Droidbox恶意软件动态分析环境搭建

@author : Dlive

0x01 DroidBox简介

DroidBox是一款，可以获得以下信息

1.APK包hash值

2.网络通信数据

3.文件读写操作

4.网络通信，文件读写，SMS中的信息泄露

5.权限漏洞

6.调用Android API进行的加密操作

7.Broadcast receiver组件信息

8.SMS短信与电话信息

9.DexClassLoader加载信息

0x02 Droidbox安装运行

本机现有环境:

1. Ubuntu 14.04 amd64

安装环境:

1. Oracle JDK 1.7（apktools需要jdk1.7的环境）

2. Android SDK

3. Apktool

4．DroidBox

0x03 JDK安装

从Oracle官网下载JDK安装包 jdk-7u79-linux-x64.tar.gz

http://www.oracle.com/technetwork/java/javase/downloads/java-archive-downloads-javase7-521261.html

将安装包解压到/home/android/java 目录下

在 /etc/profile中配置环境变量如下

运行. /etc/profile使环境变量生效

0x04 Android SDK安装

下载Android SDK压缩包 android-sdk_r22.6.2-linux.tgz

将压缩包解压到/home/android/sdk 目录下

但是这个SDK压缩包里并不是完整的SDK，其中不含常用工具platform-tools

运行 . tools/android sdk 命令 ，选择你想要安装的API版本和platform-tools

设置好代理即可下载：（不设置的话国内会很慢。。。你懂的）

在 /etc/profile中配置环境变量如下

0x04 Apktool安装

按照官网的说明下载安装即可，这个就不多说了

http://ibotpeaches.github.io/Apktool/install/

配置一下环境变量

0x05 DroidBox安装

下载一大堆的依赖包

apt-get install python-dev python-numpy python-scipy python-matplotlib ipython ipython-notebook python-pandas python-sympy python-nose

下载最新版的DroidBox https://github.com/pjlantz/droidbox/releases

这里我下载的时候最新版为：DroidBox411RC.tar.gz (for android 4.1.1)

创建android虚拟机：

android list target #查看可获取的安卓虚拟机

android list avd #查看已创建的安卓虚拟机

android create avd -n <avd name> -t <android id> #创建一个虚拟机，名字自定义

(启动虚拟机的命令：emulator @droidbox_android4.1.2)

这里我创建的是API16 Android 4.1.2的虚拟机(arm内核 –abi armabi-v7a)

启动虚拟机：./startemu.sh droidbox_android4.1.2

安装要分析APK: adb install 1.apk

开始分析：./droidbox.sh 1.apk

可以设置分析时间：./droidbox.sh 1.apk 10 (10表示10s)

0x00 参考资料

1. DroidBox-Android APP动态分析工具&APIMonitor   -- 碳基体

http://danqingdani.blog.163.com/blog/static/18609419520121125104952911

2. DroidBox环境搭建

http://blog.csdn.net/ccc7560673/article/details/8004039

3. Linux上创建安卓模拟器

http://blog.csdn.net/ruanjianxiong/article/details/7620570

4. Flappy Bird恶意程序详细分析 – 乌云知识库

http://drops.wooyun.org/tips/1314