《表面上是个正经APP,背地里却在裸聊——我是怎么发现的》

admin 2026-02-17 20:01:12 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档是一篇关于APKLeaks工具的使用指南,详细介绍了其安装方式(PyPi、源码、Docker)、基础命令、参数选项、输出格式、自定义规则配置以及反汇编器参数调整方法。核心功能是通过反编译APK文件来扫描和提取潜在敏感信息,如API密钥、令牌等,并支持用户自定义正则规则进行扩展检测。 综合评分: 78 文章分类: 移动安全,安全工具,渗透测试,代码审计


cover_image

《表面上是个正经 APP,背地里却在裸聊——我是怎么发现的》

菜狗 菜狗

只会看监控的实习生

2026年2月12日 08:03 广东

1.1 PyPi 安装

pip3 install apkleaks

1.2 源码安装

git clone https://github.com/dwisiswant0/apkleaks
cd apkleaks/
pip3 install -r requirements.txt

1.3 Docker 安装

docker pull dwisiswant0/apkleaks:latest

二、依赖说明

APKLeaks 使用 jadx 反汇编器反编译 APK。若系统未安装 jadx,工具会自动提示下载。

三、基础用法

3.1 基本命令

# PyPi 安装方式
apkleaks -f ~/path/to/file.apk

# 源码方式
python3 apkleaks.py -f ~/path/to/file.apk

# Docker 方式
docker run -it --rm -v /tmp:/tmp dwisiswant0/apkleaks:latest -f /tmp/file.apk

四、命令行参数

| 短参数 | 长参数 | 说明 | 示例 | | — | — | — | — | | -f | --file | 指定 APK 文件 | apkleaks -f app.apk | | -o | --output | 输出文件路径 | apkleaks -f app.apk -o result.txt | | -p | --pattern | 自定义规则文件 | apkleaks -f app.apk -p rules.json | | -a | --args | 反汇编器参数 | apkleaks -f app.apk -a "--deobf" | | | --json | JSON 格式输出 | apkleaks -f app.apk -o result.json --json |

五、输出格式

| 格式 | 说明 | 使用方法 | | — | — | — | | 文本格式 | 默认格式,自动生成文件名 | 不加 --json 参数 | | JSON 格式 | 结构化数据,便于处理 | 添加 --json 参数 |

六、自定义规则

6.1 规则文件格式

{
  "Amazon AWS Access Key ID": "AKIA[0-9A-Z]{16}",
  "GitHub Token": "ghp_[a-zA-Z0-9]{36}"
}

6.2 使用自定义规则

apkleaks -f app.apk -p custom-rules.json -o output.txt

七、反汇编器参数

# 启用反混淆 + 调试日志
apkleaks -f app.apk -a "--deobf --log-level DEBUG"

# 多线程加速(5 线程)
apkleaks -f app.apk -a "--threads-count 5"

八、常用命令速查

| 场景 | 命令 | | — | — | | 基础扫描 | apkleaks -f app.apk | | 指定输出 | apkleaks -f app.apk -o result.txt | | JSON 报告 | apkleaks -f app.apk -o report.json --json | | 自定义规则 | apkleaks -f app.apk -p rules.json | | Docker 扫描当前目录 | docker run -it --rm -v $(pwd):/data dwisiswant0/apkleaks:latest -f /data/app.apk |

回复APKLeaks获取

低价出售安全证书不限于cisp、pte等请Vme~建了一个项目群,想进群的请回复进群即可


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:只会看监控的实习生 菜狗 菜狗《《表面上是个正经 APP,背地里却在裸聊——我是怎么发现的》》

评论:0   参与:  0