文章总结: 该文档是一篇关于APKLeaks工具的使用指南,详细介绍了其安装方式(PyPi、源码、Docker)、基础命令、参数选项、输出格式、自定义规则配置以及反汇编器参数调整方法。核心功能是通过反编译APK文件来扫描和提取潜在敏感信息,如API密钥、令牌等,并支持用户自定义正则规则进行扩展检测。 综合评分: 78 文章分类: 移动安全,安全工具,渗透测试,代码审计
《表面上是个正经 APP,背地里却在裸聊——我是怎么发现的》
菜狗 菜狗
只会看监控的实习生
2026年2月12日 08:03 广东
1.1 PyPi 安装
pip3 install apkleaks
1.2 源码安装
git clone https://github.com/dwisiswant0/apkleaks
cd apkleaks/
pip3 install -r requirements.txt
1.3 Docker 安装
docker pull dwisiswant0/apkleaks:latest
二、依赖说明
APKLeaks 使用 jadx 反汇编器反编译 APK。若系统未安装 jadx,工具会自动提示下载。
三、基础用法
3.1 基本命令
# PyPi 安装方式
apkleaks -f ~/path/to/file.apk
# 源码方式
python3 apkleaks.py -f ~/path/to/file.apk
# Docker 方式
docker run -it --rm -v /tmp:/tmp dwisiswant0/apkleaks:latest -f /tmp/file.apk
四、命令行参数
| 短参数 | 长参数 | 说明 | 示例 |
| — | — | — | — |
| -f | --file | 指定 APK 文件 | apkleaks -f app.apk |
| -o | --output | 输出文件路径 | apkleaks -f app.apk -o result.txt |
| -p | --pattern | 自定义规则文件 | apkleaks -f app.apk -p rules.json |
| -a | --args | 反汇编器参数 | apkleaks -f app.apk -a "--deobf" |
| | --json | JSON 格式输出 | apkleaks -f app.apk -o result.json --json |
五、输出格式
| 格式 | 说明 | 使用方法 |
| — | — | — |
| 文本格式 | 默认格式,自动生成文件名 | 不加 --json 参数 |
| JSON 格式 | 结构化数据,便于处理 | 添加 --json 参数 |
六、自定义规则
6.1 规则文件格式
{
"Amazon AWS Access Key ID": "AKIA[0-9A-Z]{16}",
"GitHub Token": "ghp_[a-zA-Z0-9]{36}"
}
6.2 使用自定义规则
apkleaks -f app.apk -p custom-rules.json -o output.txt
七、反汇编器参数
# 启用反混淆 + 调试日志
apkleaks -f app.apk -a "--deobf --log-level DEBUG"
# 多线程加速(5 线程)
apkleaks -f app.apk -a "--threads-count 5"
八、常用命令速查
| 场景 | 命令 |
| — | — |
| 基础扫描 | apkleaks -f app.apk |
| 指定输出 | apkleaks -f app.apk -o result.txt |
| JSON 报告 | apkleaks -f app.apk -o report.json --json |
| 自定义规则 | apkleaks -f app.apk -p rules.json |
| Docker 扫描当前目录 | docker run -it --rm -v $(pwd):/data dwisiswant0/apkleaks:latest -f /data/app.apk |
回复APKLeaks获取
低价出售安全证书不限于cisp、pte等请Vme~建了一个项目群,想进群的请回复进群即可
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:只会看监控的实习生 菜狗 菜狗《《表面上是个正经 APP,背地里却在裸聊——我是怎么发现的》》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。








评论