一、功能介绍
启动云真机后,文件浏览器可以记录APK运行过程中产生的各种文件,包括配置文件、日志文件等。为分析人员提供了一个直观的窗口,帮助发现隐藏在文件中的关键信息。
如图1所示,该APK在云真机操作台运行后,文件浏览器中出现多个包含“config”关键字的配置文件,其中一个配置文件里,保存了关键服务器地址。
图1 APK配置文件中出现的关键url
二、应用场景
分析人员可通过文件浏览器,依照运行日志中显示的敏感文件路径,定位相关文件,从而查看并分析潜在的关键线索,如服务器地址、SDK ID和通信端口等。
例如,在运行某款应用时,运行日志中出现“tgnet.dat”、“dc1conf.dat”等可疑文件名(如图2所示),疑似第三方服务的配置文件。
图2 运行日志-敏感文件路径
此时,可以通过文件路径在文件浏览器中找到对应文件,下载后进行详细分析(如图3所示)。
图3 文件浏览器-敏感文件下载
如果文件列表未能实时更新,可以右键点击文件夹,选择“刷新”以更新缓存,确保显示最新文件(如图4所示)。
图4 刷新缓存
除了基本的文件浏览和下载,文件浏览器还支持结合Frida脚本,进行更深入的操作。借助动态调试,可以生成源代码、脱壳脚本或加密解密文件,方便后续逆向分析。
例如,在Frida脚本区域加载“[工具]通用脱壳脚本”,可以针对一些常见加壳工具的APK文件进行脱壳(如图7所示)。
图5 加载“[工具]通用脱壳脚本”
当Frida脚本运行显示“开始脱壳”,并且脱壳的文件写入文件浏览器后,可以在对应目录中找到这些文件,下载进行详细分析(如图8所示)。
图6 使用Frida脚本脱壳后的项目文件
三、常见问题
在云真机操作台的文件浏览器功能区,我们设置了“常见问题”按钮,供您点击查看常见问题及详细解答(如图7所示)。
图7 常见文意及解答
⚠注意:在完成单次云真机操作后,服务器资源会被及时释放,所有在操作过程中产生的临时文件不会被保存。 因此,为确保关键数据文件不遗失,建议用户在操作结束前,及时将重要的文件下载备份。
四、开通账号,立即体验!
大狗云真机操作台新增的【文件浏览器】功能,可以快速查看APK运行过程中生成的文件,轻松发现关键线索和证据,提升取证效率和分析准确性。快来大狗涉网线索分析平台,开启文件浏览器新玩法!
平台账号获取方式如下:
1. 首先需要下载无糖浏览器APP或PC端,下载链接 :https://browser-prod.nosugartech.com/start/;
2. 按步骤注册您的无糖浏览器账号,即可使用应用中心的大狗平台;
3. 如需升级高级版本权限可联系平台人工客服,首次咨询用户,无需提交任何文件材料即可开通7日免费试用。
如果您在使用过程中遇到任何问题,欢迎通过页面右下角的【问问元芳】控件,点击【转人工】寻求帮助,如图8。客服小天使热忱待命,期待为您服务!
图8 问问元芳-转人工
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...