zoukankan      html  css  js  c++  java
  • Android应用程序及黑客测试工具集合

    1. Hackode

    Hackode是最好用、最流行的的黑客工具之一,可以在谷歌商店免费下载使用。它更像是一款渗透测试器的工具箱,其功能可以满足许多人群的需求:如渗透测试人员,白帽子,IT管理员和网络安全专家等。在这款应用当中,我们可以找到三款模块——Reconnaissance、Scanning以及Security Feed。

    目前它可以完成以下任务:勘察(Reconnaissance)、谷歌黑客(Google Hacking)、DNS挖掘(DNS Dig)、Google Dorks、域名查询服务(Whois)、扫描(Scanning)、Ping、路由跟踪(Traceroute)、MX Records以及安全RSS等。

    这是一款出色的Android黑客应用,非常适合入门者作为起步工具且无需提供任何个人隐私信息。

    下载地址

    2. Apk Inspector

    APK Inspector是一款任何用户都会喜欢的工具。它主要用来对安卓应用进行逆向工程,这意味着你可以得到任何安卓应用的源代码并且对其进行修改。然而,大多数分析师将其作为一个强大的GUI工具,使用它来分析安卓app的运作情况并理解其背后的代码。

     

    这个项目旨在帮助分析和逆向工作者可视化编译后的apk以及DEX代码。APKInspector提供所有函数的分析和图像特征来帮助用户深入理解恶意app。功能包括,CFG控制流程图(control flow graph)、调用图(Call Graph)、静态插桩(Static Instrumentation)、权限分析(Permission Analysis)、Dalvik 代码、Smali 代码、Java 代码以及APK 信息等。

    下载地址

    3. zANTI

    zANTI是一款来自Zimperium的知名Android黑客套件。此软件套件当中包含多种工具,支持嗅探已连接的网络,支持中间人攻击测试、端口扫描、cookie获取、路由安全测试等操作。这款工具非常强大,从2.0开始,所有高级功能全部开放。

     

    这套移动渗透测试工具包允许安全研究人员轻松对网络环境加以扫描。此工具包还允许IT管理员模拟出一套先进黑客环境,并以此为基础检测多项恶意技术方案。

    大家可以将zANTI视为一款能够将Backtrack强大力量引入自己Android设备的应用。只要登录至zANTI,它就会映射整套网络并嗅探其中的cookie以掌握此前曾经访问过的各个网站——这要归功于设备当中的ARP缓存。

    应用当中的多种模块包括网络映射、端口发现、嗅探、数据包篡改、DoS以及MITM等等。

    下载地址

    免费版下载

    4. Bugtroid

    Bugtroid是Bugtraq-Team团队开发的安全检测工具。该apk的主要特征是,它有200多个Android和Linux工具(PRO),可以帮助渗透测试人员进行智能手机的安全评估工作。

    Bugtroid提供免费版和专业版两种形式,对于专业版你需要付费来访问该应用程序的完整功能。

    该应用程序菜单包括:匿名、搜索人员、802.11无线评估、网络探测、远程连接、DDos 嗅探、渗透、安全、审计、评估、破解、暴力尝试、反病毒、系统等。

    下载地址

    5. DroidSheep

    对于初学者和任何想要涉猎黑客世界的人来说,Droidsheep是一款相当高效的黑客应用,主要作用是针对Wi-Fi网络执行安全性分析。这款应用能够劫持网络之上的Web会话,而且几乎适用于全部服务及网站。

     

    在启动Droidsheep应用之后,它会利用一套路由机制对全部Wi-Fi网络流量进行监控与拦截,同时从活动会话当中提取概要信息。在这款应用的帮助下,我们将能够嗅探Facebook、领英、Twitter以及其它各类社交媒体账户。

    DroidSheep Guard,该应用的另一个版本,能够帮助大家在网络之上检测各类ARP嗅探活动——包括由FaceNiff、Droidsheep以及其它软件实施的功能活动。

