导航菜单
平台声明

本平台专为移动应用安全风险研究与合规评估设计,严禁用于任何非法用途。 如有疑问或建议,欢迎加入微信群交流

应用基础信息

应用图标 应用评分

文件基本信息

文件名称 codeforme v1.2.apk
文件大小 57.11MB
MD5 aa642b7196ba36eb2b91dd4013bb6f0d
SHA1 cad86ad4348a68ba377dec6814688fb53909bcea
SHA256 5c9d2dd7ca58938824139722c3a1b522172188f6911fb20381bd8698241dea71
病毒检测 ⚠️ 2 个厂商报毒

应用基础信息

应用名称 codeforme
包名 gzqf.code.sjfd
主活动 flc.ast.SplashActivity
目标SDK 33
最小SDK 21
版本号 1.2
子版本号 2
加固信息 未加壳
开发框架 Java/Kotlin

组件导出状态统计

查看 Activity 组件
查看 Service 组件
查看 Receiver 组件
查看 Provider 组件

扫描与分析选项

重新扫描 管理规则 动态分析

反编译与源码导出

Manifest文件 查看
APK文件 成为会员,解锁下载
Java源代码 查看 -- 下载

文件结构与资源列表

    应用签名证书信息 

    APK已签名
v1 签名: True
v2 签名: True
v3 签名: True
v4 签名: False
主题: C=CN, ST=CN, L=CN, O=qifuxinxi, OU=qifuxinxi, CN=qifuxinxi
签名算法: rsassa_pkcs1v15
有效期自: 2023-12-07 10:55:42+00:00
有效期至: 2048-11-30 10:55:42+00:00
发行人: C=CN, ST=CN, L=CN, O=qifuxinxi, OU=qifuxinxi, CN=qifuxinxi
序列号: 0x66dd9a3e
哈希算法: sha256
证书MD5: fe250e666224cc9a221a2fb944947362
证书SHA1: b9cacfafd99eb7cbb1edf06372d1a05903272632
证书SHA256: 2eda41d611a53f907ffd8d09bb2bbf2999a395c063c54c58330a07f6d7581383
证书SHA512: e5dcbf4308c6b366a9050782805e79173079ecbdcf2d6c3f8439104ca074b6aa080468ca5144a176a40ba08e2993a2185f69fd32ec8923e2e72b8b584acd5725
公钥算法: rsa
密钥长度: 2048
指纹: 233b93d459cf8027d8821fb1de7accbf6a203556d5b4fb17c545bc6dc78e7c41
共检测到 1 个唯一证书

    权限声明与风险分级

    权限名称 安全等级 权限内容 权限描述 关联代码
    android.permission.INTERNET 危险 完全互联网访问 允许应用程序创建网络套接字。
    android.permission.WAKE_LOCK 危险 防止手机休眠 允许应用程序防止手机休眠,在手机屏幕关闭后后台进程仍然运行。
    android.permission.CAMERA 危险 拍照和录制视频 允许应用程序拍摄照片和视频,且允许应用程序收集相机在任何时候拍到的图像。
    android.permission.READ_EXTERNAL_STORAGE 危险 读取SD卡内容 允许应用程序从SD卡读取信息。
    android.permission.WRITE_EXTERNAL_STORAGE 危险 读取/修改/删除外部存储内容 允许应用程序写入外部存储。
    android.permission.READ_MEDIA_IMAGES 危险 允许从外部存储读取图像文件 允许应用程序从外部存储读取图像文件。
    android.permission.READ_MEDIA_VIDEO 危险 允许从外部存储读取视频文件 允许应用程序从外部存储读取视频文件。
    android.permission.READ_MEDIA_AUDIO 危险 允许从外部存储读取音频文件 允许应用程序从外部存储读取音频文件。 无关联代码
    android.permission.ACCESS_NETWORK_STATE 普通 获取网络状态 允许应用程序查看所有网络的状态。
    android.permission.READ_PHONE_STATE 危险 读取手机状态和标识 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。
    android.permission.ACCESS_WIFI_STATE 普通 查看Wi-Fi状态 允许应用程序查看有关Wi-Fi状态的信息。
    android.permission.REQUEST_INSTALL_PACKAGES 危险 允许安装应用程序 Android8.0 以上系统允许安装未知来源应用程序权限。 无关联代码
    android.permission.VIBRATE 普通 控制振动器 允许应用程序控制振动器,用于消息通知振动功能。 无关联代码
    android.permission.CHANGE_NETWORK_STATE 危险 改变网络连通性 允许应用程序改变网络连通性。
    android.permission.ACCESS_COARSE_LOCATION 危险 获取粗略位置 通过WiFi或移动基站的方式获取用户粗略的经纬度信息,定位精度大概误差在30~1500米。恶意程序可以用它来确定您的大概位置。
    android.permission.QUERY_ALL_PACKAGES 普通 获取已安装应用程序列表 Android 11引入与包可见性相关的权限,允许查询设备上的任何普通应用程序,而不考虑清单声明。
    android.permission.REORDER_TASKS 危险 对正在运行的应用程序重新排序 允许应用程序将任务移至前端和后台。恶意应用程序可借此强行进入前端,而不受您的控制。
    com.google.android.gms.permission.AD_ID 普通 应用程序显示广告 此应用程序使用 Google 广告 ID,并且可能会投放广告。 无关联代码
    gzqf.code.sjfd.openadsdk.permission.TT_PANGOLIN 未知 未知权限 来自 android 引用的未知权限。 无关联代码
    android.permission.RECORD_AUDIO 危险 获取录音权限 允许应用程序获取录音权限。
    com.asus.msa.SupplementaryDID.ACCESS 普通 获取厂商oaid相关权限 获取设备标识信息oaid,在华硕设备上需要用到的权限。 无关联代码
    android.permission.SYSTEM_ALERT_WINDOW 危险 弹窗 允许应用程序弹窗。 恶意程序可以接管手机的整个屏幕。
    android.permission.CHANGE_WIFI_STATE 危险 改变Wi-Fi状态 允许应用程序改变Wi-Fi状态。
    android.permission.BROADCAST_STICKY 普通 发送置顶广播 允许应用程序发送顽固广播,这些广播在结束后仍会保留。恶意应用程序可能会借此使手机耗用太多内存,从而降低其速度或稳定性。
    com.hihonor.permission.MANAGE_FOLD_SCREEN 未知 未知权限 来自 android 引用的未知权限。 无关联代码
    com.hihonor.permission.MANAGE_FOLD_SCREEN_PRIVILEGED 未知 未知权限 来自 android 引用的未知权限。 无关联代码
    gzqf.code.sjfd.com.huawei.openaliance.ad.app.ins 未知 未知权限 来自 android 引用的未知权限。 无关联代码

    证书安全合规分析

    高危
    0
    警告
    1
    信息
    1
    标题 严重程度 描述信息
    已签名应用 信息 应用已使用代码签名证书进行签名。

    Manifest 配置安全分析

    高危
    0
    警告
    5
    信息
    0
    屏蔽
    0
    序号 问题 严重程度 描述信息 操作
    1 应用已启用明文网络流量
    [android:usesCleartextTraffic=true]     		警告 应用允许明文网络流量(如 HTTP、FTP 协议、DownloadManager、MediaPlayer 等)。API 级别 27 及以下默认启用,28 及以上默认禁用。明文流量缺乏机密性、完整性和真实性保护,攻击者可窃听或篡改传输数据。建议关闭明文流量,仅使用加密协议。
    对应用 gzqf.code.sjfd 屏蔽 clear_text_traffic 规则
    2 应用已配置网络安全策略
    [android:networkSecurityConfig=@xml/stk_network_config]     		信息 网络安全配置允许应用通过声明式配置文件自定义网络安全策略,无需修改代码。可针对特定域名或应用范围进行灵活配置。
    对应用 gzqf.code.sjfd 屏蔽 has_network_security 规则
    3 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityProxy) 未受保护。
    [android:exported=true]     		警告 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
    对应用 gzqf.code.sjfd 屏蔽 activity_explicitly_exported 规则
    4 Activity (com.bytedance.android.openliveplugin.stub.activity.DouyinAuthorizeActivityLiveProcessProxy) 未受保护。
    [android:exported=true]     		警告 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
    对应用 gzqf.code.sjfd 屏蔽 activity_explicitly_exported 规则
    5 Activity (com.huawei.openalliance.ad.activity.PPSLauncherActivity) 未受保护。
    [android:exported=true]     		警告 检测到 Activity 已导出,未受任何权限保护,任意应用均可访问。
    对应用 gzqf.code.sjfd 屏蔽 activity_explicitly_exported 规则
    6 Content Provider (com.huawei.openalliance.ad.provider.PPSECProvider) 未受保护。
    [android:exported=true]     		警告 检测到 Content Provider 已导出,未受任何权限保护,任意应用均可访问。
    对应用 gzqf.code.sjfd 屏蔽 provider_explicitly_exported 规则

