Android是由Android Inc开发的基于Linux平台的操作系统 ,如图为Android系统架构:
Linux 内核
最底层由Linux内核构成,Android系统部分以结构微调后的Linux 2.6内核版本为基础,由相机,声卡,wifi,键盘等多种驱动程序构成,android的安全,内存管理,进程管理,网路协议栈,驱动模型等主要系统服务都依赖于Linux,内核会在硬件和软件栈的剩余部分起到抽象作用。
库
Linux内核的上层是Android的本地库,由C、C++编写,它只是告知设备多种数据处理方式的命令集合。
应用程序与框架
库之上是应用程序框架,包含资源分配、语音通话、管理智能手机基本功能的程序。
设备文件目录结构
| 文件目录 | 说明 |
|---|---|
| / | 只有读取权限的根(root)文件系统目录。浏览启动相关设置文件,包含初始进程信息 |
| /system | 只有Android系统读取权限的主目录,包括具备HAL和框架的库文件、守护进程相关可执行文件、字体、媒体、系统应用程序 |
| /data | 有读写权限,该文件系统目录包括可设置的用户应用程序及状态信息 |
| /cache | 有读写权限,包括浏览器缓存和用户临时状态信息 |
| /system/应用名.apk | 保存系统应用程序,优化后的dex代码保存到/system/app/应用名.odex,以安全模式启动时,运行可操作的系统应用 |
| /data/app/应用名.apk | 保存已注册的用户应用程序,优化后的dex代码保存到/data/dalvik-cache/应用名.odex |
| /data/app/<app-package-name>-1.apk | 保存用户下载的应用程序 |
| /mnt/secure/asec/<app-package-name>-1.asec | 保存移动到SD卡的应用程序 |
这些目录中,能获取最多应用程序信息的是/data/data/应用名。虽然每个应用程序都不同,但是保存数据和设置文件比较多的应用程序会有如下目录结构。诊断应用程序漏洞和对移动设备取证时,需要仔细查看如下目录,因为影响应用程序服务的重要信息全部保存于此。比如服务认证秘钥、内容数据、应用程序设置文件等。
| 目录 | 说明 |
|---|---|
| files | 保存管理员内部使用的文件(包括so文件,data文件、ini文件等) |
| lib | 保存应用程序请求的库文件(存在so文件) |
| databases | 包含设置文件、内容文件等的查询 信息的 SQLite数据库文件(存在db文件) |
| cache | 有读写权限,包括浏览器缓存和用户临时状态信息 |
| shared_prefs | 保存为XML文件,是应用程序共享的设置文件 |
其中shared_prefs目录内的preferences.xml文件包含应用程序的设置文件,因为包括升级,版本信息等内容,所以恶意访问(或诊断漏洞时),此处会包含API密钥的盗用,认证密钥值等信息。
db文件在测试时,我们一般查询一下数据库信息,也会修改一些数据库信息,以修改价格或者绕过认证。测试时不仅要测试移动设备数据库,也要检查浏览器,应用程序数据库。
Android重要组件
| 组件 | 说明 |
|---|---|
| Activity | 向用户显示的设备界面,通过点击菜单或按钮等特定动作转换的画面都可以成为Activity |
| 服务 | 不显示到屏幕,在后台运行,比如网络传输,读取文件等操作,Activity显示画面时,服务通常一同运行 |
| 内容提供商 | 应用程序共享的空间,即使数据保存到文件系统或其他地方,应用程序也能通过内容提供商访问数据 |
| 广播接收器 | 实时查看系统状态(电池状态,邮件提醒等),发生事件时相应,要利用设备中发生的Notification等向用户发出警报 |
当拿到apk文件后,我们要仔细查看AndroidMainfest.xml文件和classes.dex文件