    下载地址

    6. AndroidRat

    AndroRAT是一款安卓下的远程管理工具,其为客户端/服务端架构,客户端由java Android编写,服务端由Java/Swing编写,能在不和目标机器物理接触的情况下,对其进行远程控制。

    这个工具是一个国外的大学四年级团队的安全项目,旨在帮助用户以远程方式控制Android系统,同时从其中提取信息。这款Android应用会在系统启动完成后以服务形式开始运行。因此,如果用户并不需要与该服务进行交互。此应用还允许大家通过呼叫或者短信等方式触发服务器连接。而Androrat这个名字也很好理解,顾名思义,是Android和RAT (Remote Access Tool)的合体。

    这款极具实用性的Android黑客应用之功能包括收集联系人、通话记录、消息以及所在位置等信息。此应用还允许大家以远程方式对接收到的消息以及手机运行状态加以监控,进行手机呼叫与短信发送,通过摄像头拍摄照片以及在默认浏览器当中打开URL等等。

    下载地址

    7. Revenssis

     Revenssis是一款智能手机平台上的渗透测试套件,包含一系列被用于电脑和web应用程序的安全工具,被称为“手机中的Backtrack”。

     

    在它提供的工具包括:Web应用程序扫描器,编码/解码和hash破解工具,漏洞研究实验室以及一些其他渗透测试常用的功能,如shell,SSH,DNS / WHOIS查询,路由跟踪,端口扫描,垃圾邮件数据库查找,NETSTAT 等。

    功能包括,SQL注入检测、XSS检测、DDOS检测、CSRF检测、SSL配置检测、远程/本地包含漏洞检测等。

    下载地址

    8. 其他更多Android安全检测工具大全

    1)测试工具集

    Appie——轻量级的软件包,可以用来进行基于Android的渗透测试,不想使用VM的时候可以尝试一下。

    Android Tamer ——可以实时监控的虚拟环境,可以用来进行一系列的安全测试、恶意软件检测、渗透测试和逆向分析等。

    AppUse——AppSec Labs开发的Android的虚拟环境。

    Mobisec——移动安全的测试环境,同样支持实时监控。

    Santoku ——基于Linux的小型操作系统,提供一套完整的移动设备司法取证环境,集成大量Adroind的调试工具、移动设备取证工具、渗透测试工具和网络分析工具等。

    2)逆向工程和静态分析

    APKTool ——一个反编译APK的工具,能够将其代码反编译成smali或者java代码,并且能后对反编译后的代码重新打包。

    Dex2jar——Dex2jar可以将.dex文件转换成.class文件或是将apt文件转换成jar文件。

    Oat2dex ——Oat2dex顾名思义和上一个工具类似,用以将.oat文件转化为.dex文件。

    JD-Gui ——用来反编译并分析class、jar。

    FindBugs + FindSecurityBugs——FindSecurityBugs是FindBugs的拓展,可以对指定应用加载各种检测策略来针对不同的漏洞进行安全检查。

    YSO-Mobile Security Framework——Mobile Security Framework (移动安全框架) 是一款智能、一体化的开源移动应用(Android/iOS)自动渗透测试框架,能进行静态、动态的分析.python manage.py runserver 127.0.0.1:1337。

    Qark ——LinkedIn发布的开源静态分析工具QARK,该工具用于分析那些用Java语言开发的Android应用中的潜在安全缺陷。

    AndroBugs——AndroBugs Framework是一个免费的Android漏洞分析系统,帮助开发人员或渗透测试人员发现潜在的安全漏洞,AndroBugs框架已经在多家公司开发的Android应用或SDK发现安全漏洞,如Fackbook、推特、雅虎、谷歌安卓、华为、Evernote、阿里巴巴、AT&T和新浪等。

    Simplify——Simplify可以用来去掉一些android代码的混淆并还原成Classes.dex文件,得到.dex文件后可以配合Dex2jar或者JD-GUI进行后续还原。

