昨天折腾安卓审查测试的经历
这年头手机上装个啥应用,心里总有点打鼓,不自己动手查查总觉得不踏实。前段时间刚好看到有人讨论安卓应用该怎么查,我就琢磨着实际走一遍流程。别信那些花里胡哨的教程,今天我就把我的实操过程原原本本倒出来!
第一步:先找家伙事儿
说干就干,我第一反应就是找点趁手的工具。翻了不少地方,确定了几个免费又不用注册的老实工具。记住名字:一个是用来看看应用里都有啥文件的老实汉(就是类似于资源管理器的东西),一个是用来偷窥安装包信息的小助手(分析APK信息),还有一个是专门抓取手机和后台说啥悄悄话的包工头(网络抓包工具)。重点:都得是靠谱地方下的老版本,省心!
第二步:手机也得准备好
光有工具不行,手机也得配合演戏。我翻出我那台刷过机、连了调试线的老安卓机(你懂的,做测试机最合适)。关键几步:先在手机设置里把“开发者选项”扒拉出来,进去把“USB调试”开关啪一下打开!这就等于给手机开了个后门,方便我电脑那边连上去使唤它。
小编温馨提醒:本站只提供游戏介绍,下载游戏推荐89游戏,89游戏提供真人恋爱/绅士游戏/3A单机游戏大全,点我立即前往》》》绅士游戏下载专区
第三步:装上目标,查户口!
这回我找了个小游戏当目标。安装包往手机里一丢,装紧立马祭出之前找好的“APK分析小助手”。把它拖到电脑桌面,双击打开,直接把安装包拖进去!唰一下,这家伙就把这应用的底裤给扒了:用了啥权限?调用了哪些系统功能?有没有啥奇怪的代码库?清清楚楚,一眼扫过去就能发现猫腻——比如这个破游戏为啥要访问我通讯录?绝对可疑!
第四步:抓包看它在忙活啥
权限查完了,得看看它在后台捣鼓啥数据。启动那个“包工头”抓包工具,配置好代理让手机流量全从它这儿过。然后在手机上点点划划玩那个游戏。玩个几分钟回去看抓包工具,好家伙!密密麻麻全是手机和游戏后台来回传的数据包。我就埋头在里面翻,主要找那些看着像“用户信息”、“设备码”、“登录记录”的数据。果然逮着了:这游戏玩着玩着就不停地把我手机型号、屏幕大小啥的往它自家服务器发!
第五步:拆包看看里面藏着啥
前面几步属于“外围侦察”,一步得“深入虎穴”。用“资源管理器”工具连上手机,直接找到那小游戏的安装目录。进去一顿翻,主要是找找配置文件(.conf、.xml后缀的那些)、找找它存数据的小仓库(数据库文件)。翻着翻着,眼珠子都快瞪出来了!在一个不起眼的文件夹角落里,发现了它偷偷保存的用户登录记录!明文!一点没加密!就跟日记本摊开在那儿似的。
搞完了,几点糙话总结一下
- 工具别贪多:找两三个自己顺手的,折腾熟比啥都强,网上一搜一堆免费的老工具;
- 测试机要够破:最好就是刷过机、不怕折腾的安卓机,啥都敢往里装;
- 权限申请像查户口:第一步就得看它“要啥”,凡是跟功能无关的都打问号;
- 网络流量盯紧点:抓包是重头戏,往往能发现它背地里传了啥见不得光的东西;
- 文件翻个底朝天:别怕麻烦,犄角旮旯里往往藏着它的秘密小本本。
折腾完这一大圈,我算是明白了,这玩意儿就是个细致活儿。按我这土法子走一遍,大部分安卓应用肚子里那点小九九,基本都能摸个八九不离十!自己动手试试?保证你有惊喜(也有可能是惊吓)!
