关于Adhrit

Adhrit是一款针对Android移动端操作系统的安全分析工具，该工具可以帮助广大研究人员根据Ghera基准，深入执行渗透测试侦查阶段的任务并进行静态字节码分析。

Adhrit是一个开源的Android APK逆向工程和分析工具，旨在为移动安全测试的自动化实现提供有效的解决方案。Adhrit的构建注重灵活性和模块化，并使用了Ghera基准来识别Android应用程序中的漏洞模式。

该项目将不断更新，并将采用最新的可用方法和工具。

功能介绍

1、Manifest分析：支持分析包名、调试和备份状态；导出的组件（Activity、Service、Provider、Receiver）；Deeplink、隐式Intent过滤器、关键权限；

2、字节码分析：支持分析SQLite数据库、SharedPreferences、ICC、Web问题、存储问题、网络问题和加密问题；

3、敏感数据分析：URL地址、API令牌、本地代码库中的字符串；

工具操作流程

工具要求

Linux&macOS

Python 3

Java JDK

工具安装

由于该工具基于Python 3 开发，因此我们首先需要在本地设备上安装并配置好Python 3环境。接下来，广大研究人员需要使用下列命令将该项目源码克隆至本地：

git clone https://github.com/abhi-r3v0/Adhrit.git

然后直接运行下列命令即可执行Adhrit：

python3 run.py

上述命令将会自动启动Web界面，我们可以在该界面上传APK并生成报告。如果没有自动启动Web UI界面，也可以在浏览器中访问http://localhost:4200/来启动Web界面。

注意：该脚本会自动识别我们是否是第一次运行Adhrit，并自动安装该工具所需的所有依赖组件和代码库。

Docker运行

docker-compose up

接下来，在浏览器中访问http://127.0.0.1:4200即可使用Adhrit。

工具运行截图

工具使用演示

许可证协议

本项目的开发与发布遵循GPL-3.0开源许可证协议。

项目地址

Adhrit：【GitHub传送门】

参考资料

https://www.hawkspawn.com/Adhrit

https://bitbucket.org/secure-it-i/android-app-vulnerability-benchmarks/src/master/

https://www.owaspseasides.com/v/2019/tools-showcase/day-2-28-feb-2019