    ClassNameDeobfuscator——可以通过简单的脚本来解析smali文件。

    3)动态调试和实时分析

    Introspy-Android——一款可以追踪分析移动应用的黑盒测试工具并且可以发现安全问题。这个工具支持很多密码库的hook,还支持自定义hook。

    Cydia Substrate——Cydia Substrate是一个代码修改平台。它可以修改任何主进程的代码,不管是用Java还是C/C++(native代码)编写的,是一款强大而实用的HOOK工具。

    Xposed Framework——Xposed框架是一款可以在不修改APK的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。

    CatLog——Adroind日志查看工具,带有图形界面。

    Droidbox——一个动态分析android代码的的分析工具。

    Frida——Frida是一款基于python + javascript 的hook与调试框架,通杀androidioslinuxwinosx等各平台,相比xposed和substrace cydia更加便捷。

    Drozer——Drozer 是一个强大的app检测工具,可以检测app存在的漏洞和对app进行调试。

    4)网络状态分析和服务端测试

    Tcpdump——基于命令行的数据包捕获实用工具。

    Wireshark——Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。

    Canape——可以对任何网络协议进行测试的工具。

    Mallory——中间人(MiTM)攻击工具,可以用来监视和篡改网络内的移动设备和应用的网络流量数据。

    Burp Suite——Burp Suite 是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程。所有的工具都共享一个能处理并显示HTTP 消息、持久性、认证、代理、日志、警报的一个强大的可扩展的框架。

    Proxydroid——Android ProxyDroid可以帮助的你设置Android设备上的全局代理(HTTP / SOCKS4 / SOCKS5)。

    5)绕过Root检测和SSL的证书锁定

    Android SSL Trust Killer—— 一个用来绕过SSL加密通信防御的黑盒工具,功能支持大部分移动端的软件。

    Android-ssl-bypass——命令行下的交互式安卓调试工具,可以绕过SSL的加密通信,甚至是存在证书锁定的情况下。

    RootCoak Plus—— RootCloak隐藏root是一款可以对指定的app隐藏系统的root权限信息。

    6)其他安全相关的库

    PublicKey Pinning——公钥锁定。

    Android Pinning——一个独立开发的用于实现Android证书锁定的库。

    Java AES Crypto—— 一个用来加解密字符串的Android类,目的是防止开发整使用不恰当的加密方式从而导致的安全风险。

    Proguard——ProGuard是一个压缩、优化和混淆Java字节码文件的免费的工具,它可以删除无用的类、字段、方法和属性。可以删除没用的注释,最大限度地优化字节码文件。它还可以使用简短的无意义的名称来重命名已经存在的类、字段、方法和属性。常常用于Android开发用于混淆最终的项目,增加项目被反编译的难度。

    SQL Cipher——SQLCipher是一个开源的SQLite扩展,提供使用256-bit的AES加密来保证数据库文件的安全。

    Secure Preferences——用来加密Android上的Shared Preferences防止安全防护不足的情况下被窃取。

     

     

    2. AndroRAT

    AndroRat是一款安卓下的远程管理工具,其为客户端/服务端架构。客户端由java Android编写,服务端由Java/Swing编写,能在不和目标机器物理接触的情况下,对其进行远程控制。

    这个工具是一个国外的大学四年级团队的安全项目,这款应用的目的是远程操控android设备并且从中获取信息。而Androrat这个名字也很好理解,顾名思义,是Android和RAT (Remote Access Tool)的合体。

    3.SpoofApp

    SpoofApp其实是一款用于娱乐的工具。你可以用它来修改本机的来电显示号码。当你给你朋友打电话时,你可以将ta手机上的来电显示号码修改为任意你想要的。还有一些其它的功能,例如变声器和对通话进行全程录音。不过修改来电的功能你需要另外去购买。

     

    4.WhatsApp Sniffer

    WhatsApp Sniffer是一款很棒的安卓黑客工具。在他人使用你的Wifi热点的情况下,你可以破解他的WhatsApp聊天记录,图片,音频和视频。不过杀毒软件会对它进行查杀,所以在使用之前先关闭你的杀毒软件吧。

     

