# MobSF 相關紀錄筆記 ###### 筆記者：簡瑋廷 ###### tags: `III-DevOps` --- # 什麼是 MobSF ? - Mobile Security Framework (移動端的安全檢測框架) - 可用於 Android / ios / Windows 的應用程式 - 可以進行動態與靜態的惡意軟體檢測分析、無論是 Binary 或是壓縮檔案都可以檢測 - 數據儲存於本地端、不會有上雲外洩之風險 - 開源、有官方 image 可用於 Container # 安裝方式 1. 直接安裝於 Windows 2. 利用 Docker 進行安裝 - 本機安裝 ```shell git clone https://github.com/MobSF/Mobile-Security-Framework-MobSF.git cd Mobile-Security-Framework-MobSF ./setup.sh # For Linux and macOS ./run.sh # For Linux and macOS setup.bat # For Windows run.bat # For Windows ``` - Docker 執行 ```shell docker pull opensecurity/mobile-security-framework-mobsf docker run -it -p 8000:8000 opensecurity/mobile-security-framework-mobsf:latest ``` 可以在「Play With Docker 上使用」 - 已無法使用 原因是Image檔案大小超過了Play with docker的限制 # 功能 ## 靜態分析 - 以網頁方式呈現 - 把 APK 或要檢測拖曳進去網頁介面即可 - 儀錶板： - 問題的原因、危險等級，所在位置。 - 點選檔案後可以直接進入反編譯後的原始碼。 - 可以用 Recent Scans 查看過往檢測。 - Android 還可以使用動態分析 - 得到的資訊 - APK 資訊 - 名稱 - 大小 - SHA - APP 資訊 - Package Name - 版本號 - Main Activity - 證書、權限、API 資料 - Url / Email / String 等 ## 動態分析 - 安裝在「實際機器」或是利用 VM 建置 Android 模擬後使用 - 安裝方式： - 用 VM + MobSF_VM.ova - Android 手機 + Xposed + 相對應軟體 - 功能如下： - Env Set (設置代理與 DB 連接，同時用來安裝與運行程式) - Start / Stop Screen (用 Screen 來進行操作) - Install / Remove Mobsf CA (用來截獲 HTTP 流量) - Start Export Activity Tester (獲取 AndroidManifest.xml 的所有 EA) - Start Activity Tester (同上，但不止 Export ，同樣執行後會截圖) - ScreenShot (截圖) - Finish (把 Log 分析，完成後會輸出至介面來分析) - 結果可以用 PDF 檔案匯出 ## 實際操作 - 成功利用 Docker 在 Windows上執行 ### 加入平台構思 1. 在部屬時新增一個 Docker 容器 2. 撰寫一個腳本來利用 Curl 觸發掃描 - Ex. `curl -X POST -F "file=@/path/.apk" http://localhost:8000/api/v1/upload/` 3. 將他整合入 CI\CD pipeline內部 # 其他事項 - 如果要使用動態分析的話，需要調整 set.py 的樣子