    可浏览 Activity 组件分析

    ACTIVITY INTENT
    com.huawei.openalliance.ad.activity.PPSLauncherActivity Schemes: hwpps://,
    Hosts: gzqf.code.sjfd,

    网络通信安全风险分析

    高危
    4
    警告
    2
    信息
    0
    安全
    0
    序号 范围 严重级别 描述
    1 *
    		高危 基本配置不安全地配置为允许到所有域的明文流量。
    2 *
    		警告 基本配置配置为信任系统证书。
    3 *
    		高危 基本配置配置为信任用户安装的证书。
    4 i.snssdk.com
    is.snssdk.com
    pangolin.snssdk.com
    extlog.snssdk.com
    sf3-ttcdn-tos.pstatp.com
    bds.snssdk.com
    dig.bdurl.net
    api-access.pangolin-sdk-toutiao.com
    sf1-fe-tos.pglstatp-toutiao.com
    sf1-be-pack.pglstatp-toutiao.com
    sf3-fe-tos.pglstatp-toutiao.com
    log-api.pangolin-sdk-toutiao.com
    s3-fe-scm.pglstatp-toutiao.com
    s3a.pstatp.com
    api-access.pangolin-sdk-toutiao-b.com
    log-api.pangolin-sdk-toutiao-b.com
    dm.pstatp.com
    toblog.ctobsnssdk.com
    sdfp.snssdk.com
    tosv.byted.org
    sf1-ttcdn-tos.pstatp.com
    sf6-fe-tos.pglstatp-toutiao.com
    log.snssdk.com
    tosv.boe.byted.org
    dm.toutiao.com
    dm.bytedance.com
    snssdk.com
    open.snssdk.com
    mercury-sdk.snssdk.com
    open.toutiao.com
    open-hl.toutiao.com
    test-open.snssdk.com
    pstatp.com
    s3.pstatp.com
    mcs.snssdk.com
    dm-hl.toutiao.com
    dm-lq.toutiao.com
    webcast-open.douyin.com
    plugin-patch-api.bytedance.com
    127.0.0.1
    		高危 域配置不安全地配置为允许明文流量到达范围内的这些域。
    5 i.snssdk.com
    is.snssdk.com
    pangolin.snssdk.com
    extlog.snssdk.com
    sf3-ttcdn-tos.pstatp.com
    bds.snssdk.com
    dig.bdurl.net
    api-access.pangolin-sdk-toutiao.com
    sf1-fe-tos.pglstatp-toutiao.com
    sf1-be-pack.pglstatp-toutiao.com
    sf3-fe-tos.pglstatp-toutiao.com
    log-api.pangolin-sdk-toutiao.com
    s3-fe-scm.pglstatp-toutiao.com
    s3a.pstatp.com
    api-access.pangolin-sdk-toutiao-b.com
    log-api.pangolin-sdk-toutiao-b.com
    dm.pstatp.com
    toblog.ctobsnssdk.com
    sdfp.snssdk.com
    tosv.byted.org
    sf1-ttcdn-tos.pstatp.com
    sf6-fe-tos.pglstatp-toutiao.com
    log.snssdk.com
    tosv.boe.byted.org
    dm.toutiao.com
    dm.bytedance.com
    snssdk.com
    open.snssdk.com
    mercury-sdk.snssdk.com
    open.toutiao.com
    open-hl.toutiao.com
    test-open.snssdk.com
    pstatp.com
    s3.pstatp.com
    mcs.snssdk.com
    dm-hl.toutiao.com
    dm-lq.toutiao.com
    webcast-open.douyin.com
    plugin-patch-api.bytedance.com
    127.0.0.1
    		高危 域配置配置为信任用户安装的证书。
    6 i.snssdk.com
    is.snssdk.com
    pangolin.snssdk.com
    extlog.snssdk.com
    sf3-ttcdn-tos.pstatp.com
    bds.snssdk.com
    dig.bdurl.net
    api-access.pangolin-sdk-toutiao.com
    sf1-fe-tos.pglstatp-toutiao.com
    sf1-be-pack.pglstatp-toutiao.com
    sf3-fe-tos.pglstatp-toutiao.com
    log-api.pangolin-sdk-toutiao.com
    s3-fe-scm.pglstatp-toutiao.com
    s3a.pstatp.com
    api-access.pangolin-sdk-toutiao-b.com
    log-api.pangolin-sdk-toutiao-b.com
    dm.pstatp.com
    toblog.ctobsnssdk.com
    sdfp.snssdk.com
    tosv.byted.org
    sf1-ttcdn-tos.pstatp.com
    sf6-fe-tos.pglstatp-toutiao.com
    log.snssdk.com
    tosv.boe.byted.org
    dm.toutiao.com
    dm.bytedance.com
    snssdk.com
    open.snssdk.com
    mercury-sdk.snssdk.com
    open.toutiao.com
    open-hl.toutiao.com
    test-open.snssdk.com
    pstatp.com
    s3.pstatp.com
    mcs.snssdk.com
    dm-hl.toutiao.com
    dm-lq.toutiao.com
    webcast-open.douyin.com
    plugin-patch-api.bytedance.com
    127.0.0.1
    		警告 域配置配置为信任系统证书。

