Inspeckage，安卓动态分析工具，使用教程 - 小夏随笔

Inspeckage 简介

Inspeckage (Package Inspector)是一个简单的应用程序(apk)，也是一个用来动态分析安卓 app 的 xposed 模块。通过一个内部的 HTTP 服务器提供友好的网页界面，作为 Xposed 框架模块。用户可以在没有 Xposed 的情况下运行，但是 80% 的功能都是依赖于 Xposed 框架，所以建议在测试环境/设备中安装该框架。

Github下载地址：https://github.com/ac-pm/Inspeckage

Inspeckage 只能在 Android 设备上运行

安装Inspeckage

安装完 Xposed Installer 后，下载Inspeckage模块，安装，然后勾选模块后重启。

Inspeckage使用

a6bc7a2f3d7b36bede87e607b6392cb275a0e99fc776684dd58dbd458506cc48 小夏随笔 | Xiaoxias essays

然后在电脑的 terminal 中执行 " 端口转发 " 命令：adb forward tcp:8008 tcp:8008

( 如果有多个设备时，使用 adb devices 查看设备，再使用 -s 指定要连接的设备)

夜神模拟器可以在安装目录。找到nox_adb.exe，然后地址栏直接输入cmd,执行即可。

5ef3d560ee57d376b0b62fad32ac33a653e9b79ecda604c8efc993eaf0396528 小夏随笔 | Xiaoxias essays

转发电脑的 8008 端口到手机的 8008 端口。

在电脑上访问 http://127.0.0.1:8008 就可以看到 inspeckage 的 web 界面了。

404f02001eb87138608eb6071a41b4a6887a1b41765db274ed05087878d76c7e 小夏随笔 | Xiaoxias essays

点击页面，开启实时更新为 on，然后在模拟器中点击 LAUNCH APP，在页面中刷新就可以看到数据了。动态刷新开关打开，webserver就会加载手机端的所有数据。(这个开关并不是控制手机端工具的开关，仅仅是webserver是否动态刷新数据的开关。查看数据时，可以关闭动态刷新，否则展开数据会不断的被收起，无法正常查看)

(如果 web 页面没有输出结果，查看 APP is running 是否为 true，Logcat 左边分那个自动刷新按钮是否开启)

页面功能说明

5b75cc6e7bfe87544ba69d255462a6a1b9131ee8c079e544ca940128abf3cf37 小夏随笔 | Xiaoxias essays

如图所示，inspeckage 提供了对所分析 apk 的一些基本信息，提供直接下载 apk 到电脑，截图手机屏幕等辅助功能，最核心的功能是监控 share preferences，加解密函数的使用，http 访问等。下面一一分析。

设置

4c42a440c38e5014a5d44d1a3bdcf99e5de5e0ef50d8ab507dc960e5aa288656 小夏随笔 | Xiaoxias essays

使用 logcat 功能需要先转发端口到本地：adb forward tcp:8887 tcp:8887

点击 start，再点 connect 就可以在网页中实时查看该 app 的 logcat 输出。

10c1c3619fc98812b0890ffb402cfcc826a910e324fa41c46e8d57ae49834e1a 小夏随笔 | Xiaoxias essays

Tree view 按钮可以实时浏览 app 的数据目录并直接下载文件到本地。

555f46b4a9cc147f7e66e4ba171e4d112c700e7b2070d38acab45ec6ec56248e 小夏随笔 | Xiaoxias essays

功能

使用 Inspeckage，用户可以获取大量关于应用程序行为的信息：

Logcat 实时查看该app的logcat输出
Tree View 可以实时浏览app的数据目录并直接下载文件到本地
Package Information 应用基本信息(组件信息、权限信息、共享库信息)
Shared Preferences LOG：app XML文件读写记录；Files：具体XML写入内容
Serialization 反序列化记录
Crypto 常见加解密记录(KEY、IV值)
Hash 常见的哈希算法记录
SQLite SQLite数据库操作记录
HTTP HTTP网络请求记录
File System 文件读写记录
Misc. 调用Clipboard,URL.Parse()记录
WebView 调用webview内容
IPC 进程之间通信记录
+Hooks 运行过程中用户自定义Hook记录

1.信息收集

获取APP基本信息(如上图所示)

【1】权限：请求权限(Requested Permissions)、自定义权限(APP Permissions)

【2】组件：导出和非导出的组件(Activity、Service、Broadcast Receiver、Content Provider)

【3】共享库(Shared Libraries)

【4】标志位：Debuggable，Allow Backup

【5】其他：UID，GIDs，Package等

    l 请求权限
    l App权限
    l 共享库
    l 导出和非导出的Activity，内容提供其，广播接收器和服务
    l 检查该应用程序是否可调式
    l 版本，UID和GID

2、Hooks

使用 Hooks，用户可以实时查看应用程序的行为：

【1】Shared Preferences(日志和文件)

【2】Serialization(序列化)

【3】Crypto(加密)、Hash

【4】SQLite数据库

【5】HTTP、WebView、IPC等

【6】Hooks(自定义HOOK)

l 共享首选项(日志和文件)
l 序列化
l 加密
l 哈希表
l SQLite数据库
l HTTP(HTTP代理工具是最好的选择)
l 杂项(剪贴板，URL.Parse())
l WebView l IPC

使用 Logcat 查看日志的功能，需要先转发 8887 端口到本地：

点击 Start，再点 connect 就可以在网页中实时查看 app 的 logcat 输出

18c8b753f24f50b7863ca1aa62c9ed1fa03b939fd2dc3eb19ac6bcfe88bfe13f 小夏随笔 | Xiaoxias essays

+Hooks 模块中，可对被测 APP 进行 hook，很方便。

7697e61592a3d9a9aae8241fb0c8ad75436cff424a01dd19cbef5f4f521e64e2 小夏随笔 | Xiaoxias essays

3ee5539de16eb178e2834b43a99b8e4effa73d423efbe495bec6e7202dd471ff 小夏随笔 | Xiaoxias essays

3、其他操作

使用 Xposed，用户可以执行一系列操作，例如开启非输出的Activity：

l 开启任意Activity(输出和非输出)
l 调用提供器(输出和非输出)
l 禁用FLAG_SECURE
l 取消SSL选项
l 开启、停止或重启应用程序

4、附加部分

l APK下载
l 查看应用程序的目录树
l 下载应用程序的文件
l 下载hooks生成的文本文件格式的输出
l 屏幕截图

5、配置

设置选项中，提供了ssl uncheck，设置代理等。经过测试发现 SSL uncheck 效果一般。https 流量依然很多抓不到。

尽管该工具有一些连接 HTTP 库的 hooks，使用外部代理工具仍然是分析应用程序流量的最好的选择。

在 Inspeckage 中，用户可以：

l 添加连接目标应用的代理
l 启用和禁用代理
l 在ARP表中添加条目