ev-flow/quark-engine

GitHub: ev-flow/quark-engine

一款面向 Android 平台的恶意软件自动化分析引擎,通过规则驱动的行为检测实现对混淆样本的精准评分与家族溯源。

Stars: 1645 | Forks: 200

Black Hat Arsenal Black Hat Arsenal HITB defcon
build status codecov license python version PyPi Download
Twitter

## 恶意软件家族分析报告展示
| 家族 | 摘要 | 特征行为 | 报告 | |-------------|----------------------------------------------------|--------------------------|--------| | DroidKungFu | 提权并受 C2 控制。 | 1. 获得设备的无限访问权限。
2. 安装/卸载其他应用。
3. 转发机密数据。 | [查看](https://quark-engine.readthedocs.io/en/latest/quark_rules.html#new-quark-rules-for-droidkungfu) | | GoldDream | 窃取短信/通话记录并执行远程 C2 命令。 | 1. 监控短信和电话。
2. 将短信和通话记录上传至远程服务器。 | [查看](https://quark-engine.readthedocs.io/en/latest/quark_rules.html#new-quark-rules-for-golddream) | | SpyNote | 通过 RAT 窃取凭据并进行设备监视。 | 1. 截取屏幕截图。
2. 模拟用户手势。
3. 记录用户输入。
4. 与 C2 服务器通信。 | [查看](https://quark-engine.readthedocs.io/en/latest/quark_rules.html#new-quark-rules-for-spynote) | | DawDropper | 用于安装银行木马以进行金融盗窃的 Dropper。 | 1. 从远程服务器下载 APK。
2. 安装额外的 APK。 | [查看](https://quark-engine.readthedocs.io/en/latest/quark_rules.html#new-quark-rules-for-dawdropper) | | SLocker | 锁定/加密设备的 Android 勒索软件。 | 1. 通过覆盖屏幕锁定设备。 | [查看](https://quark-engine.readthedocs.io/en/latest/quark_rules.html#new-quark-rules-for-slocker) | | PhantomCard | 基于 NFC 中继的金融诈骗。 | 1. 与 C2 服务器通信。
2. 读取 NFC 卡的支付数据。
3. 通过欺骗性界面捕获 NFC 卡的 PIN 码。 | [查看](https://quark-engine.readthedocs.io/en/latest/quark_rules.html#new-quark-rules-for-phantomcard) | ## 快速入门 ### 步骤 1. 通过 PyPi 安装 安装最新版本的 Quark Engine: ``` $ pip3 install -U quark-engine ``` ### 步骤 2. 下载最新规则 获取最新的规则数据库: ``` $ freshquark ``` ### 步骤 3. 生成摘要报告 使用下载的规则分析 APK 并生成摘要报告: ``` $ quark -a -s ``` ### 步骤 4. 查看结果 输出示例: Screenshot-2025-11-25-22-36-54 ## 致谢 ### Honeynet Project Honeynet.org logo ### Google Summer Of Code Quark-Engine 已在 Honeynet Project 组织下参与 GSoC! * 2021: * [YuShiang Dang](https://twitter.com/YushianhD):[新规则生成技术及让 Quark 普及于安全开源项目](https://github.com/ev-flow/ref/blob/main/GSoC-2021-YuShiangDang.md) * [Sheng-Feng Lu](https://twitter.com/haeter525):[替换 Quark-Engine 的核心库](https://github.com/ev-flow/ref/blob/main/GSoC-2021-ShengFengLu.md) 请关注即将到来的 GSoC!加入 [Honeynet Slack 聊天室](https://gsoc-slack.honeynet.org/) 了解更多信息。 ## Quark Engine 团队的核心价值观 * 我们热爱**战场**。我们拥抱**不确定性**。我们挑战**不可能**。我们**重新思考**一切。我们改变人们思考的方式。最重要的是,我们通过**优先**利他来利己。
标签:Android 安全, Android 应用分析, ASN解析, Black Hat Arsenal, DAST, DEFCON, Python, Quark Engine, 云安全监控, 云资产清单, 代码混淆对抗, 威胁情报, 开发者工具, 恶意软件分析, 情报收集, 无后门, 漏洞研究, 目录枚举, 移动安全, 网络安全, 逆向工具, 逆向工程, 隐私保护, 静态分析, 黑盒测试