第二次前言：由于我取证组队我不做手机模块，就一直没怎么学手机。觉得自己很欠缺，之后想全能一点，所以现在又来补习，觉得自己博客写得太差了，很惭愧，所以现在开始二次修订，希望把思路清晰的给大家展示，希望与大家一起进步，如果写得博客存在不当之处，请真正，我一定虚心接受，仔细修改，万分感谢。

我也是暑假里刚刚接触APK取证，觉得比pc取证有意思一点，所以把手头上的题目与大家分享，希望和大家一起进步。

话不多说，先上链接。

链接：https://pan.baidu.com/s/17mK1U8CTZtK0R902-3NMOQ?pwd=ybww  提取码：ybww  --来自百度网盘超级会员V2的分享

为了方便大家，这里也包含了Fidder汉化版，和两个案例。

那我就一题一题做下去了。

Apk分析题

答：com.example.readeveryday

然后用jadx查看

一般在andordand。xml下，这个package就是包名

一般只要拖进jadx就好，需要脱壳的脱掉

A读取短信  B.读取通讯录 C.读取精确位置 D.修改通讯录 E.修改短信

答：

我们打开jadx验证，发现

在and.xml文件夹后面就是所需权限，这里权限主要是这四个

看回传地址可以静态，也可以动态，建议抓包比较方便，不然都是有点麻烦的，可以用fidder抓包，也可以弘连自己的转包软件，我绝对不用验证配置，就不是很麻烦，可操作性好很多：

答：也是在代码也看，基本上可以猜到是ZIP文件

不放心的话看PK，然后转到16进制源码，发现就是ZIP文件常用文件格式。

6、APK回传数据加密密码？

答：先说一下思路，首先接上题，肯定是先把压缩包拿出来。

先复制Fiddler，然后放到010Editor里面。

 然后把文件拿出来。

 但是会发不开，我们去寻找原因。

 发现很多在Fiddler里面正常的代码，到010Editor就变成了问号？？？？

 所以此处应该在Fiddler里面提取

 发现有密码，第一时间我想到了爆破。

 我给大家一个建议，一般密码数量超过5位，而且没有任何提示（比如纯数字），暴力是不可能成功的，所以老老实实去看静态。

jadx找到主函数，任何找啊找。

7、APK发送回后台服务器的数据包含以下哪些内容？（多选）

A．手机通讯录B.手机短信C.相册D.GPS定位信息

E.手机应用列表

答：打开得到答案。

—————————————————分隔符—————————————————————

第一套题目做完了，下面开始第二套。

第一题：[填空题]请获取app安装包的SHA256校验值（格式：不区分大小写）（5分）

 我们先看一看短信权限是什么，然后去反过来查找

 爆搜不到，所以没有

 这个还是先把文件拿出来

 我知道用来base64和AES算法，所以开始试一次。

但是key和iv都不知道，放弃

如果有高手知道，请叫我做一下，非常感谢。