GDAblog-中国首款交互式Android反编译器

GDA APK取证工具



        当我们在做android APK取证分析或者恶意代码分析时,会想知道一个APK中各个文件的原始时间以确定该代码项目的最早产生时间, 最后一次签名的时间等等信息,以及对apk内的所有文件进行全局检索,收集相关线索和证据:如IP地址,域名,URL,DB文件名,apikey等等信息。 于是便在GDA反编译器中加入该工具,以应对一些特殊的使用场景。



Image 03

        为了更加方便地浏览APK包含的所有文件,我将其全部显示在列表里,同时也能更加直观地做日期比对和排序(点击列表顶部的表头)。 具体使用方法如下:搜索框(1)可以通过选择单选按钮(7)来做不同方式的搜索。点击搜索按钮后,会弹出(2)的对话框, 这里提示的搜索结果数代表的是发现的文件个数,点击OK后,每个存在结果的文件便会被标记为红色(3),双击列表中的文件(3)可以查看文件的内容(4), 文件显示方式由(5)决定。此外如果该文件存在搜索结果,默认情况下会从搜索结果所在的偏移出开始展示。如果需要查看该文件中的其他搜索结果, 可以按F3.这里需要说明的是,目前很多APK包含的文件太多,这会导致卡死现象,因此,对于太多文件的APK,默认只显示部分文件,如果需要显示更多文件, 你需要手工的点击左上方的文件目录树(8)中相关的文件夹。