anais-apk-forensic 1.0.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.
Files changed (104) hide show
  1. package/LICENSE +21 -0
  2. package/README.md +249 -0
  3. package/anais.sh +669 -0
  4. package/analysis_tools/__pycache__/apk_basic_info.cpython-313.pyc +0 -0
  5. package/analysis_tools/__pycache__/apk_basic_info.cpython-314.pyc +0 -0
  6. package/analysis_tools/__pycache__/check_zip_encryption.cpython-313.pyc +0 -0
  7. package/analysis_tools/__pycache__/check_zip_encryption.cpython-314.pyc +0 -0
  8. package/analysis_tools/__pycache__/detect_obfuscation.cpython-313.pyc +0 -0
  9. package/analysis_tools/__pycache__/detect_obfuscation.cpython-314.pyc +0 -0
  10. package/analysis_tools/__pycache__/dex_payload_hunter.cpython-314.pyc +0 -0
  11. package/analysis_tools/__pycache__/entropy_analyzer.cpython-314.pyc +0 -0
  12. package/analysis_tools/__pycache__/error_logger.cpython-313.pyc +0 -0
  13. package/analysis_tools/__pycache__/error_logger.cpython-314.pyc +0 -0
  14. package/analysis_tools/__pycache__/find_encrypted_payload.cpython-314.pyc +0 -0
  15. package/analysis_tools/__pycache__/fix_apk_headers.cpython-313.pyc +0 -0
  16. package/analysis_tools/__pycache__/fix_apk_headers.cpython-314.pyc +0 -0
  17. package/analysis_tools/__pycache__/manifest_analyzer.cpython-313.pyc +0 -0
  18. package/analysis_tools/__pycache__/manifest_analyzer.cpython-314.pyc +0 -0
  19. package/analysis_tools/__pycache__/network_analyzer.cpython-313.pyc +0 -0
  20. package/analysis_tools/__pycache__/network_analyzer.cpython-314.pyc +0 -0
  21. package/analysis_tools/__pycache__/report_generator.cpython-313.pyc +0 -0
  22. package/analysis_tools/__pycache__/report_generator.cpython-314.pyc +0 -0
  23. package/analysis_tools/__pycache__/report_generator_modular.cpython-314.pyc +0 -0
  24. package/analysis_tools/__pycache__/sast_scanner.cpython-313.pyc +0 -0
  25. package/analysis_tools/__pycache__/sast_scanner.cpython-314.pyc +0 -0
  26. package/analysis_tools/__pycache__/so_string_analyzer.cpython-314.pyc +0 -0
  27. package/analysis_tools/__pycache__/yara_enhanced_analyzer.cpython-314.pyc +0 -0
  28. package/analysis_tools/__pycache__/yara_results_processor.cpython-314.pyc +0 -0
  29. package/analysis_tools/apk_basic_info.py +85 -0
  30. package/analysis_tools/check_zip_encryption.py +142 -0
  31. package/analysis_tools/detect_obfuscation.py +650 -0
  32. package/analysis_tools/dex_payload_hunter.py +734 -0
  33. package/analysis_tools/entropy_analyzer.py +335 -0
  34. package/analysis_tools/error_logger.py +75 -0
  35. package/analysis_tools/find_encrypted_payload.py +485 -0
  36. package/analysis_tools/fix_apk_headers.py +154 -0
  37. package/analysis_tools/manifest_analyzer.py +214 -0
  38. package/analysis_tools/network_analyzer.py +287 -0
  39. package/analysis_tools/report_generator.py +506 -0
  40. package/analysis_tools/report_generator_modular.py +885 -0
  41. package/analysis_tools/sast_scanner.py +412 -0
  42. package/analysis_tools/so_string_analyzer.py +406 -0
  43. package/analysis_tools/yara_enhanced_analyzer.py +330 -0
  44. package/analysis_tools/yara_results_processor.py +368 -0
  45. package/analyzer_config.json +113 -0
  46. package/apkid/__init__.py +32 -0
  47. package/apkid/__pycache__/__init__.cpython-313.pyc +0 -0
  48. package/apkid/__pycache__/__init__.cpython-314.pyc +0 -0
  49. package/apkid/__pycache__/apkid.cpython-313.pyc +0 -0
  50. package/apkid/__pycache__/apkid.cpython-314.pyc +0 -0
  51. package/apkid/__pycache__/main.cpython-313.pyc +0 -0
