engine

Estrutura avançada de análise de malware Android

Download

Droidefense (originalmente chamado Atom: uma NALISSA DE ACHINE M ACHINE)* é o codinome da ferramenta Android Apps/Malware Analysis/Revertering. Foi construído focado em questões de segurança e truques que os pesquisadores de malware têm no trabalho todos os dias. Para essas situações sobre onde o malware possui rotinas de anti-análise , o DroideFense tenta contorná-los para chegar ao código e à rotina do 'Bad Boy'. Às vezes, essas técnicas podem ser detecção de máquinas virtuais, detecção de emulador, verificação de autocertificado, detecção de tubos. Tracer Pid Check, e assim por diante.

O DroideFense usa uma idéia inovadora em onde o código não é descompilado em vez de visualizado. Isso nos permite obter a visão global do fluxo de trabalho de execução do código com uma precisão de 100% nas informações coletadas. Com essa situação, o DroideFense gera um relatório HTML sofisticado com os resultados para um entendimento fácil.

• .APK UNMPACKER
• .APK Decodificador de recursos
• .apk enumeração de arquivo
• .apk Classificação e identificação de arquivos
• decodificador XML binário
• Processamento na memória usando um sistema de arquivos virtual
• Fuzzing de recursos e hash
• Calculadora de entropia
• despejo de código nativo
• Análise de certificados
• Detecção de certificado de depuração
• Análise de código OPC
• Detecção de código OPCode não utilizada
• Análise AndroidManifest.xml
• Análise de estrutura interna
• Análise de fluxo de bytecode de Dalvik
• Análise de múltiplas análises de implementação (não testado)
• Geração CFG
• resolvedor de reflexão simples
• Classificação de String
• Geração simulada de fluxo de trabalho
• mecanismo de regras dinâmicas

• Módulo de dados do PSCOUT
• Analisador de manifesto completo do Android, com base na documentação oficial do SDK v23.
• Plugins
• Módulo de aprendizado de máquina (baseado em Weka)

• Plugin de detector de arquivo elfado oculto
• Plugin de detector de arquivo APK oculto
• APLICAÇÃO UID Plugin Detector
• Plugin de privacidade

 java -jar droidefense-cli-1.0-SNAPSHOT.jar -i /path/to/your/sample.apk

 java -jar droidefense-cli-1.0-SNAPSHOT.jar

________               .__    .___      _____                            
______ _______  ____ |__| __| _/_____/ ________   ____   ______ ____  
 |    |  _  __ /  _ |  |/ __ |/ __    __/ __  /     /  ___// __  
 |    `     | (  <_> )  / /_/   ___/|  |   ___/|   |  \___ \  ___/ 
/_______  /__|   ____/|______ |___  >__|  ___  >___|  /____  >___  >
        /                     /    /          /     /     /     / 

* Current build: 			2018_03_09__09_17_34
* Check out on Github: 			https://github.com/droidefense/
* Report your issue: 			https://github.com/droidefense/engine/issues
* Lead developer: 			@zerjioang

usage: droidefense
 -d,--debug                 print debugging information
 -h,--help                  print this message
 -i,--input <apk>           input .apk to be analyzed
 -o,--output <format>       select prefered output:
                            json
                            json.min
                            html
 -p,--profile               Wait for JVM profiler
 -s,--show                  show generated report after scan
 -u,--unpacker <unpacker>   select prefered unpacker:
                            zip
                            memapktool
 -v,--verbose               be verbose
 -V,--version               show current version information
 

• Confira como compilar uma nova versão em:
  • https://github.com/droidefense/engine/wiki/compilation
• Exemplo de relatório de checkout em:
  • https://github.com/droidefense/engine/wiki/pornoplayer-report
• Registros de execução de checkout em:
  • https://github.com/droidefense/engine/wiki/execution-logs

Todo mundo é bem -vindo para contribuir com o DroideFense . Confira as etapas de contribuição do DroideFense para obter instruções sobre como proceder.

E quaisquer outros comentários serão muito apreciados.

Sinta -se à vontade para citar o DroideFense em seus trabalhos. Adicionamos a próxima caldeira para suas referências:

 @Manual{,
  title        = {Droidefense: Advance Android Malware Analysis Framework},
  author       = {{zerjioang}},
  organization = {opensource},
  address      = {Bilbao, Spain},
  year         = 2017,
  url          = {https://droidefense.wordpress.com/}
}

Todos os direitos reservados.

Redistribuição e uso em formulários de origem e binária, com ou sem modificação, são permitidos, desde que as seguintes condições sejam atendidas:

• As redistribuições do código -fonte devem manter o aviso de direitos autorais acima, esta lista de condições e o seguinte aviso.
• As redistribuições em formato binário devem reproduzir o aviso de direitos autorais acima, esta lista de condições e o seguinte aviso na documentação e/ou outros materiais fornecidos com a distribuição.
• Usa a licença GPL descrita abaixo

Este programa é um software livre: você pode redistribuí -lo e/ou modificá -lo nos termos da licença pública geral da GNU, conforme publicado pela Free Software Foundation, versão 3 da licença ou (por sua opção) qualquer versão posterior.