Tutorial-15-Group-1 — Task 1 开工准备清单

Posted on Edited on In , Word count in article: 823 Reading time ≈ 3 mins.

Tutorial-15-Group-1 — Task 1 开工准备清单

一、开始前先记住的高优先级规则

根据当前整理材料与截图内容,Assignment 1 有这些关键规则:

评分与罚分重点

  • Assignment 1 只按 randomness / cryptography 相关漏洞评分
  • 允许使用 AI,但最终结果必须由团队自己解释和答辩

必交文件

  • report.pdf
  • ai-log/
  • pocs/
  • presentation.mp4
  • activity-log.pdf

重要罚分项

  • 每缺少任一 required item,扣 5 分
  • 演示每超 10 秒,扣 1 分(/15)
  • 报告超过 2 页或未使用 USENIX 模板,扣 3 分
  • 每位成员至少发言 40 秒,否则按公式折算个人分数
  • activity-log 必须采用 N×N contribution matrix

二、Task 1 的目标

Task 1 不是找漏洞,而是先完成 APK 的基础逆向分析,拿到后续 Task 2 / Task 3 / Task 4 都要用到的入口信息。

你需要确认并记录: - APK 是什么 - 为什么要反编译 APK - 使用了哪些工具 - package name 是什么 - main activity 是什么 - manifest 在哪里 - 至少一个 login / auth 相关 class 在哪里

三、开始之前需要准备的东西

1. 文件准备

你需要确认这些文件已经在本地: - a1_case1.apk - 仓库目录 Tutorial-15-Group-1

2. 工具准备

建议至少准备: - apktool:用于解包 APK、查看 manifest、resources、smali - jadx:用于反编译 Java 源码,便于阅读逻辑

可选但有帮助: - aapt:快速确认 package name 和 launchable activity - grep / rg:快速搜索 login / auth / password / token 等关键词

3. 环境准备

建议提前建一个自己的分析目录,避免文件混乱: - my-task1-analysis/

4. 记录准备

开始前先建一个自己的笔记文件,比如: - task1-notes.md

建议记录: - 用了什么命令 - 得到了什么结果 - 关键文件路径 - 哪些地方要截图

5. 截图准备

Task 1 建议至少准备这些截图: - AndroidManifest.xml 中的 package name - AndroidManifest.xml 中的 main activity / launcher intent - login / auth 相关类截图 - 反编译输出目录截图(可选)

四、Task 1 的推荐实操顺序

Step 1: 进入仓库目录

cd /path/to/Tutorial-15-Group-1

Step 2: 创建分析目录

mkdir -p my-task1-analysis

Step 3: 用 apktool 解包 APK

apktool d a1_case1.apk -o my-task1-analysis/apktool -f

Step 4: 用 jadx 反编译 Java 代码

jadx -d my-task1-analysis/jadx a1_case1.apk

Step 5: 查看 manifest 中的 package name 与 main activity

grep -n "package=" my-task1-analysis/apktool/AndroidManifest.xml
grep -n "android.intent.action.MAIN" my-task1-analysis/apktool/AndroidManifest.xml
grep -n "android.intent.category.LAUNCHER" my-task1-analysis/apktool/AndroidManifest.xml

Step 6: 搜索 login / auth 相关 class

grep -RInE "login|auth|password|credential|register|signin" my-task1-analysis/jadx/sources | head -n 50

Step 7: 打开关键类查看代码

sed -n '1,220p' my-task1-analysis/jadx/sources/com/example/.../Login.java

五、Task 1 完成后你应该能回答的问题

做完后,你至少应该能回答: - APK 是什么? - 为什么要反编译? - 你用了什么工具? - package name 是什么? - main activity 是什么? - manifest 路径是什么? - login / auth 相关 class 是哪个? - 你有哪些截图证据?

六、现在最推荐的开始方式

不要一上来就写正式报告。

最稳的节奏是: 1. 先跑工具 2. 先找 package / main activity / login class 3. 先截图和记笔记 4. 最后再整理成 Task 1 文案

这样最不容易乱,也最适合自己真正做一遍。