psychomad/gama-framework

# GAMA Framework — 快速入门 **Greyware 分析与缓解方法 v1.0** CenturiaLabs · ClickSafe UAE ## 启动 ``` python3 main.py ``` ## 外部依赖（非 Python） | 工具 | 用途 | 安装方式 | |----------|----------------------------------|----------------------------| | apktool | APK 反编译 + smali | https://apktool.org | | jadx | 从 APK 获取 Java 源代码 | https://github.com/skylot/jadx | | frida | 动态插桩 | pip install frida-tools | | zeek | pcap 分析 | https://zeek.org | ## 工作区结构 ``` workspace/ └── 20260314_1200_nome-app/ ├── meta.json ← stato sessione ├── findings.jsonl ← tutti i findings (append-only) ├── static/ │ ├── apktool_out/ ← decompilazione apktool │ ├── jadx_out/ ← sorgente Java │ ├── phase0_intake.json │ ├── manifest_analysis.json │ ├── uri_scheme_scan.json │ └── sdk_fingerprint.json ├── dynamic/ │ ├── gama_uri_[pkg].js │ ├── gama_ids_[pkg].js │ ├── gama_persist_[pkg].js │ └── observations.log ├── network/ │ ├── dns.log ← Zeek │ ├── conn.log ← Zeek │ └── dns_classification.json ├── rules/ │ ├── dns_sinkhole.txt │ ├── gama.zeek │ └── gama.rules └── report/ └── report_YYYYMMDD_HHMM.json ``` ## GAMA 技术 | ID | ATT&CK Mobile | 描述 | |------------|---------------------|--------------------------------------| | GAMA-T001 | T1637.002 (提议)| 自定义 URI scheme 绕过 | | GAMA-T002 | T1407 | 安装后静默 payload | | GAMA-T003 | T1624.003 (提议)| 后台任务持久化 | | GAMA-T004 | T1665 | 通过 CDN 进行域前置 | | GAMA-T005 | 新增 | JNI 策略绕过 | | GAMA-T006 | 新增 | 高级版视觉假象 | ## 发现分类 - **Class-A**: 运作正常，与声明的功能相称 - **Class-B**: 超出比例，超出功能但不具有欺骗性 - **Class-C**: 隐藏，使用技术手段规避检测 - **Class-D**: 具有欺骗性，与隐私政策的明确声明相抵触

标签：Android安全, Apktool, APK逆向, Cloudflare, Docker支持, Frida, Jadx, MITRE ATT&CK, Rootkit, Zeek, 云安全监控, 威胁情报, 安全工具开发, 开发者工具, 灰软件分析, 移动安全框架, 移动应用安全, 网络安全, 网络流量分析, 自动化安全审计, 逆向工具, 隐私保护, 隐私合规检测, 静态分析