    5.APK Inspector

    APK Inspector是一款任何用户都会喜欢的工具。它主要用来对安卓应用进行逆向工程。这意味着你可以得到任何安卓应用的源代码并且对其进行修改。然而,大多数分析师将其作为一个强大的GUI工具,使用它来分析安卓app的运作情况并理解其背后的代码。

     

    6.Eviloperator

    这款工具可以在一个通话中同时接通两个人,并且让这两个人感觉他们在互相通话。它最大的优点是你可以记录和保存整个通话。

    7. Kill Wi-Fi

    它是一款在其领域非常流行的开源黑客app。类似于Windows平台下的网络剪刀手,它可以切断局域网中任何的Wifi连接。当你的公开Wifi的密码不足够强大而被未授权者登陆时,这款工具就变得十分有用了,简单的点击几下屏幕,你就可以将入侵者的Wifi连接切断。它拥有清晰和交互式的界面,是一款易于使用的工具。

     

    8. DroidSheep

    对于初学者和任何想要涉猎黑客世界的人来说,DroidSheep是一个很奇妙的黑客工具。任何一个拥有安卓设备的用户都可以很容易地使用它。它是一款Android平台上的安全测试工具,可以用来进行web session劫持等安全测试。它能够监听通过无线传输的HTTP包并且提取其中的会话ID。

     

    9.Burp Suite

    Burp是一个用来实施Web应用安全测试的集成平台。它的各种工具无缝对接,从最初的目录探测到之后的应用攻击面分析,以此来寻找和评估潜在的安全威胁。

    10. dSploit

    dSploit是一款Android平台的网络分析和渗透套件,使用它可以对移动设备进行专业的网络安全评估。你可以用它分析、捕捉和发现网络包,扫描网络中的设备,比如手机、笔记本,并且发现他们的操作系统、服务和开放端口进行更深层次的渗透测试。

     

    11.Zanti

    借助于此工具,你可以使用Android手机发动许多种攻击,它包含几乎所有与WiFi网络相关的安全工具。

     

    12.Shark for Root

    Shark for Root是一款安卓平台下的流量嗅探工具,可以很方便的在手机上直接抓包,免去了各种电脑连接、网络连接的麻烦,借助于这个工具,你可以对任何的网络进行嗅探,并且从Wi-Fi网络中收集到大量的数据。它运行于3G和Wi-fi环境下。

    13.AnDOSid

    AnDOSid是一款专门为安全专家而设计的测试工具,用来执行DOS攻击。借助它,你可以在安卓设备上对网站或者网站服务器发动DOS测试攻击。

    14.FaceNiff

    FaceNiff是一款用来嗅探和拦截你设备所连接的Wi-Fi网络的web session profiles的安卓工具。如果你和受害者正在使用同一个网络,并且FaceNiff处在运行状态。那么它将捕捉这个网络登陆的所有的Facebook账号和密码(其它账号同理)。这一工具是需要付费的,但是网络上有许多的破解版本。 

    15.Nmap for Android

    Nmap是一款流行的网络安全扫描工具,同时它也有相应的安卓版本。专业人员使用它进行网络探测。它在root或非root环境都能正常运作。然而,如果你的设备root过了,那么你可以使用更多的功能。借助于它,你可以对网络进行扫描,得到端口和系统细节信息。

     

     

     

     

    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

    微信公众号:  共鸣圈
    欢迎讨论,邮件:  924948$qq.com       请把$改成@
    QQ群:263132197
    QQ:    924948

    良辰美景补天漏,风雨雷电洗地尘
    ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
  • 相关阅读:
    Python中读取文件中的json串,并将其写入到Excel表格中
    Python中替换敏感字
    Python写一个批量生成账号的函数
    解决MySQL不允许远程连接的问题
    Jenkins安装与配置
    Jmeter监听tomcat
    onlyoffice document docker版安装使用总结
    onlyoffice-DocumentServer 的权限验证
    docker 部署es
    docker部署graylog使用教程
  • 原文地址:https://www.cnblogs.com/welhzh/p/13940768.html
Copyright © 2011-2022 走看看