    API调用分析

    API功能 源码文件
    一般功能-> 文件操作
    cn/jzvd/i.java
    cn/jzvd/k.java
    com/_6LeoU/_6LeoU/_6LeoU/_6LeoU/b1.java
    com/bdf_19do/bdf_19do/bdf_19do/bdf_19do/bdf_19do/s0.java
    com/czhj/devicehelper/cnadId/a.java
    com/czhj/volley/Request.java
    com/czhj/volley/toolbox/BaseHttpStack.java
    com/czhj/volley/toolbox/BasicNetwork.java
    com/czhj/volley/toolbox/FileDownloadNetwork.java
    com/czhj/volley/toolbox/FileDownloadRequest.java
    com/czhj/volley/toolbox/HttpResponse.java
    com/czhj/volley/toolbox/HurlStack.java
    com/czhj/volley/toolbox/OkHttp3Stack.java
    com/czhj/volley/toolbox/PoolingByteArrayOutputStream.java
    com/czhj/wire/AndroidMessage.java
    com/czhj/wire/EnumAdapter.java
    com/czhj/wire/FieldEncoding.java
    com/czhj/wire/Message.java
    com/czhj/wire/MessageSerializedForm.java
    com/czhj/wire/ProtoAdapter.java
    com/czhj/wire/ProtoReader.java
    com/czhj/wire/ProtoWriter.java
    com/czhj/wire/RuntimeMessageAdapter.java
    com/czhj/wire/internal/ImmutableList.java
    com/czhj/wire/internal/MutableOnWriteList.java
    com/czhj/wire/protobuf/DescriptorProto.java
    com/czhj/wire/protobuf/EnumDescriptorProto.java
    com/czhj/wire/protobuf/EnumOptions.java
    com/czhj/wire/protobuf/EnumValueDescriptorProto.java
    com/czhj/wire/protobuf/EnumValueOptions.java
    com/czhj/wire/protobuf/FieldDescriptorProto.java
    com/czhj/wire/protobuf/FieldOptions.java
    com/czhj/wire/protobuf/FileDescriptorProto.java
    com/czhj/wire/protobuf/FileDescriptorSet.java
    com/czhj/wire/protobuf/FileOptions.java
    com/czhj/wire/protobuf/MessageOptions.java
    com/czhj/wire/protobuf/MethodDescriptorProto.java
    com/czhj/wire/protobuf/MethodOptions.java
    com/czhj/wire/protobuf/OneofDescriptorProto.java
    com/czhj/wire/protobuf/ServiceDescriptorProto.java
    com/czhj/wire/protobuf/ServiceOptions.java
    com/czhj/wire/protobuf/SourceCodeInfo.java
    com/czhj/wire/protobuf/UninterpretedOption.java
    com/davemorrissey/labs/subscaleview/ImageSource.java
    com/davemorrissey/labs/subscaleview/ImageViewState.java
    com/davemorrissey/labs/subscaleview/decoder/SkiaImageDecoder.java
    com/davemorrissey/labs/subscaleview/decoder/SkiaImageRegionDecoder.java
    com/davemorrissey/labs/subscaleview/decoder/SkiaPooledImageRegionDecoder.java
    com/hjq/permissions/PermissionChecker.java
    com/kwai/library/ipneigh/KwaiIpNeigh.java
    com/kwai/library/ipneigh/a.java
    com/lxj/xpopup/interfaces/XPopupImageLoader.java
    com/lxj/xpopup/util/FuckRomUtils.java
    com/lxj/xpopup/util/ImageDownloadTarget.java
    com/lxj/xpopup/util/SSIVListener.java
    com/lxj/xpopup/util/SmartGlideImageLoader.java
    com/lxj/xpopup/util/XPopupUtils.java
    com/meituan/android/walle/a.java
    com/otaliastudios/cameraview/engine/b.java
    com/otaliastudios/cameraview/engine/g.java
    com/otaliastudios/cameraview/engine/i.java
    com/otaliastudios/cameraview/picture/a.java
    com/otaliastudios/cameraview/picture/b.java
    com/otaliastudios/cameraview/picture/e.java
    com/otaliastudios/cameraview/picture/h.java
    com/otaliastudios/cameraview/r.java
    com/otaliastudios/cameraview/video/encoding/b.java
    com/otaliastudios/cameraview/video/encoding/q.java
    com/otaliastudios/cameraview/video/encoding/w.java
    com/otaliastudios/opengl/core/e.java
    com/otaliastudios/opengl/surface/b.java
    com/ss/android/download/api/config/r.java
    com/ss/android/downloadlib/a/a.java
    com/ss/android/downloadlib/a/i.java
    com/ss/android/downloadlib/a/l.java
    com/ss/android/downloadlib/addownload/bk.java
    com/ss/android/downloadlib/addownload/bk/xp.java
    com/ss/android/downloadlib/addownload/compliance/b.java
    com/ss/android/downloadlib/addownload/l/bk.java
    com/ss/android/downloadlib/addownload/l/l.java
    com/ss/android/downloadlib/addownload/n.java
    com/ss/android/downloadlib/addownload/pt/b.java
    com/ss/android/downloadlib/addownload/pt/pt.java
    com/ss/android/downloadlib/addownload/xl.java
    com/ss/android/downloadlib/addownload/xp.java
    com/ss/android/downloadlib/b.java
    com/ss/android/downloadlib/l.java
    com/ss/android/downloadlib/pt/l.java
    com/ss/android/downloadlib/pt/pt.java
    com/ss/android/l/bk.java
    com/ss/android/l/l.java
    com/ss/android/l/pt.java
    com/stark/camera/kit/filter/CameraActivity.java
    com/stark/camera/kit/filter/VideoPreviewActivity.java
    com/stark/camera/kit/height/AltimeterRetActivity.java
    com/stark/cartoonutil/lib/ml/a.java
    com/stark/cartoonutil/lib/ml/b.java
    com/stark/cartoonutil/lib/ml/c.java
    com/stark/cartoonutil/lib/utils/ImgUtil.java
    com/stark/imgedit/ImgEditActivity.java
    com/stark/imgedit/adapter/StickerAdapter.java
    com/stark/imgedit/fragment/StickerFragment.java
    com/stark/imgedit/utils/b.java
    com/stark/more/CommonMoreInfoActivity.java
    com/stark/photomovie/PhotoMoviePlayer.java
    com/stark/photomovie/dynamic/DynamicLoader.java
    com/stark/photomovie/music/IMusicPlayer.java
    com/stark/photomovie/music/MusicPlayer.java
    com/stark/photomovie/record/AudioRecordThread.java
    com/stark/photomovie/record/GLMovieRecorder.java
    com/stark/photomovie/record/PcmToWavUtil.java
    com/stark/photomovie/record/gles/EglSurfaceBase.java
    com/stark/photomovie/render/GLTextureView.java
    com/stark/photomovie/util/AppResources.java
    com/stark/photomovie/util/Utils.java
    com/stark/photomovie/util/stackblur/StackBlurManager.java
    com/stark/picselect/activity/PictureSelectActivity.java
    com/stark/picselect/adapter/PictureBottomPreviewItemAdapter.java
    com/stark/picselect/adapter/PreviewMaterialAdapter.java
    com/stark/picselect/entity/SelectMediaEntity.java
    com/stark/pmu/PhotoMoviePresenter.java
    com/stark/video/player/VideoPlayerActivity.java
    com/stark/video/player/b.java
    com/unity3d/services/ads/gmascar/handlers/d.java
    com/unity3d/services/ads/token/d.java
    com/unity3d/services/core/api/Cache.java
    com/unity3d/services/core/api/DeviceInfo.java
    com/unity3d/services/core/api/Preferences.java
    com/unity3d/services/core/api/Storage.java
    com/unity3d/services/core/cache/a.java
    com/unity3d/services/core/cache/f.java
    com/unity3d/services/core/cache/g.java
    com/unity3d/services/core/configuration/Configuration.java
    com/unity3d/services/core/configuration/ConfigurationReader.java
    com/unity3d/services/core/configuration/ConfigurationRequestFactory.java
    com/unity3d/services/core/configuration/InitializeThread.java
    com/unity3d/services/core/device/b.java
    com/unity3d/services/core/device/f.java
    com/unity3d/services/core/device/i.java
    com/unity3d/services/core/device/reader/b.java
    com/unity3d/services/core/misc/i.java
    com/unity3d/services/core/preferences/a.java
    com/unity3d/services/core/properties/c.java
    com/unity3d/services/core/request/h.java
    com/unity3d/services/core/webview/a.java
    flc/ast/activity/MusicAlbumActivity.java
    flc/ast/activity/MusicAlbumAllActivity.java
    flc/ast/activity/SelPicActivity.java
    flc/ast/adapter/MusicAlbumAdapter.java
    flc/ast/fragment/AlbumFragment.java
    org/tensorflow/lite/c.java
    org/tensorflow/lite/support/metadata/c.java
    org/tensorflow/lite/support/model/a.java
    stark/common/basic/appserver/AppServerBaseApi.java
    stark/common/basic/base/BaseWebviewActivity.java
    stark/common/basic/bean/BaseBean.java
