baksmali- smali / baksmali是dalvik使用的dex格式的彙編/反彙編器，Android的Java VM實現。

• SPARTA- SPARTA專案（可靠可信應用程式的靜態程式分析）正在構建一個工具集，以驗證手機應用程式的安全性。

• Thresher- thresher是一個靜態分析工具，專門檢查堆可達性。以便對由分析點報告的警報進行精確的符號分析。

• VectorAttackScanner– 這種工具用於分析Android應用程式以檢測攻擊點，例如接收器，服務，程式和庫

動態分析工具

• Android Hooker - 此專案提供了各種工具和應用程式，可用於自動攔截和修改目標應用程式所做的任何API呼叫。

• AppAudit- 線上工具（包括一個API）使用動態和靜態分析檢測應用程式中的隱藏資料洩漏。

• BareDroid- 在Android裝置上大規模支援裸機分析。

• CuckooDroid- Cuckoo Sandbox的擴充套件，CuckooDroid帶來了執行和分析Android應用程式到Cuckoo的功能。

• Droidbox- DroidBox是開發來提供Android應用程式的動態分析

• Droid-FF - Droid-FF是一個可擴充套件的模糊框架Android

• Drozer- Drozer允許您通過承擔應用程式的角色並與Dalvik VM，其他應用程式的IPC端點和基礎作業系統互動來搜尋應用程式和裝置中的安全漏洞。

• Marvin- Marvin是一個分析Android應用程式以搜尋漏洞的系統，並允許通過其版本歷史跟蹤應用程式。

• Inspeckage- Inspeckage是一個為Android應用程式提供動態分析的工具。通過應用hook到Android API的功能，Inspeckage將幫助您瞭解Android應用程式在執行時做什麼。

• PATDroid- 用於分析Android應用程式和系統本身的工具和資料結構集合。形成AppAudit的基礎。

逆向工程工具

• Androguard- 反向工程，Android應用程式的惡意軟體和好的軟體分析

• Android Apk decompiler - 線上反編譯為Apk和Dex Android檔案

• Android loadble核心模組 - 它主要用於在受控系統/模擬器上進行反轉和除錯。

• AndBug- Android除錯庫

• ApkTool- 用於反向工程Android Apk檔案的工具

• APK Studio- APK Studio是一個IDE，用於在單個使用者介面中反編譯/編輯然後重新編譯Android應用程式二進位制檔案。

• Bytecode-Viewer - 一個Java 8 Jar和Android APK反向工程套件（解碼器，編輯器，偵錯程式等）

• ClassyShark- Android可執行檔案瀏覽器，用於分析APK。

• CodeInspect- 用於Android和Java應用程式的基於Jimple的反向工程框架。

• dedex- 用於反彙編Android DEX檔案的命令列工具。

• dextra- dextra實用程式開始了它的生命，作為AOSP的dexdump和dx - dump的替代品，兩者都相當基本，併產生豐富，但非結構化的輸出。除了支援所有的功能，它還支援各種輸出模式，特定類，方法和欄位查詢，以及確定靜態欄位值。我更新了它以支援ART

• Dex2Jar- 使用android .dex和java .class檔案的工具

• dexdisassembler- 一個用於拆卸Android DEX檔案的GTK工具。

• Enjarify- Enjarify是一個工具，用於將Dalvik位元組碼轉換為等效的Java位元組碼。這允許Java分析工具分析Android應用程式。

• Fern Flower - FernFlower Java反編譯器

• Fino- Android小型檢測工具

• Introspy-Android - Blackbox工具來幫助瞭解Android應用程式在執行時做什麼，並幫助識別潛在的安全問題。

• JD-Gui- 快速Java解壓縮器，方便閱讀java原始碼

• JEB - 互動Android Decompiler

• Lobotomy- Lobotomy是一個Android安全工具包，將自動執行不同的Android評估和逆向工程任務。Lobotomy工具包的目標是提供一個控制檯環境，允許使用者載入其目標Android APK一次，然後擁有所有必要的工具，而不需要退出該環境。1.2版本將保持開源。

• smali- Android的dex格式的彙編/反彙編程式

• smali_emulator - 模擬由apktool生成的smali原始檔，例如，以便在APKs中取消模糊處理和加密。

• Strongdb- Strongdb是一個用Python編寫的gdb外掛，用於幫助除錯Android Native程式。主要程式碼使用gdb Python API。

• Xenotix APK Reverser - 一個開源的Android應用程式包（APK）反編譯和反彙編由dex2jar，baksmali和jd-core

hooking工具

• ADBI- Android動態二進位制測試（ADBI）是一種用於動態跟蹤Android本機層的工具。

• Cydia Substrate - 適用於Android的Cydia Substrate支援開發人員使用注入到目標程式記憶體中的Substrate擴充套件對現有軟體進行更改。

