移动安全框架 - MobSF

    Android 和 iPhone 等设备上我们使用了大量的app，但我们不可能检查我们使用的每一个第三方应用程序的每一行。在这种情况下，我们使用了MobSF移动安全框架：一款使用Python3、针对 Android、iOS和 Windows的移动应用程序安全分析框架。

    移动安全框架(MobSF)是一个自动化的、一体化的移动应用程序(Android/iOS/Windows)笔测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。MobSF 支持移动应用程序二进制文件(APK、 XAPK、 IPA & APPX)以及压缩源代码，并提供 REST api 与 CI/CD 或 DevSecOps 管道进行无缝集成。Dynamic Analyzer 可以帮助您执行运行时安全评估和交互式仪器化测试。

    移动安全框架有一个基于 web 的图形用户界面，这使得它变得非常方便和简单。

一、安装运行

git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF --depth=1

或者：

https://github.com/MobSF/Mobile-Security-Framework-MobSF/

这个工具适用于 Windows，Mac 和 Linux。Windows 有 setup.bat 和 run.bat 文件，但 Mac 和 Linux 用户可以关注我们的文章。我们需要运行 setup.sh 文件。

./setup.sh

安装完成后，我们可以使用 run.sh 命令来使用这个工具。使用端口8000在本地主机上运行它(我们可以使用任何其他端口) ，可以使用以下命令:

./run.sh 127.0.0.1:8000

现在我们可以用浏览器导航到 localhost 链接，可以在下面的屏幕截图中看到 Mobile Security Framework 正在运行。

在这里我们上传任何移动应用程序(APK，IPA & APPX)。要上传文件，我们可以使用拖放或点击和选择。

 用不了几分钟就可以分析应用程序。在分析完成后，它将向我们展示结果，正如我们在下面图中看到的:

二、常用的几种分析：

1、静态分析-Android

静态分析-Android 源代码树视图

静态分析-iOS

2、动态分析-安卓 APK

（太大了，见igithub图）

Web API Viewer

我们还可以看到通过使用 MobSF (移动安全框架)进行反编译的代码，如下面所示:

这些都是基本的，在这个移动安全框架中有很多东西需要探索。