APK文件分析工具：AppMon

对手机恶意软件研究人员来说，有很多APP行为分析工具可以选择，在这里，我要向大家推荐的是AppMon，它可以通过二进制指令获取app程序运行记录，并显示调用函数和相关参数。

AppMon工作原理

AppMon使用了多平台动态框架环境Frida，Frida是一款基于python + javascript 的hook框架，适应android/ios/linux/win/osx等平台的脚本交互环境。AppMon还包括了一系列app事件监控和行为修改脚本，并能通过web接口显示和操作。

安装

AppMon的运行环境需要Frida和其它模块：

sudo -H pip install argparse frida flask termcolor

Linux环境下可以克隆github安装：

https://github.com/dpnishant/appmon/

如果是Windows环境，下载解压之后，需要对appmon.py中变量merge_script_path的绝对路径进行修改，可以是临时文件夹或其它所需文件路径，如：

merge_script_path = ‘C:/Users/<nombre_usuario>/AppData/Local/Temp/merged.js

考虑到Frida的稳定性，推荐使用Android 4.4.x版本模拟器，另外，建议用adb命令安装apk程序。

分析

让我们来分析一个恶意程序样本Android/Torec.A，该程序可以实现窃取短信和通话记录等关键信息，并能利用 Tor网络的.onion代理服务器隐藏指令控制服务器，远程执行代码。程序Manifest文件显示包名为com.baseapp，现在开始启动AppMon控制端:

Windows下的启动界面如下：

AppMon创建了一个访问5000端口的简单服务器，实现web界面的分析显示：

打开浏览器，选择需要分析的APK文件，点击“Next”：

之后，将会显示apk程序执行阶段短暂的事件日志记录：

我们再以Android/Monitor.Rasatremon.A为分析样本执行程序，通过web界面日志记录，可以看到具体的HTTP网络连接活动：

除此之外，AppMon还有其它功能，如密码恢复等。总之，对apk分析来说，它是一款好用的工具。

具体参见：https://dpnishant.github.io/appmon/