• Diff-GUI - 用於在Android上注入JavaScript的GUI（使用Frida）

• Dynamic Dalvik Instrumentation Toolkit - 簡單易用的Dalvik程式碼動態儀器工具包。

• Frida - 註冊JavaScript以探索Android上的本機應用

• Xposed框架 - Xposed框架使您能夠在執行時修改系統或應用程式方面和行為，而無需修改任何Android應用程式包（APK）。

線上分析

• Android Observatory - Android Observatory是一個面向大量Android應用程式儲存庫的Web介面。它允許使用者搜尋或瀏覽成千上萬的Android應用程式，並檢索這些應用程式的原資料。

• Android APK Decompiler - 解壓APK檔案變得容易。線上反編譯。

• AndroidTotal- AndroTotal是一個免費的服務，掃描可疑APK與多個手機防病毒應用程式。

• Anubis- 未知二進位制檔案的惡意軟體分析。

• Akana- Akana是一個線上Android應用程式Interactive Analysis Enviroment（IAE），它結合一些外掛來檢查惡意應用程式。

• App360Scan- 說明應用程式使用的許可權，以及它可能對使用者造成的危害。

• CopperDroid- 它自動執行Android惡意軟體的開箱即用的動態行為分析。

• Dexter- Dexter是一個具有協作功能的互動式Android軟體分析環境。

• Eacus- Android Lite應用分析框架

• Mobile Sandbox - 移動沙箱提供靜態和動態惡意軟體分析，結合Android應用程式的機器學習技術。

• NVISO ApkScan - NVISO的ApkScan web應用程式允許您掃描Android應用程式的惡意軟體。

• Sandroid- 一個自動Android應用程式分析系統

• Virus Total - VirusTotal是一個免費的服務，可以分析可疑檔案和URL，並有助於快速檢測病毒，蠕蟲，木馬和各種惡意軟體。

Android測試分發

• Android Tamer- Android Tamer是一個虛擬/現場平臺Android安全專業人士。

• Androl4b- 基於Ubuntu Mate的Android安全虛擬機器。它包括來自不同安全專家的最新框架，教程和實驗室的集合，以及用於逆向工程和惡意軟體分析的研究人員

• Appie- 一個行動式軟體包為Android Pentesting和一個真棒的替代現有的虛擬機器。它是Android應用安全評估，Android Forensics，Android惡意軟體分析所需的所有工具的一站式答案。

• AppUse- AppUse是由AppSec Labs開發的VM（虛擬機器）。

• Mobisec- 移動安全測試環境

• NowSecure Lab community edition - 它對移動應用程式進行動態分析（網路流量）

• Santoku Linux- Santoku是一個作業系統，可以作為獨立作業系統在VM外部執行。

• Shadow OS - ShadowOS是一款由Fortify on Demand設計的免費工具，可幫助安全和QA團隊測試Android應用程式的安全漏洞。它是一個基於KitKat的自定義作業系統，它攔截裝置操作的特定區域，並使安全漏洞的測試應用程式更容易。

• Vezir Project - 另一個Linux虛擬機器的移動應用程式Pentesting和移動惡意軟體分析。

Android Vulnerable應用程式

• Android Challenges of Various Conferences/Events

• Damn Vulnerable Android應用程式 - DIVA（Damn不安全和易受攻擊的應用程式）是一個應用程式故意設計為不安全。

• Owasp Goatdroid專案

• ExploitMe labs by SecurityCompass

• InsecureBank V2

• Sieve- Sieve是一個密碼管理器應用程式，充滿了安全漏洞。

Android安全應用框架

• Android IMSI-Catcher-Detector - 它是一個用於檢測IMSI-Catchers的應用程式。IMSI捕獲器是在目標行動電話和服務提供商的真實塔之間起作用的假移動塔（基站）。因此，他們被認為是中間人（MITM）攻擊。在美國，IMSI捕捉器技術被稱為“StingRay”。

• Am I Vulnerable- AIV是一種Android安全應用，可通知使用者在裝置上安裝的應用版本中發現的公開已知漏洞。

• Android Vulnerability Test Suite - 本著開放資料收集的精神，並在社群的幫助下，讓我們對Android安全狀態的一個脈搏。NowSecure提供了一個裝置上的應用程式來測試最近的裝置漏洞。

• NetHunter - Kali Linux NetHunter專案是第一個用於Nexus裝置的開源Android滲透測試平臺。NetHunter支援無線802.11幀注入，一鍵式MANA Evil接入點設定，HID鍵盤（Teensy類攻擊）以及BadUSB MITM攻擊，並且建立在Kali Linux發行版和工具集的堅固肩膀上。

• Koodous- Koodous是一個協作平臺，將線上分析工具的功能與分析人員之間的社互動動相結合，通過一個龐大的APK儲存庫，專注於檢測Android應用程式中的欺詐模式。您可以下載他們的Android應用程式，檢查您的裝置是否包含任何可疑應用程式。

