Skip to content

二进制插桩

域名:binary-instrument

二进制插桩域,提供二进制分析、运行时插桩、APK 加固识别与密钥候选扫描能力。

Profile

  • full

典型场景

  • 二进制分析
  • 运行时插桩
  • APK 加固层识别
  • 硬编码密钥候选检测

常见组合

  • binary-instrument + memory
  • binary-instrument + process

工具清单(37)

工具说明
binary_instrument_capabilities报告二进制插桩后端可用性。
frida_attach附加 Frida 到本地进程、PID 或二进制路径,并创建二进制插桩会话。
frida_enumerate_modules枚举已附加 Frida 会话中的模块。
ghidra_analyze在 Ghidra headless 可用时运行二进制元数据分析,不可用时返回结构化降级输出。
generate_hooks为一组符号生成 Frida interceptor 脚本。
unidbg_emulate尝试用 unidbg 模拟原生函数,不可用时返回结构化模拟输出。
frida_run_script在已附加的 Frida 会话中执行一段 JavaScript 代码。
frida_detach从 Frida 会话分离并清理资源。
frida_list_sessions列出所有活跃的 Frida 会话。
frida_dex_dump以包名/进程名或 PID 运行 frida-dexdump,作为高层 Android DEX dump 助手。
android_runtime_dump_session创建或检查托管的 Android 运行时 dump 会话,基于 Frida/ADB dump 产物、DEX 文件与 /proc/PID/maps 快照。
frida_generate_script从模板(trace、intercept、replace、log)生成 Frida 拦截脚本。
get_available_plugins列出所有可用的二进制分析插件(frida、ghidra、ida、jadx)。
ghidra_decompile使用 Ghidra headless 分析反编译指定函数。
ida_decompile通过插件桥接使用 IDA Pro 反编译指定函数。
jadx_decompile优先使用 JADX CLI 反编译 APK 类或方法,并尽可能自动解析可能的类名匹配;CLI 不可用时回退到插件桥接。
jadx_decompile_apk高层 JADX APK 反编译:将整个 APK 反编译到稳定的输出目录,并返回供 jadx_search_code 使用的 sourcesDir。
jadx_search_code对已有的 jadx 反编译输出目录执行只读 ripgrep 搜索(带 Node 纯回退引擎)。内置 ReDoS 双重防护。
apktool_decode使用 apktool 解包 APK,便于检查资源、Manifest 和 smali 输出。
apk_manifest_dump从 APK 中提取 AndroidManifest.xml;优先返回可读 XML,二进制 AXML 会尝试通过跨平台的 JADX CLI 解码,失败时再返回原始 Base64 载荷。
apk_manifest_query返回紧凑的结构化 AndroidManifest 摘要:包名、启动 Activity、Application 类、SDK、权限、组件、Provider 以及 SDK/厂商线索。
apk_static_triage一次性 APK 静态分诊:ZIP 元数据、清单摘要、native 库、资源线索、可能的加固/保护方案,以及推荐的后续步骤。
apk_dex_intake构建一体化的 APK/DEX 取证证据包:ZIP 条目、清单摘要、DEX 头、native 库、表面提示与调用方提供的自定义提示匹配,以及后续操作建议。
dex_scan_file扫描二进制/内存 dump 文件中的 DEX 或 CompactDex 魔数,并可选择性地提取命中结果。
binary_strings_extract从二进制文件中提取可打印的 ASCII/UTF-16LE 字符串,支持正则过滤。
binary_entropy_profile跨定长 chunk 计算二进制文件的香农熵以定位加密/加壳/压缩段。高熵区(≥7.0 bits/byte)疑似加密或压缩;低熵(<4.0)通常是代码或文本。纯计算,无外部工具依赖。
apk_native_libs_list列出 APK 内打包的原生共享库(.so)及其 ABI 目录。
unidbg_launch在 Unidbg 模拟器中启动 ARM/ARM64 .so 库,首次调用约 3-5 秒预热。
unidbg_call在运行中的 Unidbg 模拟器会话中调用 JNI 函数。
unidbg_trace获取 Unidbg 会话的执行追踪(full/basic/instruction 模式)。
export_hook_script将生成的 hook 模板导出为完整可运行的 Frida 脚本。
frida_enumerate_functions枚举 Frida 会话中指定模块的导出函数。
frida_find_symbols使用 ApiResolver 在 Frida 会话中搜索匹配模式的符号。
apk_packer_detect通过匹配 lib/&lt;abi&gt;/lib*.so 文件名识别 Android APK 加固层;框架不内置签名表,调用方通过 customSignatures 提供(ReDoS 防护正则编译)。不脱壳、不动态执行、不与加固载荷交互。
apk_packer_list_signatures返回框架当前的签名表(默认为空)。可按 vendor 子串过滤。纯声明式数据查询,无需 APK 输入。
apk_signing_block_parse只读解析 APK Signing Block(v2/v3/v3.1/v4 签名方案),检测密钥轮换谱系及残留块/dex 前缀/魔数偏移异常标记。不修改 APK。
binary_key_extract扫描二进制文件中的硬编码密钥候选(高熵原始字节、Base64、十六进制)。只读分析,不执行解密。

Released under AGPL-3.0-only