Vehicle Security Toolkit

مجموعة أدوات اختبار أمان السيارات/Android/البرامج الثابتة/الرمز

• مركبة الأمن توكيت
  • ثَبَّتَ
    • init_local.sh
    • init_remote.sh
  • استخراج البرامج الثابتة
    • IMG-extract.sh
    • adb-extract.sh
  • اختبار APK
    • APK-allinone.py
  • الاختبار الثنائي
    • bin-allinone.py
  • اختبار رمز المصدر
    • src-allinone_java.py
    • src-allinone_c.py
  • اختبار النظام
  • اختبار الضعف
  • اختبار الامتثال الخصوصية
  • اختبار زغب APK
  • نص اختبار فريدا
  • أدوات أخرى
  • تابعنا

يمكن أن يستغرق التثبيت الكامل على Ubuntu 20.04 (Python 3.8 وما فوق) عدة ساعات. إذا كنت قلقًا بشأن تدمير البيئة المحلية ، فيمكنك استخدام جهاز افتراضي. يرجى الاطلاع على DEV للحصول على التفاصيل.

قم بتثبيت Android SDK على جهاز Linux المحلي وقم بتنفيذ init_local.sh .

$ sudo snap install android-studio --classic  # 完成后打开android-studio进行设置

$ git clone https://github.com/firmianay/Vehicle-Security-Toolkit.git
$ cd Vehicle-Security-Toolkit && ./init_local.sh

قم بتوصيل ADB بجهاز Android عن بُعد وقم بتنفيذ init_remote.sh :

$ ./init_remote.sh [android | linux] [adb | ssh ip:port]

ملاحظة: يمكن استخدام عرض شاشة SCRCPY عندما تحتوي أجهزة Android على لوحات فقط ولا شاشات.

قم بتنزيل حزمة fastboot.zip ، وقم بإلغاء ضغطها وإزالة super.img من دليل الصور.

استخراج البرامج الثابتة من Android ROM بنقرة واحدة.

$ ./img-extract.sh [super.img | fastboot.zip]

استخراج البرامج الثابتة من أجهزة Android بنقرة واحدة.

$ ./adb-extract.sh
******************* adb-extract.sh ********************
    1. Collect basic information, init and selinux
    2. Execute live commands
    3. Execute package manager commands
    4. Execute bugreport, dumpsys, appops
    5. Acquire /system folder
    6. Acquire /sdcard folder
    7. Extract APK files
    8. Extract data from content providers
    9. Extract databases and keys
    10. Extract compressed and bin files
    11. Acquire an ADB Backup
    12. Do all of the above
Choose an option: 

مكالمة واحدة واحدة لجميع أدوات APK لإجراء فحوصات واحدة أو دفعة واحدة. تسمى الأدوات الموجودة في دليل APK_SCAN كمكتبات ويمكن أيضًا استخدامها بشكل مستقل.

$ docker run -it --rm -p 8000:8000 opensecurity/mobile-security-framework-mobsf
$ docker-compose -f ./tools/mobileAudit-main/docker-compose.yaml up

$ find ~ /apks -name " *.apk " | xargs realpath > ./data/apk.list
$ python3 apk-allinone.py --config ./data/apk.list --decompile

استدعاء واحد لجميع الأدوات الثنائية لفحوصات واحدة أو دفعة واحدة. تسمى الأدوات الموجودة في دليل Bin_Scan كمكتبات ويمكن أيضًا استخدامها بشكل مستقل.

$ find ~ /apks -type f | xargs file | grep " ELF " | cut -d " : " -f 1 | xargs realpath > ./data/bin.list
$ python3 bin-allinone.py --config ./data/bin.list

مكالمة واحدة إلى جميع أدوات رمز مصدر Java/Android للمسح الضوئي الفردي أو الدُفعات. تسمى الأدوات الموجودة في دليل SRC_SCAN كمكتبات ويمكن أيضًا استخدامها بشكل مستقل.

$ readlink -f ~ /hmi/apps/ * > ./data/src.list
$ python3 src-allinone_java.py --config ./data/src.list --build_config ./demo/build_config.json --build

استدعاء واحد استدعاء جميع أدوات رمز مصدر C/CPP لمسح الدفعة.

$ python3 src-allinone_c.py --src ~ /source

تتسابق واحدة من تكوين kernel Android ، التمهيد الآمن ، Selinux ، إلخ.

$ python3 sys-allinone.py --sys ~ /source

فحوصات الضعف الواحدة لأجهزة Android/Linux. تسمى الأدوات الموجودة في دليل CVE_SCAN كمكتبات ويمكن أيضًا استخدامها بشكل مستقل.

$ python3 cve_allinone.py --arch [x64 | arm | aarch64] --connect [adb | ssh] --device ip:port

اختبار الامتثال لخصوصية تطبيق Android.

$ python3 tools/camille-master/camille.py -ns -t 3 -f demo.xls

أداة fuzz على أساس تنفيذ drozer. apk_fuzz

فريدا

أدوات أخرى

يلتزم Vulntotal Security بمشاركة المقالات الأصلية عالية الجودة وأدوات المصادر المفتوحة ، بما في ذلك إنترنت الأشياء/الأمن التلقائي ، وأمن الأجهزة المحمولة ، والهجوم السيبراني والدفاع ، إلخ.

رخصة عامة عامة في GNU v3.0