• SecureMe Droid（SMD） - 是一種安全應用程式，用於掃描現有應用程式，新安裝和更新的應用程式已知的漏洞和安全問題的Android裝置。

應用程式安全框架

• AndroBugs- AndroBugs框架是一個Android漏洞分析系統，可幫助開發人員或黑客在Android應用程式中發現潛在的安全漏洞。其命令列介面和輸出提供了極高的效率和精度。

• AppMon- AppMon是一個執行時安全測試和分析框架macOS，iOS和Android應用程式。對於移動滲透測試人員來說，通過在執行時檢查API呼叫來驗證原始碼掃描器的安全問題報告，來驗證安全問題報告是非常有用的。還可用於監控應用程式的整體活動，並專注於看起來可疑的事情，例如資料洩露，憑據，令牌等。您可以使用預定義的指令碼或者編寫自己的在執行時修改應用程式的功能/邏輯，例如欺騙DeviceID ，欺騙GPS座標，偽造應用內購買，繞過蘋果的TouchID等。

• AppRay- App-Ray檢視您的應用程式，並幫助您瞭解他們真正做什麼。在全自動測試中，App-Ray分析應用程式並突出顯示漏洞，資料洩露和隱私洩露。

• Mobile Security Framework (MobSF) - 移動安全框架是一個智慧的，一體化的開源移動應用程式（Android / iOS）自動筆測試框架，能夠執行靜態和動態分析。

• Qark- 快速Android審查工具包 - 此工具旨在尋找幾個安全相關的Android應用程式漏洞，無論是在原始碼或打包APK。該工具還能夠建立“概念驗證”部署APK和/或ADB命令，能夠利用它發現的許多漏洞。沒有必要根植測試裝置，因為此工具側重於在其他安全條件下可以利用的漏洞。

• SUPER- 安全，統一，強大和可擴充套件的Rust分析器可用於自動分析應用程式的漏洞。

Android Malwares相關

• backdoor-apk - 一個shell指令碼，它簡化了向任何Android APK檔案新增後門的過程。

• Contagio Mini Dump - Contagio mobile mini-dump提供了一個上傳保管箱，可供您分享您的移動惡意軟體樣本。

• Android Malwares Databases- 不再維護。

• Android Malware Evaluating Tools

• Maldrolyzer - 從Android惡意軟體（C＆C，電話號碼等）中提取“可操作”資料的簡單框架

• Spreitzenbarth - Android-Malware - Families的列表及其主要功能。

教程

• Android Application Security Series - 一個簡單和詳細的Android應用程式安全系列。有益於Android安全專業人員和開發人員。

• Android Forensics Course

• ARM簡介

• Android Security Articles By Infosec Institute

• Learning Android Bytecode

Android漏洞列表

• Android Vulnerabilties

• Android Vulnerability/Exploit List

• Android CVE Details

Android安全庫

• Android Password Store

• Android Pinning- Android上的證照固定的獨立庫專案。

• Conceal By Facebook- Conceal提供了簡單的Android API，用於執行快速加密和資料認證。

• Dexguard- DexGuard是我們專門的優化和obfuscator的Android。建立更快，更緊湊，更難以破解的應用程式。

• Encryption - 加密是一種向Android專案建立加密字串的簡單方法。

• CWAC-Security - 幫助您幫助您的使用者保護他們的資料

• IOCipher- IOCipher是用於應用程式的虛擬加密磁碟，而不需要裝置根目錄。

• Java AES Crypto - 一個簡單的Android類，用於加密和解密字串，旨在避免大多數類的經典錯誤。

• NetCipher- 這是一個Android圖書館專案，提供多種手段來提高移動應用程式的網路安全性。

• OpenPGP API - OpenPGP API提供了執行OpenPGP操作（例如簽名，加密，解密，驗證等）的方法，無需後臺執行緒的使用者互動。

• OWASP Java HTML Sanitizer

• Proguard- ProGuard是一個免費的Java類檔案縮小器，優化器，混淆器和預校驗器。它檢測和刪除未使用的類，欄位，方法和屬性。

• Spongy Castle - 為Android免費下載Bouncy Castle

• SQL Cipher - SQLCipher是SQLite的開源擴充套件，為資料庫檔案提供透明的256位AES加密。

• Secure Preferences - Android共享首選項封裝比加密共享首選項的鍵和值。

• Trusted Intents - 用於Android應用程式之間靈活的信任互動的庫

最佳實踐

• NIST網路安全實踐指南：“移動裝置安全：雲和混合構建”

• Android安全概述

• 開發人員的Android安全提示

• 移動應用滲透測試備忘錄

• MobileAppReportCard：Microsoft Excel電子表格，用於對Android和iOS移動應用程式進行一致的安全評估

• 專案/ OWASP移動安全專案 - 十大移動控制

• 開發商PCI移動支付接受安全指南

• Android中的安全編碼

• Android應用程式安全設計/安全編碼指南

本文聚安全授權轉載，原作者：lyxw，原文出處：sec-redclub