mohitpaddhariya/cidecode-ringzero
GitHub: mohitpaddhariya/cidecode-ringzero
一款面向执法取证人员的 Android APK 威胁分析平台,通过静态与动态沙箱分析自动检测恶意行为并定位 C2 服务器,生成可操作的取证报告。
Stars: 0 | Forks: 0
# APK 威胁分析平台 — 含 C2 检测
**一句话概括:** 调查人员上传一个可疑的 Android 应用,工具会在一分钟内用通俗语言说明该应用暗中做了什么、将被窃数据发往何处,并生成一份可供警察采取行动的报告。
## 从这里开始:问题所在(无需技术背景)
想象一下在印度发生的这个真实且每天都在上演的场景:
现在假设你是**警方调查人员**。你扣押了一部手机。里面有一个可疑的应用。你需要快速回答几个简单的问题:
- **这个应用到底在干什么?**(是在窃取通讯录吗?读取你的短信吗?录制音频吗?)
- **被窃取的数据去了哪里?**(哪个服务器、哪个 Telegram 账号、我们可以追查哪个人?)
- **我们能否以一种在法庭上站得住脚的方式来证明它?**
如今,获取这些答案是**缓慢且碎片化的**。该应用必须被送往专业的取证实验室,分析师需要手动折腾几个不同的工具,这可能需要几天时间。大多数调查人员不是程序员,看不懂应用代码。这种延误帮了罪犯的忙,却伤害了受害者。
**几个术语的通俗解释:**
- **APK** = Android 应用的安装文件(就像 Windows 上的 `.exe`)。它就是打包好的应用程序。
- **C2 ("命令与控制") 服务器** = 罪犯的“大本营”计算机,恶意应用会秘密与它通信——以接收指令和被窃取的数据。**找到 C2 是最终目标**,因为它指向了犯罪背后的操控者。
- **Malware (恶意软件)** = 旨在造成损害(监视、窃取、敲诈勒索)的软件。
## 本工具的功能
它是一个单一的 Web 应用,能够自动完成分析师的工作,并向非专业人士解释清楚。你**上传可疑的 APK**,它就会:
1. **在不运行应用的情况下查看其内部**(“静态分析”)——读取它请求了哪些权限(通讯录?短信?相机?),并提取出隐藏的线索,如网址、电话号码和密钥 token。
2. **在封闭的沙箱中安全地运行该应用**(“动态分析”)——这是一个一次性的、隔离的、运行在计算机上的 Android 虚拟手机,没有真实的互联网连接,因此恶意软件可以在无法伤害任何人的环境下肆意妄为。该工具**监控它的一举一动**,最关键的是,**在数据被加密打乱之前,截获应用试图发送的数据**——这样即使应用试图隐瞒,也能读取到真实的发送目的地。
3. **将这两种视角结合起来**——并标记出那个暴露真相的谎言:应用的文件*声称*它在与自己友好的服务器通信,但实际上它正把你的短信发送到某个 Telegram 账号。**这种矛盾之处就是犯罪证据。**
4. **生成一份清晰的报告**——一份通俗语言的摘要(“高风险:伪装的借贷应用,窃取通讯录和短信,并将其发送至 Telegram 频道”)、技术证据,以及一份供警官**随时可签署的法律工作表**。
### 一个简单的类比
把它想象成针对可疑包裹的**海关 X 光机加上一个封闭的测试舱**。X 光(静态)无需打开即可显示里面的东西。封闭舱(动态)让你能安全地观察到包裹被激活后*会做什么*——而不会让任何有害物质泄露。然后你会得到一份打印好的报告,解释你发现了什么。
## 相比仅仅“扫描”应用,它的优势在哪里
许多工具只会列出应用的权限或给出一个“评分”。但调查人员需要更多。本工具专注于那些真正能破解案件的部分:
- **它能找到被窃数据的真实去向**,即使应用加密了它的流量来隐藏行踪——通过在数据被加密*之前*进行读取来实现。
- **它能识破应用声称的功能与其实际行为之间的谎言。**
- **它说调查人员的语言**——顶部是通俗易懂的调查发现,底部是取证报告,无需任何编程知识。
- **专为印度网络犯罪量身定制**——针对虚假借贷应用、裸聊敲诈、OTP/短信窃取,以及这些团伙实际使用的 Telegram/Discord 频道。
## 本工具**不是**什么(我们对此非常坦诚)
这种坦诚是一项核心特性——对于警察/取证受众来说,夸大其词是失去信任的最快途径。
- **它提供的是调查线索,而不是有罪判决。**“严重 (CRITICAL)”的结果意味着“优先检查这个”,而不是“这个人有罪”。最终决定权永远在人类手中。
- **它本身不能使证据在法庭上被采纳。**这仍然需要合法的扣押、妥善的保管、一份**人类签署的法律证明**以及检验人的证词。该工具只是*准备*了一份预先填充好的证明工作表——但它留白了签名处,因为**软件在法律上无法自我证明。**
