AppTroy 开源项目教程

1. 项目介绍

AppTroy 是一个通用的、细粒度的恶意软件分析系统，专为 Android 平台设计。它方便分析师进行解包、反混淆和监控系统 API。通过 AppTroy，即使是经验不足的分析师也能更好地理解代码的内部逻辑，因为它不需要对打包器有深入的了解。

2. 项目快速启动

2.1 环境准备

确保你的 Android 系统版本 <= 4.4.2，因为 AppTroy 尚未在 ART 运行时环境中进行测试。

2.2 克隆项目

git clone https://github.com/CvvT/AppTroy.git
cd AppTroy

2.3 修改配置

在 jni/dump.cpp 文件中，修改第 13 行的 OFFSET 值。这个值是 gDvm 到其成员变量 useDexFiles 的偏移量，可以通过逆向工程获取。

#define OFFSET 796

2.4 构建项目

使用 NDK 构建项目：

ndk-build

2.5 导入 Android Studio

将项目导入 Android Studio 并进行构建。

2.6 安装 Xposed 框架

安装 Xposed 框架，并将 AppTroy 模块启用。

2.7 推送库文件

adb push /libs/armeabi/libapptroy.so /system/libs/
adb push /libs/armeabi/libluajava.so /system/libs/

2.8 启用模块并重启

在 Xposed 安装器应用程序中启用 AppTroy 模块，并重启系统。

3. 应用案例和最佳实践

3.1 日志输出

使用 Log.d() 输出所有信息：

adb logcat -s cc

3.2 API 监控

AppTroy 可以监控大多数敏感 API。

3.3 解包操作

启动目标应用程序并显示 DexFiles：

am broadcast -a com.cc.dumpapk --es package your/package/name --es cmd '["action":"show"]'

选择一个 DexFile 并进行解包：

am broadcast -a com.cc.dumpapk --es package your/package/name --es cmd '["action":"dump", "cookie": the_value_selected_from_previous_step]'

4. 典型生态项目

AppTroy 可以与其他 Android 安全分析工具结合使用，例如：

• Androguard: 用于静态和动态分析 Android 应用程序。
• APKTool: 用于反编译和重新打包 APK 文件。
• Jadx: 用于反编译 Android Dex 和 APK 文件。

通过结合这些工具，可以更全面地分析和理解 Android 恶意软件的行为。