    stark/common/basic/dbloader/AssetDbDownloader.java
    stark/common/basic/device/CPUUtil.java
    stark/common/basic/device/NetUtil.java
    stark/common/basic/device/StorageUtil.java
    stark/common/basic/device/WallpaperUtil.java
    stark/common/basic/glide/Base64UrlDataFetcher.java
    stark/common/basic/media/audio/AudioPlayerImpl.java
    stark/common/basic/media/audio/PcmAudioPlayer.java
    stark/common/basic/retrofit/BaseApi.java
    stark/common/basic/sound/DictSpeaker.java
    stark/common/basic/tts/TtSpeaker.java
    stark/common/basic/utils/AppUtil.java
    stark/common/basic/utils/AssetUtil.java
    stark/common/basic/utils/BitmapUtil.java
    stark/common/basic/utils/FileP2pUtil.java
    stark/common/basic/utils/FileUtil.java
    stark/common/basic/utils/IOUtil.java
    stark/common/basic/utils/IntentUtil.java
    stark/common/basic/utils/MD5Utils.java
    stark/common/basic/utils/NetSpeedTestUtil.java
    stark/common/basic/utils/SPUtil.java
    stark/common/basic/utils/StkApiReqUtil.java
    stark/common/basic/utils/StkCacheUtils.java
    stark/common/basic/utils/StkFlashUtil.java
    stark/common/basic/utils/UriUtil.java
    stark/common/basic/utils/XmlUtil.java
    stark/common/basic/xpopup/XPopupDefaultImageLoader.java
    stark/common/core/appconfig/AppConfigManager.java
    一般功能-> 查询数据库(短信、联系人、通话记录、浏览器历史等) stark/common/basic/utils/ContactUtil.java
    stark/common/basic/utils/UriUtil.java
    隐私数据-> 拍照摄像 com/otaliastudios/cameraview/engine/b.java
    com/otaliastudios/cameraview/picture/a.java
    stark/common/basic/utils/StkFlashUtil.java
    一般功能-> 获取系统服务(getSystemService)
    cn/jzvd/JzvdStd.java
    cn/jzvd/i.java
    cn/jzvd/k.java
    com/czhj/devicehelper/DeviceHelper.java
    com/davemorrissey/labs/subscaleview/decoder/SkiaPooledImageRegionDecoder.java
    com/hjq/permissions/PermissionUtils.java
    com/kwai/library/ipneigh/b.java
    com/kwai/library/ipneigh/c.java
    com/lxj/xpopup/util/KeyboardUtils.java
    com/lxj/xpopup/util/XPopupUtils.java
    com/otaliastudios/cameraview/CameraView.java
    com/otaliastudios/cameraview/engine/d.java
    com/otaliastudios/cameraview/internal/h.java
    com/ss/android/downloadlib/a/i.java
    com/stark/camera/kit/PendantActivity.java
    com/stark/camera/kit/angle/AngleMeasureActivity.java
    com/stark/camera/kit/height/Altimeter.java
    com/stark/imgedit/fragment/AddTextFragment.java
    com/unity3d/services/ads/api/VideoPlayer.java
    com/unity3d/services/ads/operation/show/d.java
    com/unity3d/services/core/api/DeviceInfo.java
    com/unity3d/services/core/api/SensorInfo.java
    com/unity3d/services/core/connectivity/b.java
    com/unity3d/services/core/device/b.java
    com/vilyever/drawingview/DrawingView.java
    com/vilyever/drawingview/layer/DrawingLayerTextView.java
    stark/common/basic/device/BatteryUtil.java
    stark/common/basic/device/DeviceInfoUtil.java
    stark/common/basic/device/NetUtil.java
    stark/common/basic/device/SIMCardUtil.java
    stark/common/basic/device/SensorUtil.java
    stark/common/basic/device/StorageUtil.java
    stark/common/basic/floating/BaseFloatView.java
    stark/common/basic/service/BaseForegroundService.java
    stark/common/basic/utils/AppUtil.java
    stark/common/basic/utils/CompassUtil.java
    stark/common/basic/utils/LocationUtil.java
    stark/common/basic/utils/PermissionUtil.java
    stark/common/basic/utils/StkFlashUtil.java
    stark/common/basic/utils/WiFiUtil.java
    一般功能-> 传感器相关操作
    组件-> 启动 Activity
    com/hjq/permissions/PermissionFragment.java
    com/hjq/permissions/XXPermissions.java
    com/lxj/xpopup/util/XPermission.java
    com/ss/android/downloadlib/a/xl.java
    com/ss/android/downloadlib/activity/TTDelegateActivity.java
    com/ss/android/downloadlib/addownload/compliance/AppDetailInfoActivity.java
    com/ss/android/downloadlib/addownload/compliance/AppPrivacyPolicyActivity.java
    com/stark/camera/kit/BaseCameraKitActivity.java
    com/stark/camera/kit/angle/AngleMeasureActivity.java
    com/stark/camera/kit/filter/CameraActivity.java
    com/stark/camera/kit/height/AltimeterRetActivity.java
    com/stark/camera/kit/id/IdCameraActivity.java
    com/stark/imgedit/ImgEditActivity.java
    com/stark/more/CommonMoreInfoActivity.java
    com/stark/more/about/DefAboutActivity.java
    com/stark/more/entity/ActivityMoreItem.java
    com/stark/picselect/activity/MaterialPreviewActivity.java
    com/stark/picselect/adapter/d.java
    com/unity3d/services/ads/api/AdUnit.java
    com/unity3d/services/core/api/Intent.java
    flc/ast/SplashActivity.java
    flc/ast/activity/MusicAlbumActivity.java
    flc/ast/activity/MusicAlbumAllActivity.java
    flc/ast/activity/PicAdjustActivity.java
    flc/ast/activity/PicAnimationActivity.java
    flc/ast/activity/PicCutActivity.java
    flc/ast/activity/PicFilterActivity.java
    flc/ast/activity/PicGraffitiActivity.java
    flc/ast/activity/PicMosaicActivity.java
    flc/ast/activity/PicRotateActivity.java
    flc/ast/activity/PicStickerActivity.java
    flc/ast/activity/PicTextActivity.java
    flc/ast/activity/PriAlbumActivity.java
    flc/ast/activity/PubAlbumActivity.java
    flc/ast/activity/PubAlbumDetailActivity.java
    flc/ast/activity/SelPicActivity.java
    flc/ast/activity/SelPictureActivity.java
    flc/ast/dialog/InputPasswordDialog.java
    flc/ast/fragment/AlbumFragment.java
    flc/ast/fragment/EditFragment.java
    flc/ast/fragment/HomeFragment.java
    flc/ast/fragment/MyFragment.java
    stark/common/basic/base/BaseActivity1.java
    stark/common/basic/base/BaseNoModelFragment.java
    stark/common/basic/base/BaseNoModelWebViewActivity.java
    stark/common/basic/base/BaseWebviewActivity.java
    stark/common/basic/device/BatteryUtil.java
    stark/common/basic/utils/ActivityUtil.java
    stark/common/basic/utils/AppUtil.java
    stark/common/basic/utils/IntentUtil.java
    stark/common/basic/utils/PermissionUtil.java
    stark/common/basic/utils/StkPermissionHelper.java
    stark/common/basic/utils/StkWebViewUtil.java
    stark/common/core/base/a.java
    一般功能-> IPC通信
    cn/jzvd/JzvdStd.java
    com/czhj/devicehelper/oaId/helpers/a.java
    com/czhj/devicehelper/oaId/helpers/b.java
    com/czhj/devicehelper/oaId/helpers/c.java
    com/czhj/devicehelper/oaId/helpers/f.java
    com/czhj/devicehelper/oaId/helpers/g.java
    com/czhj/devicehelper/oaId/helpers/h.java
    com/czhj/devicehelper/oaId/helpers/k.java
    com/czhj/devicehelper/oaId/interfaces/a.java
    com/czhj/devicehelper/oaId/interfaces/b.java
    com/czhj/devicehelper/oaId/interfaces/c.java
    com/czhj/devicehelper/oaId/interfaces/d.java
    com/czhj/devicehelper/oaId/interfaces/e.java
    com/czhj/devicehelper/oaId/interfaces/f.java
    com/czhj/devicehelper/oaId/interfaces/g.java
    com/czhj/volley/AuthFailureError.java
    com/hjq/permissions/PermissionFragment.java
    com/hjq/permissions/PermissionSettingPage.java
    com/hjq/permissions/XXPermissions.java
    com/huawei/appmarket/service/externalservice/activityresult/IActivityResult.java
    com/lxj/xpopup/util/XPermission.java
    com/lxj/xpopup/util/XPopupUtils.java
    com/ss/android/downloadlib/a/i.java
    com/ss/android/downloadlib/a/l.java
    com/ss/android/downloadlib/a/xl.java
    com/ss/android/downloadlib/activity/JumpKllkActivity.java
    com/ss/android/downloadlib/activity/TTDelegateActivity.java
    com/ss/android/downloadlib/addownload/compliance/AppDetailInfoActivity.java
    com/ss/android/downloadlib/addownload/compliance/AppPrivacyPolicyActivity.java
