通过检查Android应用程序的smali代码识别泄露的私人信息
我试图通过检查Android应用程序的smali代码来检测私人信息的泄漏。到目前为止,我的策略是。。搜索将个人信息(如IMEI、电话号码)替换为变量的代码,然后跟踪该变量,直到该变量被发送到internet或不再使用为止 有什么好的工具可以做这件事吗 我试过了通过检查Android应用程序的smali代码识别泄露的私人信息,android,security,reverse-engineering,smali,Android,Security,Reverse Engineering,Smali,我试图通过检查Android应用程序的smali代码来检测私人信息的泄漏。到目前为止,我的策略是。。搜索将个人信息(如IMEI、电话号码)替换为变量的代码,然后跟踪该变量,直到该变量被发送到internet或不再使用为止 有什么好的工具可以做这件事吗 我试过了 无胸肌(http://code.google.com/p/apkinspector/) 安卓卫士(http://code.google.com/p/androguard/) 安德罗沃恩(https://github.com/maaaaz
- 无胸肌(http://code.google.com/p/apkinspector/)
- 安卓卫士(http://code.google.com/p/androguard/)
- 安德罗沃恩(https://github.com/maaaaz/androwarn)
,但这些都不可能实现我想要的功能。解包classes.dex,使用dex2jar并使用jdgui进行检查,如果jdgui没有崩溃,它会更简单
您还可以搜索需要获取某些信息的函数调用,如imei谢谢您的评论。但是我想使用smali代码,因为将classes.dex转换为java源代码时可能会丢失一些信息。制作一个调用android.telephony.TelephonyManager.getDeviceId()的简单应用程序,然后使用apktool d.apk打开smali e搜索以调用virtual/invoke direct call,您将拥有一个在smali中获取imei的模式