1. 掌握在线分析安卓恶意应用。
2. 学会使用安卓应用反编译工具。
3. 掌握手工分析安卓恶意应用。

【实验环境】

Windows11   、    Java11.0.16.1（jdk1.8.0_172）

apktool  、  dex2jar-2.0  、  jd-gui.exe    、   安卓应用安装文件

【实验内容】

1. 在线分析安卓恶意应用。
2. 使用apktool反编译apk文件。
3. 使用dex2jar转换dex文件。
4. 使用jdgui查看源码。
5. 分析安卓恶意应用源码，寻找恶意行为。

step1：win+r输入cmd，在命令窗口输入java -version检查Java是否安装成功。

step2：win+i打开设置界面，打开高级系统设置，配置Java环境变量。

step3：打开4cd65a3605915b776a16b81b964c1df7文件夹，复制classes.dex文件到dex2jar文件夹中。

step4：在dex2jar文件夹的搜索栏中输入cmd，进入终端并导航到dex2jar文件夹。

step5：输入命令d2j-dex2jar.bat classes.dex，返回dex2jar文件夹，会多出一个classes-dex2jar.jar的文件。

step6:打开jdguiwindows文件夹，运行jd-gui.exe。

step7:将classes-dex2jar.jar拖到jd-gui应用中，即可分析恶意代码。

【实验结果】

查找文件中 存在的恶意代码 （下面放几个例子）：

【实验结果分析】

1. 实验过程中发现了一个 问题 ： 双击或管理员运行都无法打开jd-gui.exe 。解决方法：

• 进入jd-gui.exe所在的文件夹下
• 在地址栏输入cmd进入dos窗口
• 在dos窗口输入 java -jar jd-gui.exe即可成功运行

2. 使用jd-gui.exe可以将恶意文件/软件反编译成可读的Java代码 。在恶意文件/软件中提取出来的字符串可以提供关于其功能、目的和联络人的信息。通过分析这些字符串，可以更深入地了解恶意软件的背景和行为。

本文件包含南开大学《 恶意 代码 分析 与防治技术》课程学期的所有 实验报告 、实验样本及部分必要的工具， 实验报告 内容仅供参考。 实验内容除Lab2为补充的Yara规则实验外，其它均为课本《 恶意 代码 恶意 代码 分析 实战》中对应章节的实验。 此外， 实验报告 中也包含部分补充的编写Yara规则和IDA Python扫描规则的编写。 MobSF，全称（Mobile-Security-Framework），是一款优秀的开源移动 应用 自动 分析 平台。该平台可对 安卓 、苹果 应用 程序进行 恶意 代码自动 分析 ，并在web端输出报告。该平台同时包含静态 分析 和动态 分析 功能，静态 分析 适用于 安卓 、苹果 应用 程序，而动态 分析 暂时只支持 安卓 应用 程序。（PS：其web界面相当美观，而且支持 分析 结果存入数据库，方便检索）MobSF实现静态 分析 的代码位于StaticAnalyzer目录下，其目录中文件如下：静态 分析 同时支持对APK、IPA两种文件格式的支持，本文主要 分析 其处理APK文件的流程及技术。其主要处理流程在 android .py中。先定位到StaticAn