    com/ss/android/downloadlib/addownload/cq.java
    com/ss/android/downloadlib/addownload/xp.java
    com/ss/android/downloadlib/core/download/DownloadReceiver.java
    com/ss/android/downloadlib/l.java
    com/ss/android/downloadlib/l/l/b.java
    com/ss/android/downloadlib/l/l/l.java
    com/ss/android/downloadlib/l/l/pt.java
    com/stark/camera/kit/angle/AngleMeasureActivity.java
    com/stark/camera/kit/filter/CameraActivity.java
    com/stark/camera/kit/height/AltimeterRetActivity.java
    com/stark/camera/kit/id/IdCameraActivity.java
    com/stark/imgedit/ImgEditActivity.java
    com/stark/more/CommonMoreInfoActivity.java
    com/stark/more/about/DefAboutActivity.java
    com/stark/more/entity/ActivityMoreItem.java
    com/stark/more/entity/FriendShareMoreItem.java
    com/stark/more/entity/PraiseMoreItem.java
    com/stark/picselect/activity/MaterialPreviewActivity.java
    com/stark/picselect/adapter/d.java
    com/stark/pmu/PhotoMovieActivity.java
    com/stark/pmu/PhotoMovieFragment.java
    com/stark/video/player/VideoPlayerActivity.java
    com/unity3d/services/ads/adunit/AdUnitActivity.java
    com/unity3d/services/ads/api/AdUnit.java
    com/unity3d/services/core/api/Intent.java
    com/unity3d/services/core/broadcast/c.java
    com/unity3d/services/core/configuration/CoreModuleConfiguration.java
    com/unity3d/services/core/device/a.java
    com/unity3d/services/core/device/b.java
    com/unity3d/services/core/device/e.java
    flc/ast/SplashActivity.java
    flc/ast/activity/MusicAlbumActivity.java
    flc/ast/activity/PicAnimationActivity.java
    flc/ast/activity/PriAlbumActivity.java
    flc/ast/activity/PubAlbumActivity.java
    flc/ast/activity/PubAlbumDetailActivity.java
    flc/ast/activity/SelMusicActivity.java
    flc/ast/activity/SelPicActivity.java
    flc/ast/dialog/InputPasswordDialog.java
    flc/ast/fragment/MyFragment.java
    org/repackage/a/a/a/a.java
    stark/common/basic/base/BaseActivity1.java
    stark/common/basic/base/BaseNoModelFragment.java
    stark/common/basic/base/BaseNoModelWebViewActivity.java
    stark/common/basic/base/BaseWebviewActivity.java
    stark/common/basic/device/BatteryUtil.java
    stark/common/basic/service/BaseForegroundService.java
    stark/common/basic/utils/ActivityUtil.java
    stark/common/basic/utils/AppUtil.java
    stark/common/basic/utils/IntentUtil.java
    stark/common/basic/utils/PendingIntentUtil.java
    stark/common/basic/utils/PermissionUtil.java
    stark/common/basic/utils/StkPermissionHelper.java
    stark/common/basic/utils/StkWebViewUtil.java
    stark/common/core/base/BaseSplashAcWithTerms.java
    stark/common/core/base/a.java
    网络通信-> URLConnection stark/common/basic/utils/NetSpeedTestUtil.java
    网络通信-> TCP套接字
    网络通信-> OkHttpClient Connection
    调用java反射机制
    com/czhj/devicehelper/oaId/helpers/DevicesIDsHelper.java
    com/czhj/devicehelper/oaId/helpers/i.java
    com/czhj/devicehelper/oaId/helpers/j.java
    com/czhj/wire/FieldBinding.java
    com/czhj/wire/ProtoAdapter.java
    com/czhj/wire/RuntimeEnumAdapter.java
    com/czhj/wire/RuntimeMessageAdapter.java
    com/hjq/permissions/PermissionChecker.java
    com/lxj/xpopup/util/FuckRomUtils.java
    com/lxj/xpopup/util/XPopupUtils.java
    com/meituan/android/walle/d.java
    com/otaliastudios/opengl/core/e.java
    com/ss/android/downloadlib/a/l.java
    com/stark/photomovie/dynamic/DynamicLoader.java
    com/stark/photomovie/util/SystemPropertiesUtil.java
    com/unity3d/services/ads/gmascar/bridges/a.java
    com/unity3d/services/ads/gmascar/bridges/c.java
    com/unity3d/services/ads/gmascar/bridges/d.java
    com/unity3d/services/ads/gmascar/bridges/e.java
    com/unity3d/services/ads/webplayer/g.java
    com/unity3d/services/core/api/ClassDetection.java
    com/unity3d/services/core/configuration/Configuration.java
    com/unity3d/services/core/configuration/EnvironmentCheck.java
    com/unity3d/services/core/reflection/a.java
    com/unity3d/services/core/webview/WebView.java
    com/unity3d/services/core/webview/a.java
    com/unity3d/services/core/webview/bridge/b.java
    com/unity3d/services/core/webview/bridge/f.java
    com/unity3d/services/core/webview/bridge/g.java
    com/unity3d/services/core/webview/bridge/invocation/b.java
    com/unity3d/services/core/webview/bridge/j.java
    com/unity3d/services/store/gpbl/bridges/billingclient/common/a.java
    com/unity3d/services/store/gpbl/bridges/billingclient/common/b.java
    com/unity3d/services/store/gpbl/bridges/billingclient/common/c.java
    com/unity3d/services/store/gpbl/c.java
    com/unity3d/services/store/gpbl/proxies/a.java
    com/unity3d/services/store/gpbl/proxies/b.java
    com/unity3d/services/store/gpbl/proxies/c.java
    com/unity3d/services/store/gpbl/proxies/d.java
    com/vilyever/jsonmodel/a.java
    com/vilyever/jsonmodel/b.java
    com/vilyever/reflectkit/a.java
    org/tensorflow/lite/TensorFlowLite.java
    stark/common/basic/device/SIMCardUtil.java
    stark/common/basic/utils/ObjectUtil.java
    stark/common/basic/utils/WiFiUtil.java
    stark/common/basic/utils/XmlUtil.java
    组件-> 发送广播 com/lxj/xpopup/util/XPopupUtils.java
    隐私数据-> 屏幕截图,截取自己应用内部界面 com/lxj/xpopup/util/XPopupUtils.java
    stark/common/basic/utils/BitmapUtil.java
    加密解密-> Crypto加解密组件 stark/common/basic/utils/AESUtil.java
    加密解密-> 信息摘要算法
    加密解密-> Base64 加密
    加密解密-> Base64 解密
    JavaScript 接口方法 com/unity3d/services/ads/webplayer/a.java
    com/unity3d/services/core/configuration/EnvironmentCheck.java
    com/unity3d/services/core/webview/bridge/i.java
    一般功能-> 获取WiFi相关信息 stark/common/basic/utils/WiFiUtil.java
    一般功能-> 获取网络接口信息 stark/common/basic/device/NetUtil.java
    stark/common/basic/utils/WiFiUtil.java
    一般功能-> 获取活动网路信息
    一般功能-> 加载so文件
    设备指纹-> 查看本机IMSI stark/common/basic/device/SIMCardUtil.java
    设备指纹-> 查看本机SIM卡序列号 stark/common/basic/device/SIMCardUtil.java
    设备指纹-> getSimOperator stark/common/basic/device/SIMCardUtil.java
    组件-> ContentProvider com/czhj/devicehelper/oaId/helpers/e.java
    stark/common/basic/utils/ContactUtil.java
    隐私数据-> 读写通讯录 stark/common/basic/utils/ContactUtil.java
    组件-> 启动 Service
    一般功能-> 查看\修改Android系统属性
    网络通信-> WebView JavaScript接口
    网络通信-> WebView 相关
    隐私数据-> 屏幕截图,截取自己应用内部界面 com/davemorrissey/labs/subscaleview/SubsamplingScaleImageView.java
    命令执行-> getRuntime.exec() com/kwai/library/ipneigh/a.java
    com/lxj/xpopup/util/FuckRomUtils.java
    stark/common/basic/device/NetUtil.java
    一般功能-> 设置手机铃声,媒体音量 cn/jzvd/k.java
    com/unity3d/services/core/device/b.java
    网络通信-> HTTP建立连接
    隐私数据-> 获取已安装的应用程序
    进程操作-> 获取运行的进程\服务 com/ss/android/downloadlib/a/i.java
    一般功能-> Android通知 stark/common/basic/service/BaseForegroundService.java
    网络通信-> SSL证书处理 com/czhj/volley/toolbox/HurlStack.java
    com/czhj/volley/toolbox/OkHttp3Stack.java
    网络通信-> WebView GET请求 com/unity3d/services/core/webview/a.java
    stark/common/basic/utils/StkWebViewUtil.java
    网络通信-> WebView使用File协议 com/unity3d/services/core/webview/WebView.java
    隐私数据-> 获取GPS位置信息 com/otaliastudios/cameraview/engine/b.java
    设备指纹-> DeviceId,IMEI,MEID com/czhj/devicehelper/DeviceHelper.java
    设备指纹-> 查看本机号码 com/czhj/devicehelper/DeviceHelper.java
    网络通信-> HTTPS建立连接 com/unity3d/services/core/request/h.java
    DEX-> 动态加载 com/stark/photomovie/dynamic/DynamicLoader.java
    stark/common/basic/device/NotchScreenUtil.java
    隐私数据-> 录制音频行为 com/otaliastudios/cameraview/video/encoding/b.java

