aparoid

Aparoid是為Android應用程序分析設計的框架。它提供了一組自動化的工具，以發現移動應用程序中的漏洞和其他風險。它是使用燒瓶框架構建的，並提供Web GUI來上傳APK文件並探索內容 /結果。

當前版本提供以下功能：

• 使用JADX的APK解次數
• 漏洞檢測系統（可以使用儀表板配置規則）
• 二進製文件風險分析
• 框架的定制功能，例如React Native，Flutter，Xamarin和Cordova
• Android清單安全檢查
• 對所有（生根）Android設備（基於物理，模擬和雲）的動態分析
• FRIDA腳本繞過根檢測，SSL固定和調試器檢測（也支持自定義腳本）
• 自動安裝根CA證書（也支持Burp Suite）
• HTTP（S）使用Kafka的攔截代理和實時交通查看器
• 實時應用程序存儲的數據瀏覽器

git clone https://github.com/stefan2200/aparoid
cd aparoid
docker-compose up

本地版本

sudo apt-get install python3 python3-pip sqlite3 default-jre android-tools-adb gunicorn libmagic1
git clone https://github.com/stefan2200/aparoid
cd aparoid
python3 -m pip install --upgrade -r requirements.txt

# The python-magic-bin library is required on Windows
python3 -m pip install python-magic-bin

# Start the server on port 7300
./start.sh

可選地，如果要使用大多數動態分析功能，建議安裝KAFKA。下面的命令還安裝了Postgres（比SQLite快）。您可以通過修改config.py文件切換到Postgres。

 cd collector
docker-compose up -d

Aparoid檢查許多代碼漏洞和問題。

可以瀏覽漏洞的列表，並隨著對源代碼的關注引用。

此外，它還分析了本地二進製文件的硬化技術，並提供了一些有關該技術如何提高安全性的信息。

靜態代碼分析引擎提供了易於使用的數據庫系統，以添加或維護靜態代碼漏洞。

最棒的功能之一是可以根據分解源代碼自動創建Frida補丁的選項。

動態分析儀可用於枚舉，安裝和儀器安裝應用程序。此外，您還可以自動為設備安裝正確的Frida版本。

選擇一個軟件包後，您可以控制Frida腳本並將所有應用程序的流量槽路由代理服務器。 Aperoid默認情況下使用Mitmproxy攔截流量並將其記錄到Kafka。

動態頁面還提供功能來實時瀏覽應用程序數據。