**SecureX** 是一个自动化、AI 驱动的数字取证平台，旨在分析 Android 应用程序 (APK) 的恶意行为。通过协调强大的静态分析（由 MobSF 和 Androguard 提供支持）、实时动态 instrumentation 和威胁情报，SecureX 使用先进的大型语言模型 (LLM) 和检索增强生成 (RAG) 生成包含所有发现结果和可操作威胁叙述的全面技术报告。 ## 🧠 系统架构与工作流 该平台协调一个多阶段分析 pipeline，将确定性评分与生成式 AI 推理无缝链接。 ``` graph LR A([Upload APK]) --> B[Static Analysis
MobSF / Androguard / YARA] A --> C[Dynamic Analysis
Frida Instrumentation] A --> D[Threat Intel
VirusTotal / AbuseIPDB] B --> E{Deterministic
Scoring Engine} C --> E D --> E E --> F[GenAI Reasoning
Groq / Gemini] E --> G[RAG Search
ChromaDB] F --> H([Comprehensive
Technical PDF]) G --> H ``` ## ✨ 核心功能 * **自动化静态分析**：利用 Mobile Security Framework (MobSF)、Androguard 和自定义 YARA 规则对 APK 进行深度扫描，以提取权限、活动、暴露的 receiver、service 和硬编码的机密信息。 * **动态 Instrumentation**：通过 Frida hook 到实时进程，以监控网络流量、SSL 上下文、动态加载的代码 (`DexClassLoader`) 以及 SMS/Location API。 * **威胁情报集成**：将文件哈希和 IP 地址与 VirusTotal 和 AbuseIPDB 进行关联。 * **多智能体生成式 AI 推理**：通过容错背板利用 Groq (Llama 3.3 70B) 和 Google Gemini (2.5 Flash) 生成海量、深入的技术取证报告。 * **RAG 搜索**：在 ChromaDB 中索引历史恶意软件案例，以使用行为模式查找最匹配的恶意软件家族。 * **全面的技术报告**：自动将所有发现格式化为带有证据保管链加密哈希的专业 PDF 文档。 ## 🛠️ 代码库地图 | 目录 / 文件 | 组件 | 角色 / 功能 | | :--- | :--- | :--- | | `app/main.py` | **FastAPI Server** | 暴露 REST API endpoint 并设置 WebSocket 以进行实时进度流传输。 | | `app/pipeline/orchestrator.py` | **Orchestration Engine** | 按顺序协调分析阶段。 | | `app/analysis/` | **静态与动态扫描器** | 包含本地 Androguard 解析器、自定义 YARA 扫描器逻辑以及 Frida 动态分析控制器。 | | `frida_scripts/agent.js` | **Instrumentation 脚本** | 拦截出站 TCP/HTTP 流量、SMS 发送、Location 访问以及 JNI `loadLibrary`。 | | `app/ai/` | **LLM 与 RAG 引擎** | 实现 Groq/Gemini API 回调链、专门的 AI Agent prompt 以及 ChromaDB 向量索引。 | | `app/reporting/` | **取证生成器** | 生成全面的技术 PDF 文件并处理证据保管链 (Chain of Custody) 日志记录。 | ## 🚀 安装与设置指南 由于某些组件（如 Android SDK、模拟器镜像和 AI 模型）非常大，因此它们不包含在此 Git repository 中。请按照以下步骤从零开始完美地设置环境。 ### 1. 前置条件 * **OS**：Linux / macOS * **Python**：`3.10` 或 `3.11` * **Docker**：已安装 `docker-compose` v2+ 插件。 * **NodeJS**：`v18+`（包含 `npm`） ### 2. 环境配置 从提供的示例创建您的本地 `.env` 文件： ``` cp .env.example .env ``` 打开 `.env` 并填入您的 API 密钥（Groq、Gemini、VirusTotal 等）。 ### 3. 安装依赖 **Python 后端：** ``` python3 -m venv .venv source .venv/bin/activate pip install -r requirements.txt ``` **Next.js 前端：** ``` cd frontend npm install ``` ### 4. Android SDK 与模拟器设置（动态分析） 为了使用 Frida 执行动态分析，SecureX 需要一个本地的 headless Android Emulator。 运行自动化设置脚本以下载 Android 命令行工具、系统镜像和 `frida-server` 二进制文件： ``` chmod +x scripts/setup_emulator.sh chmod +x start_emulator.sh ./scripts/setup_emulator.sh ``` *（注意：此步骤需要稳定的互联网连接，并将下载几 GB 的数据。）* ### 5. 启动 MobSF 服务 SecureX 依赖于在 Docker 内运行的本地 Mobile Security Framework (MobSF) 实例。 ``` docker compose up -d ``` 验证 MobSF 是否正在 `http://localhost:8008` 上运行。 ## 💻 运行平台 一切安装完毕后，打开三个单独的终端窗口以运行整个技术栈： **终端 1：启动 Android Emulator** ``` ./start_emulator.sh ``` **终端 2：启动 FastAPI 后端** ``` source .venv/bin/activate uvicorn app.main:app --host 0.0.0.0 --port 8000 --reload ``` **终端 3：启动 Next.js Dashboard** ``` cd frontend npm run dev ``` 您现在可以访问 [http://localhost:3000](http://localhost:3000) 上的 SecureX dashboard，并开始上传 APK 进行取证分析！

标签：Android, DAST, DSL, 云安全监控, 恶意软件分析, 数字取证, 目录枚举, 移动安全, 自动化脚本, 请求拦截, 逆向工具, 静态分析