killvxk/analyzing-android-malware-with-apktool
skills/analyzing-android-malware-with-apktool/SKILL.md
使用 apktool 进行反编译、jadx 恢复 Java 源码、androguard 进行权限分析,对 Android APK 恶意软件样本执行静态分析,包括清单检查和可疑 API 调用检测。
$ install --global
skillsauthnpx skillsauth add killvxk/cybersecurity-skills-zh analyzing-android-malware-with-apktoolInstall this skill globally with one command. Works with Claude Code, Cursor, and Windsurf.
Security Scan Results
3 of 9 scanners reported clean
Some scanners were skipped, did not run, or reported a non-clean status. Review each row below.
3
Scanners Passed
9
Scanners in report
Clean
TrivyContainer and dependency vulnerability scanner
95%
Clean
SemgrepStatic code analysis for vulnerabilities
95%
Clean
mcp-scan (Snyk)Model Context Protocol security validation
95%
Skipped
Snyk (dep)Open source security scanning
50%
Skipped
Socket.devSupply chain security analysis
50%
Skipped
VirusTotalMulti-engine malware detection
50%
Skipped
CrowdStrikeAdvanced threat intelligence
50%
Skipped
OSV-ScannerOpen Source Vulnerability database check
50%
Skipped
OWASP Dep-Check
50%
Last scanned: Apr 16, 2026, 10:47 PM15.0s3 files scanned
SKILL.md
- name:
- analyzing-android-malware-with-apktool
- description:
- 使用 apktool 进行反编译、jadx 恢复 Java 源码、androguard 进行权限分析,对 Android APK 恶意软件样本执行静态分析,包括清单检查和可疑 API 调用检测。
- domain:
- cybersecurity
- subdomain:
- malware-analysis
- tags:
- [Android, APK, apktool, jadx, androguard, mobile-malware, static-analysis, reverse-engineering]
- version:
- 1.0
- author:
- mahipal
- license:
- Apache-2.0
使用 Apktool 分析 Android 恶意软件
概述
以 APK 文件形式分发的 Android 恶意软件可通过静态分析提取权限、Activity、Service、广播接收器和可疑 API 调用,无需执行样本。本技能使用 androguard 进行编程化 APK 分析,识别危险权限组合、混淆代码模式、动态代码加载、基于反射的 API 调用以及网络通信指标。
前置条件
- Python 3.9+,安装
androguard - apktool(用于资源反编译)
- jadx(用于 Java 源码恢复,可选)
- 隔离分析环境(虚拟机或沙箱)
- 待分析的 APK 样本文件
工作流程
- 使用 androguard 解析 APK,提取清单元数据
- 枚举所请求的权限,标记危险权限组合
- 从清单中列出 Activity、Service、Receiver 和 Provider
- 扫描可疑 API 调用(反射、加密、短信、电话)
- 检测动态代码加载模式(DexClassLoader、Runtime.exec)
- 从字符串中提取硬编码 URL、IP 和 C2 指标
- 生成包含 MITRE ATT&CK 移动端映射的风险评估报告
输出格式
- JSON 报告,包含权限分析、组件列表、可疑 API 调用、网络指标和风险评分
- 从 APK 中提取的字符串和潜在 IOC
Related Skills
killvxk/conducting-social-engineering-penetration-test
testing
VerifiedTrustedCommunity
设计并执行社会工程学渗透测试,包括钓鱼、语音钓鱼、短信钓鱼和物理借口活动,以衡量人员安全韧性并识别培训差距。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-post-incident-lessons-learned
testing
VerifiedTrustedCommunity
主持结构化的事件后审查,以识别根本原因、记录有效和无效的措施,并提出可操作的改进建议以提升未来的事件响应能力。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-phishing-incident-response
testing
VerifiedTrustedCommunity
通过分析举报的邮件、提取指标、评估凭据受攻陷情况、在全组织范围隔离恶意邮件并修复受影响账号来响应网络钓鱼事件。涵盖邮件头分析、URL/附件沙箱检测和邮箱范围清除操作。适用于网络钓鱼响应、邮件事件、凭据钓鱼、鱼叉式网络钓鱼调查或钓鱼修复相关请求。
10SKILL.mdUpdated Apr 29, 2026
killvxk/conducting-pass-the-ticket-attack
tools
VerifiedTrustedCommunity
票据传递(Pass-the-Ticket,PtT)是一种横向移动技术,使用窃取的 Kerberos 票据(TGT 或 TGS)在不知道用户密码的情况下向服务进行认证。通过从已控制的主机内存中提取 Kerberos 票据,攻击者可以将这些票据注入自己的会话以模拟票据所有者。
10SKILL.mdUpdated Apr 29, 2026