- **“我们什么都没发现”绝不意味着“它是干净的”。**狡猾的恶意软件可以检测到自己正被监控,从而保持静默。发生这种情况时,工具会提示**“结果不确定——可能存在规避行为”**,而绝不会说“安全”。
## 适用人群
- **警方调查人员**——快速获取关于扣押应用的可读答案,以及一份可用于推进案件的报告。
- **网络取证审查人员(例如 CCITR)**——进行具备防御性、可重复的分析,并妥善处理证据。
- **任何为了合法、授权的调查而需要对可疑 Android 应用进行甄别的人。**
## 工作原理(简单的 4 步流程)
```
1. UPLOAD 2. LOOK INSIDE 3. SAFELY RUN IT 4. REPORT
the suspicious → (read permissions → in a sealed, → plain-English
app (APK) + hidden clues) isolated sandbox finding + a
and watch it court-ready
steal & "phone evidence pack
home"
```
整个过程完全在**离线**状态下运行(演示期间无需互联网),并且**真实的恶意软件只会在一次性、封闭的虚拟机中运行**,每次使用后都会被彻底擦除——绝不会在调查人员自己的电脑上运行。
## 面向技术读者
完整的工程计划(架构、构建阶段、风险和验证)位于 **`.claude/plans/apk-threat-analysis-platform.md`** 中(v3 版本,经过两轮对抗性审查打磨完善)。简述如下:
- **后端:** Python 3.11 + FastAPI;通过 androguard 进行静态分析;通过 Android 模拟器 + Frida instrumentation(包括用于在加密前恢复明文的原生 `SSL_write` hook)+ mitmproxy + packet capture 进行受控的动态分析;采用关联式且经过校准的 C2 评分;MITRE ATT&CK Mobile 映射;带有哈希链审计追踪的加密证据库 (SQLCipher)。
- **前端:** Next.js + Tailwind + shadcn/ui 调查员仪表板(摘要、C2 候选者、网络图表、时间线、报告)。
- **输出:** 审查员的证据包 (PDF),包含一份预先填充好的、**未签署的**《Bharatiya Sakshya Adhiniyam (BSA) 2023》第 63 条 (§63) 证明工作表。
- **设计上的诚实:** 结果是带有明确基准和置信区间的调查优先级线索——而不是自我认证的裁决。
## 文档
所有面向人类的文档都位于 **[`docs/`](docs/)** 中,以保持仓库根目录的整洁:
- **[`docs/pipeline-overview.md`](docs/pipeline-overview.md)** — ⭐ **从这里开始:** 一张图展示完整的端到端流程 + 完整的 RupeeQuick 探索之旅
- **[`docs/static-flow.md`](docs/static-flow.md)** — 静态分析的工作原理(附图表)
- **[`docs/dynamic-flow.md`](docs/dynamic-flow.md)** — 动态分析的工作原理(沙箱 + 加密前读取技巧)(附图表)
- **[`docs/c2-scoring-flow.md`](docs/c2-scoring-flow.md)** — C2 决策是如何做出的(相关性 + 关联评分)(附图表)
- **[`docs/report-flow.md`](docs/report-flow.md)** — 调查结果如何转化为审查员的证据包 + 未签署的 BSA §63 工作表(附图表)
- **[`docs/plain-english-explainer-for-presentation.md`](docs/plain-english-explainer-for-presentation.md)** — 适合演示的通俗语言概述
只有 **`README.md`** 位于**根目录**(工具和约定会在该位置加载它);其他所有内容都位于 `backend/`、`frontend/`、`engine/`、`docs/` 和 `docker/` 下。
## 项目状态
**规划已完成;实现尚未开始。** 该仓库目前存放的是构建计划和规范准则。代码将分阶段(P0–P7)构建,首先从最难组件(安全的实时分析沙箱)的降风险验证冲刺 (spike) 开始。
标签:Android安全, DAST, 云安全监控, 威胁情报, 开发者工具, 恶意软件分析, 移动端取证, 请求拦截, 静态分析