Mariana Trench 以Android安全为中心的静态分析平台,该工具提供可扩展的全局污点分析,并且支持自定义规则,强大之处是可以帮我们进行代码跟踪,比较适合挖Android漏洞。
可以用他帮我们静态扫出可能存在的漏洞,然后人工验证。
官方文档: https://mariana-tren.ch/docs/getting-started/
环境搭建
使用python的pip直接安装即可(注意:Mac不支持 pip install,win上安装似乎也是有些问题,尽量使用linux)
pip install mariana-trench
官方给出的demo我们就不试用了,有兴趣的可以移步至官网,这里我们测试下其他的应用。
使用jadx应用进行反编译,快捷键ctrl e导出源代码
##
mariana-trench \
--system-jar-configuration-path=/home/cxf/桌面/android_jar/android.jar --apk-path=test.apk \
--source-root-directory=app/src/main/java
