R00-K/android-forensic-analysis

# Android 恶意软件取证分析 @R00k ## 概述 本仓库展示了一份经过编辑的取证分析报告，该分析针对一个作为调查演练一部分而检查的、受到严密保护的 Android 应用程序。 本次分析的目标是识别该应用程序使用的通信行为、规避技术以及潜在的命令与控制（C2）基础设施。 ## 主要亮点 - 对**高度混淆的 Android APK** 进行分析 - 绕过了传统的逆向工程限制 - 识别出**自定义网络行为** - 检测到**通过 QUIC (HTTP/3) 进行的加密通信** - 通过**网络级分析**发现外部通信端点 ## 方法论 ### 1. 静态分析 - 尝试使用 APKTool 和 JADX 进行反编译 - 遇到蓄意的混淆和结构篡改 - 提取并分析了 `classes.dex` 和原生 `.so` 库 ### 2. 动态分析 - 使用 Frida 进行插桩 - Hook 了标准网络函数（`connect`、`send`、`recv` 等） - 观察到**无活动**，表明绕过了常规 API ### 3. 行为观察 - 识别出使用了： - 原生保护 - 反 Hook 机制 - 自定义二进制通信协议 ### 4. 网络分析（突破） - 在已 Root 设备上使用 `tcpdump` 捕获流量 - 使用 Wireshark 分析 PCAP 数据 - 观察到： - 加密的 QUIC 流量 - 一致的外发通信模式 - 通过 TLS 握手（SNI）暴露的域名 ## 主要发现 - 该应用程序**不依赖标准网络 API** - 使用**自定义或隧道通信机制** - 实施了**现代规避技术**，包括： - 混淆 - 原生反分析 - 协议级隐藏 - 尽管有这些保护措施，**网络级监控仍揭示了通信行为** ## 工具与技术 - Frida（动态插桩） - APKTool / JADX（静态分析） - tcpdump（数据包捕获） - Wireshark（流量分析） - Android（Root 环境） ## 关键要点 - 传统的逆向工程在面对高级保护时可能无效 - 恶意软件越来越多地利用： - 原生代码 - 自定义协议 - 像 QUIC 这样的现代传输层 - **当应用层可见性有限时，网络流量分析仍然是一种可靠且强大的技术** ## 免责声明 本报告**已编辑，以移除敏感指标和标识符**。 其分享严格仅用于教育和研究目的。 ## 关于我 我是一名专注于以下领域的网络安全爱好者： - 恶意软件分析 - 逆向工程 - 数字取证 - 网络安全 ## 联系方式 如果您有兴趣讨论这项工作或类似项目： - LinkedIn: https://www.linkedin.com/in/godwin-jose/ - Email: itsmegodwin05@gmail.com

标签：Android, Anti-Hooking, APKTool, Docker支持, DOM解析, DSL, Frida, Hook, Hook检测, HTTP/3, JADX, Native库, PCAP, QUIC, Root, SNI, SO文件, TLS, Wireshark, 云安全监控, 云资产清单, 代码混淆, 协议分析, 反分析, 反调试, 句柄查看, 命令与控制, 恶意软件, 数字取证, 权限提升, 混淆, 目录枚举, 移动安全, 网络安全, 网络通信, 自动化脚本, 逆向工程, 防御工具, 隐私保护, 静态分析