    安全漏洞检测

    高危
    1
    警告
    9
    信息
    1
    安全
    0
    屏蔽
    0
    序号 问题 等级 参考标准 文件位置 操作
    1 应用程序可以读取/写入外部存储器,任何应用程序都可以读取写入外部存储器的数据 警告 CWE: CWE-276: 默认权限不正确
    OWASP Top 10: M2: Insecure Data Storage
    OWASP MASVS: MSTG-STORAGE-2     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_read_write_external 规则 仅对这些文件屏蔽 android_read_write_external 规则
    2 应用程序记录日志信息,不得记录敏感信息 信息 CWE: CWE-532: 通过日志文件的信息暴露
    OWASP MASVS: MSTG-STORAGE-3     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_logging 规则 仅对这些文件屏蔽 android_logging 规则
    3 应用程序使用不安全的随机数生成器 警告 CWE: CWE-330: 使用不充分的随机数
    OWASP Top 10: M5: Insufficient Cryptography
    OWASP MASVS: MSTG-CRYPTO-6     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_insecure_random 规则 仅对这些文件屏蔽 android_insecure_random 规则
    4 MD5是已知存在哈希冲突的弱哈希 警告 CWE: CWE-327: 使用了破损或被认为是不安全的加密算法
    OWASP Top 10: M5: Insufficient Cryptography
    OWASP MASVS: MSTG-CRYPTO-4     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_md5 规则 仅对这些文件屏蔽 android_md5 规则
    5 文件可能包含硬编码的敏感信息,如用户名、密码、密钥等 警告 CWE: CWE-312: 明文存储敏感信息
    OWASP Top 10: M9: Reverse Engineering
    OWASP MASVS: MSTG-STORAGE-14     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_hardcoded 规则 仅对这些文件屏蔽 android_hardcoded 规则
    6 IP地址泄露 警告 CWE: CWE-200: 信息泄露
    OWASP MASVS: MSTG-CODE-2     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_ip_disclosure 规则 仅对这些文件屏蔽 android_ip_disclosure 规则
    7 SHA-1是已知存在哈希冲突的弱哈希 警告 CWE: CWE-327: 使用了破损或被认为是不安全的加密算法
    OWASP Top 10: M5: Insufficient Cryptography
    OWASP MASVS: MSTG-CRYPTO-4     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_sha1 规则 仅对这些文件屏蔽 android_sha1 规则
    8 应用程序使用SQLite数据库并执行原始SQL查询。原始SQL查询中不受信任的用户输入可能会导致SQL注入。敏感信息也应加密并写入数据库 警告 CWE: CWE-89: SQL命令中使用的特殊元素转义处理不恰当('SQL 注入')
    OWASP Top 10: M7: Client Code Quality     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_sql_raw_query 规则 仅对这些文件屏蔽 android_sql_raw_query 规则
    9 如果一个应用程序使用WebView.loadDataWithBaseURL方法来加载一个网页到WebView,那么这个应用程序可能会遭受跨站脚本攻击 高危 CWE: CWE-79: 在Web页面生成时对输入的转义处理不恰当('跨站脚本')
    OWASP Top 10: M1: Improper Platform Usage
    OWASP MASVS: MSTG-PLATFORM-6     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_webview_xss 规则 仅对这些文件屏蔽 android_webview_xss 规则
    10 不安全的Web视图实现。可能存在WebView任意代码执行漏洞 警告 CWE: CWE-749: 暴露危险方法或函数
    OWASP Top 10: M1: Improper Platform Usage
    OWASP MASVS: MSTG-PLATFORM-7     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_webview 规则 仅对这些文件屏蔽 android_webview 规则
    11 可能存在跨域漏洞。在 WebView 中启用从 URL 访问文件可能会泄漏文件系统中的敏感信息 警告 CWE: CWE-200: 信息泄露
    OWASP Top 10: M1: Improper Platform Usage
    OWASP MASVS: MSTG-PLATFORM-7     		升级会员:解锁高级权限
    对应用 gzqf.code.sjfd 屏蔽 android_webview_allow_file_from_url 规则 仅对这些文件屏蔽 android_webview_allow_file_from_url 规则

    Native库安全分析

    序号 动态库 NX(堆栈禁止执行) PIE STACK CANARY(栈保护) RELRO RPATH(指定SO搜索路径) RUNPATH(指定SO搜索路径) FORTIFY(常用函数加强检查) SYMBOLS STRIPPED(裁剪符号表)
    1 arm64-v8a/libphotoprocessing.so True
    info
    二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。    		 动态共享对象 (DSO)
    info
    共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。    		 True
    info
    这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出    		 Full RELRO
    info
    此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。    		 None
    info
    二进制文件没有设置运行时搜索路径或RPATH    		 None
    info
    二进制文件没有设置 RUNPATH    		 False
    warning
    二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用    		 False
    warning
    符号可用
    2 arm64-v8a/libsgcore.so True
    info
    二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。    		 动态共享对象 (DSO)
    info
    共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。    		 True
    info
    这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出    		 Full RELRO
    info
    此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。    		 None
    info
    二进制文件没有设置运行时搜索路径或RPATH    		 None
    info
    二进制文件没有设置 RUNPATH    		 False
    warning
    二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用    		 True
    info
    符号被剥离
    3 arm64-v8a/libtanId.so True
    info
    二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。    		 动态共享对象 (DSO)
    info
    共享库是使用 -fPIC 标志构建的,该标志启用与地址无关的代码。这使得面向返回的编程 (ROP) 攻击更难可靠地执行。    		 True
    info
    这个二进制文件在栈上添加了一个栈哨兵值,以便它会被溢出返回地址的栈缓冲区覆盖。这样可以通过在函数返回之前验证栈哨兵的完整性来检测溢出    		 Full RELRO
    info
    此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。    		 None
    info
    二进制文件没有设置运行时搜索路径或RPATH    		 None
    info
    二进制文件没有设置 RUNPATH    		 True
    info
    二进制文件有以下加固函数: ['__vsnprintf_chk', '__strlen_chk', '__memmove_chk', '__vsprintf_chk']    		 True
    info
    符号被剥离

    文件分析

    序号 问题 文件

    行为分析

    编号 行为 标签 文件
    00189 获取短信内容 短信
    		升级会员:解锁高级权限
    00192 获取短信收件箱中的消息 短信
    		升级会员:解锁高级权限
    00188 获取短信地址 短信
    		升级会员:解锁高级权限
    00011 从 URI 查询数据(SMS、CALLLOGS) 短信
    通话记录
    信息收集
    		升级会员:解锁高级权限
    00191 获取短信收件箱中的消息 短信
    		升级会员:解锁高级权限
    00200 从联系人列表中查询数据 信息收集
    联系人
    		升级会员:解锁高级权限
    00187 查询 URI 并检查结果 信息收集
    短信
    通话记录
    日历
    		升级会员:解锁高级权限
    00201 从通话记录中查询数据 信息收集
    通话记录
    		升级会员:解锁高级权限
    00077 读取敏感数据(短信、通话记录等) 信息收集
    短信
    通话记录
    日历
    		升级会员:解锁高级权限
    00036 从 res/raw 目录获取资源文件 反射
    		升级会员:解锁高级权限
    00183 获取当前相机参数并更改设置 相机
    		升级会员:解锁高级权限
    00004 获取文件名并将其放入 JSON 对象 文件
    信息收集
    		升级会员:解锁高级权限
    00094 连接到 URL 并从中读取数据 命令
    网络
    		升级会员:解锁高级权限
    00022 从给定的文件绝对路径打开文件 文件
    		升级会员:解锁高级权限
    00063 隐式意图(查看网页、拨打电话等) 控制
    		升级会员:解锁高级权限
    00013 读取文件并将其放入流中 文件
    		升级会员:解锁高级权限
    00052 删除内容 URI 指定的媒体(SMS、CALL_LOG、文件等) 短信
    		升级会员:解锁高级权限
    00051 通过setData隐式意图(查看网页、拨打电话等) 控制
    		升级会员:解锁高级权限
    00005 获取文件的绝对路径并将其放入 JSON 对象 文件
    		升级会员:解锁高级权限
    00130 获取当前WIFI信息 WiFi
    信息收集
    		升级会员:解锁高级权限
    00134 获取当前WiFi IP地址 WiFi
    信息收集
    		升级会员:解锁高级权限
    00001 初始化位图对象并将数据(例如JPEG)压缩为位图对象 相机
    		升级会员:解锁高级权限
    00162 创建 InetSocketAddress 对象并连接到它 socket
    		升级会员:解锁高级权限
    00163 创建新的 Socket 并连接到它 socket
    		升级会员:解锁高级权限
    00056 修改语音音量 控制
    		升级会员:解锁高级权限
    00125 检查给定的文件路径是否存在 文件
    		升级会员:解锁高级权限
    00089 连接到 URL 并接收来自服务器的输入流 命令
    网络
    		升级会员:解锁高级权限
    00030 通过给定的 URL 连接到远程服务器 网络
    		升级会员:解锁高级权限
    00109 连接到 URL 并获取响应代码 网络
    命令
    		升级会员:解锁高级权限
    00108 从给定的 URL 读取输入流 网络
    命令
    		升级会员:解锁高级权限
    00023 从当前应用程序启动另一个应用程序 反射
    控制
    		升级会员:解锁高级权限
    00035 查询已安装的包列表 反射
    		升级会员:解锁高级权限
    00054 从文件安装其他APK 反射
    		升级会员:解锁高级权限
    00044 查询该包的activity上次被使用的时间 信息收集
    反射
    		升级会员:解锁高级权限
    00045 查询当前运行的应用程序名称 信息收集
    反射
    		升级会员:解锁高级权限
    00126 读取敏感数据(短信、通话记录等) 信息收集
    短信
    通话记录
    日历
    		升级会员:解锁高级权限
    00078 获取网络运营商名称 信息收集
    电话服务
    		升级会员:解锁高级权限
    00014 将文件读入流并将其放入 JSON 对象中 文件
    		升级会员:解锁高级权限
    00034 查询当前数据网络类型 信息收集
    网络
    		升级会员:解锁高级权限
    00085 获取ISO国家代码并将其放入JSON中 信息收集
    电话服务
    		升级会员:解锁高级权限
    00132 查询ISO国家代码 电话服务
    信息收集
    		升级会员:解锁高级权限
    00033 查询IMEI号 信息收集
    		升级会员:解锁高级权限
    00083 查询IMEI号 信息收集
    电话服务
    		升级会员:解锁高级权限
    00096 连接到 URL 并设置请求方法 命令
    网络
    		升级会员:解锁高级权限
    00153 通过 HTTP 发送二进制数据 http
    		升级会员:解锁高级权限

    敏感权限分析

    恶意软件常用权限 8/30
    android.permission.WAKE_LOCK
    android.permission.CAMERA
    android.permission.READ_PHONE_STATE
    android.permission.REQUEST_INSTALL_PACKAGES
    android.permission.VIBRATE
    android.permission.ACCESS_COARSE_LOCATION
    android.permission.RECORD_AUDIO
    android.permission.SYSTEM_ALERT_WINDOW
    其它常用权限 13/46
    android.permission.INTERNET
    android.permission.READ_EXTERNAL_STORAGE
    android.permission.WRITE_EXTERNAL_STORAGE
    android.permission.READ_MEDIA_IMAGES
    android.permission.READ_MEDIA_VIDEO
    android.permission.READ_MEDIA_AUDIO
    android.permission.ACCESS_NETWORK_STATE
    android.permission.ACCESS_WIFI_STATE
    android.permission.CHANGE_NETWORK_STATE
    android.permission.REORDER_TASKS
    com.google.android.gms.permission.AD_ID
    android.permission.CHANGE_WIFI_STATE
    android.permission.BROADCAST_STICKY

    恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
    其它常用权限 是已知恶意软件经常滥用的权限。

    IP地理位置

    恶意域名检测

    域名 状态 中国境内 位置信息 解析
    apps.bytesfield-b.com 安全
    		 IP地址: 121.228.130.193
    国家: 中国
    地区: 江苏
    城市: 苏州
    查看: 高德地图
    www.toutiaopage.com 安全
    		 IP地址: 58.221.28.233
    国家: 中国
    地区: 江苏
    城市: 镇江
    查看: 高德地图
    www.chengzijianzhan.com 安全
    		 IP地址: 58.221.28.233
    国家: 中国
    地区: 江苏
    城市: 南通
    查看: 高德地图
    app.starkos.cn 安全
    		 IP地址: 111.124.200.101
    国家: 中国
    地区: 广东
    城市: 深圳
    查看: 高德地图
    apps.bytesfield.com 安全
    		 IP地址: 58.221.28.233
    国家: 中国
    地区: 江苏
    城市: 南通
    查看: 高德地图
    apps.oceanengine.com 安全
    		 IP地址: 222.186.18.194
    国家: 中国
    地区: 江苏
    城市: 镇江
    查看: 高德地图
    qifuxinxi.top 安全
    		 IP地址: 47.119.145.70
    国家: 中国
    地区: 广东
    城市: 深圳
    查看: 高德地图
    beian.miit.gov.cn 安全
    		 IP地址: 59.175.206.86
    国家: 中国
    地区: 湖北
    城市: 武汉
    查看: 高德地图
    www.samsungapps.com 安全
    		 IP地址: 52.18.136.34
    国家: 爱尔兰
    地区: 都柏林
    城市: 都柏林
    查看: Google 地图
    sf6-ttcdn-tos.pstatp.com 安全
    		 IP地址: 47.113.109.81
    国家: 中国
    地区: 福建
    城市: 泉州
    查看: 高德地图
    dict.youdao.com 安全
    		 IP地址: 47.113.109.81
    国家: 中国
    地区: 贵州
    城市: 遵义
    查看: 高德地图
    node-59-175-206-86.speedtest.cn 安全
    		 IP地址: 47.113.109.81
    国家: 中国
    地区: 湖北
    城市: 武汉
    查看: 高德地图
    i.snssdk.com 安全
    		 IP地址: 47.113.109.81
    国家: 中国
    地区: 江苏
    城市: 无锡
    查看: 高德地图
    service.starkos.cn 安全
    		 IP地址: 47.113.109.81
    国家: 中国
    地区: 广东
    城市: 深圳
    查看: 高德地图

    手机号提取

    URL链接分析

    URL信息 源码文件
    https://developer.huawei.com/consumer/cn/doc/Media-Guides/introduction-0000001101263902
    https://x5.tencent.com/docs.html
    https://bit.ly/cartoon-gan
    https://jiagu.360.cn
    https://www.tencent.com/zh-cn/privacy-policy.html
    http://123.56.23.22/Sigmob%E4%BD%BF%E7%94%A8%E6%8C%87%E5%8D%97/%E9%9A%90%E7%A7%81%E6%9D%A1%E6%AC%BE/%E9%9A%90%E7%A7%81%E6%94%BF%E7%AD%96
    http://123.56.23.22/
    https://www.csjplatform.com/terms/gromoresdk-privacy
    https://union.baidu.com/bqt
    https://www.pangle.cn/privacy/partner
    https://u.kuaishou.com/home/detail/1290
    http://cache.amap.com/h5/h5/publish/238/index.html?app_id=1
    		自研引擎-A
    http://dict.youdao.com/dictvoice?audio=
    		stark/common/basic/sound/DictSpeaker.java
    https://service.starkos.cn
    		stark/common/basic/retrofit/BaseApi.java
    http://qifuxinxi.top/a/terms/24f7bb3e5e04147ccd72918511fdb4cf
    http://qifuxinxi.top/a/privacy/24f7bb3e5e04147ccd72918511fdb4cf
    		flc/ast/App.java
    javascript:window.nativebridge.receiveevent
    		com/unity3d/services/ads/api/WebPlayer.java
    192.168.43.1
    		stark/common/basic/utils/WiFiUtil.java
    https://www.samsungapps.com/appquery/appdetail.as?appid=
    		com/ss/android/downloadlib/a/xl.java
    http://192.168.5.76:3956/v1/
    https://app.starkos.cn/v1/
    		stark/common/basic/appserver/AppServerConst.java
    https://service.starkos.cn/
    		stark/common/core/appconfig/AppConfigManager.java
    www.chengzijianzhan.com
    www.toutiaopage.com/tetris/page
    https://apps.oceanengine.com/customer/api/app/pkg_info?
    		com/ss/android/downloadlib/addownload/compliance/bk.java
    https://sf6-ttcdn-tos.pstatp.com/obj/ad-tetris-site/personal-privacy-page.html
    		com/ss/android/downloadlib/addownload/compliance/AppPrivacyPolicyActivity.java
    https://apps.bytesfield.com
    https://apps.bytesfield-b.com
    		com/ss/android/downloadlib/addownload/compliance/c.java
    http://nbagod.oss-cn-shenzhen.aliyuncs.com/manual/etc/ddoe9ppd2ep28r3b9mnz.html
    		stark/common/basic/base/BaseWebviewActivity.java
    https://beian.miit.gov.cn/#/home
    		stark/common/basic/AppCommonInfoConfig.java
    https://node-59-175-206-86.speedtest.cn:51090/download?size=25000000&r=0.21201087514484396
    		stark/common/basic/utils/NetSpeedTestUtil.java
    https://i.snssdk.com/
    		com/ss/android/downloadad/api/constant/AdBaseConstants.java

    Firebase配置检测

    邮箱地址提取

    第三方追踪器

    名称 类别 网址
    Baidu Mobile Ads https://reports.exodus-privacy.eu.org/trackers/100
    Pangle Advertisement https://reports.exodus-privacy.eu.org/trackers/363
    Umeng Analytics https://reports.exodus-privacy.eu.org/trackers/119
    Unity3d Ads Advertisement https://reports.exodus-privacy.eu.org/trackers/121
    Yueying Crash SDK Analytics, Crash reporting https://reports.exodus-privacy.eu.org/trackers/448

    敏感凭证泄露

    已显示 4 个secrets
    1、 "presetUser" : "User"
    2、 12395f0ba1c8a898201215d5018f7ab0a02
    3、 6698a30a940d5a4c4991e487
    4、 24f7bb3e5e04147ccd72918511fdb4cf

    字符串信息

    建议导出为TXT,方便查看。

    活动列表

    显示所有 1302 个 activities

    服务列表

    显示 13 个 services

    广播接收者列表

    显示 1 个 receivers

    内容提供者列表

    显示 18 个 providers

    第三方SDK

    SDK名称 开发者 描述信息
    Pangle SDK ByteDance 穿山甲是巨量引擎旗下全球应用变现与增长平台,合作优质媒体超 30,000 家,日请求突破 607 亿,日均展示达 100 亿,覆盖 7 亿日活用户,为全球应用和广告主提供高效的用户增长和变现解决方案。
    岳鹰全景监控 Alibaba 岳鹰全景监控,是阿里 UC 官方出品的先进移动应用线上监控平台,为多家知名企业提供服务。
    阿里聚安全 Alibaba 阿里聚安全是面向开发者,以移动应用安全为核心的开放平台。
    TensorFlow Lite TensorFlow TensorFlow Lite 是一组工具,可帮助开发者在移动设备、嵌入式设备和 IoT 设备上运行 TensorFlow 模型。它支持设备端机器学习推断,延迟较低,并且二进制文件很小。
    移动统计分析 Umeng U-App 作为一款专业、免费的移动统计分析产品。在日常业务中帮您解决多种数据相关问题,如数据采集与管理、业务监测、用户行为分析、App 稳定性监控及实现多种运营方案等。助力互联网企业充分挖掘用户行为数据价值,找到产品更新迭代方向,实现精细化运营,全面提升业务增长效能。
    移动应用推广 SDK Baidu 百度移动推广 SDK(Android)是百度官方推出的移动推广 SDK 在 Android 平台上的版本
    AndroidUtilCode Blankj AndroidUtilCode 是一个强大易用的安卓工具类库,它合理地封装了安卓开发中常用的函数,具有完善的 Demo 和单元测试,利用其封装好的 APIs 可以大大提高开发效率。
    快手广告 SDK 快手 快手信息流广告,为您和用户搭建桥梁。
    XPopup li-xiaojun 内置几种了常用的弹窗,十几种良好的动画,将弹窗和动画的自定义设计的极其简单。
    腾讯广告 SDK Tencent 腾讯广告汇聚腾讯公司全量的应用场景,拥有核心行业数据、营销技术与专业服务能力。
    Unity Ads Unity Technologies Unity Ads SDK 由领先的移动游戏引擎创建,无论您是在 Unity、xCode 还是 Android Studio 中进行开发,都能为您的游戏提供全面的变现服务框架。
    File Provider Android FileProvider 是 ContentProvider 的特殊子类,它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。
    Jetpack App Startup Google App Startup 库提供了一种直接,高效的方法来在应用程序启动时初始化组件。库开发人员和应用程序开发人员都可以使用 App Startup 来简化启动顺序并显式设置初始化顺序。App Startup 允许您定义共享单个内容提供程序的组件初始化程序,而不必为需要初始化的每个组件定义单独的内容提供程序。这可以大大缩短应用启动时间。
    Huawei Ads SDK Huawei HUAWEI Ads 流量变现服务(HUAWEI Ads Publisher Service)是依托华为终端强大的平台与数据能力为开发者提供的 App 流量变现服务,开发者通过该服务可以在自己的 App 中获取并向用户展示精准的、精美的、高价值的广告内容,并从中获得广告收益。

    污点分析

    当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……
    规则名称 描述信息 操作
    病毒分析 使用安卓恶意软件常用的API进行污点分析 开始分析  
    漏洞挖掘 漏洞挖掘场景下的污点分析 开始分析  
    隐私合规 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 开始分析  
    密码分析 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 开始分析  
    Callback 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 开始分析