  52. package/apkid/__pycache__/main.cpython-314.pyc +0 -0
  53. package/apkid/__pycache__/output.cpython-313.pyc +0 -0
  54. package/apkid/__pycache__/rules.cpython-313.pyc +0 -0
  55. package/apkid/apkid.py +266 -0
  56. package/apkid/main.py +98 -0
  57. package/apkid/output.py +177 -0
  58. package/apkid/rules/apk/common.yara +68 -0
  59. package/apkid/rules/apk/obfuscators.yara +118 -0
  60. package/apkid/rules/apk/packers.yara +1197 -0
  61. package/apkid/rules/apk/protectors.yara +301 -0
  62. package/apkid/rules/dex/abnormal.yara +104 -0
  63. package/apkid/rules/dex/anti-vm.yara +568 -0
  64. package/apkid/rules/dex/common.yara +60 -0
  65. package/apkid/rules/dex/compilers.yara +434 -0
  66. package/apkid/rules/dex/obfuscators.yara +602 -0
  67. package/apkid/rules/dex/packers.yara +761 -0
  68. package/apkid/rules/dex/protectors.yara +520 -0
  69. package/apkid/rules/dll/common.yara +38 -0
  70. package/apkid/rules/dll/obfuscators.yara +43 -0
  71. package/apkid/rules/elf/anti-vm.yara +43 -0
  72. package/apkid/rules/elf/common.yara +54 -0
  73. package/apkid/rules/elf/obfuscators.yara +991 -0
  74. package/apkid/rules/elf/packers.yara +1128 -0
  75. package/apkid/rules/elf/protectors.yara +794 -0
  76. package/apkid/rules/res/common.yara +43 -0
  77. package/apkid/rules/res/obfuscators.yara +46 -0
  78. package/apkid/rules/res/protectors.yara +46 -0
  79. package/apkid/rules.py +77 -0
  80. package/bin/anais +3 -0
  81. package/dist/cli.js +82 -0
  82. package/dist/index.js +123 -0
  83. package/dist/types/index.js +2 -0
  84. package/dist/utils/index.js +21 -0
  85. package/dist/utils/output.js +44 -0
  86. package/dist/utils/paths.js +107 -0
  87. package/docs/ARCHITECTURE.txt +353 -0
  88. package/docs/Workflow and Reference.md +445 -0
  89. package/package.json +70 -0
  90. package/rules/yara_general_rules.yar +323 -0
  91. package/scripts/dynamic_analysis_helper.sh +334 -0
  92. package/scripts/frida/dpt_dex_dumper.js +145 -0
  93. package/scripts/frida/frida_dex_dump.js +145 -0
  94. package/scripts/frida/frida_hooks.js +437 -0
  95. package/scripts/frida/frida_websocket_extractor.js +154 -0
  96. package/scripts/setup.sh +206 -0
  97. package/scripts/validate_framework.sh +224 -0
  98. package/src/cli.ts +91 -0
  99. package/src/index.ts +123 -0
  100. package/src/types/index.ts +44 -0
  101. package/src/utils/index.ts +6 -0
  102. package/src/utils/output.ts +50 -0
  103. package/src/utils/paths.ts +72 -0
  104. package/tsconfig.json +14 -0
package/docs/ARCHITECTURE.txt ADDED
@@ -0,0 +1,353 @@
1
+ # Anais Static Core
2
+ ## Complete Architecture & Module Overview
3
+
4
+ ```
5
+ ┌─────────────────────────────────────────────────────────────────────────────┐
6
+ │ Anais Static Core │
7
+ │ (Complete Solution) │
8
+ └─────────────────────────────────────────────────────────────────────────────┘
9
+
10
+ ┌─────────────────────────────────────────────────────────────────────────────┐
11
+ │ ENTRY POINTS │
12
+ ├─────────────────────────────────────────────────────────────────────────────┤
13
+ │ │
14
+ │ ┌──────────────────┐ ┌──────────────────┐ ┌──────────────────┐ │
15
+ │ │ setup.sh │ │ malware_ │ │ dynamic_ │ │
16
+ │ │ │ │ analyzer.sh │ │ analysis_ │ │
17
+ │ │ - Check deps │ │ │ │ helper.sh │ │
18
+ │ │ - Install pkgs │ │ - Orchestrate │ │ │ │
19
+ │ │ - Validate env │ │ - Run modules │ │ - Frida cmds │ │
20
+ │ │ - Setup dirs │ │ - Generate rpt │ │ - DEX dump │ │
21
+ │ └──────────────────┘ └──────────────────┘ └──────────────────┘ │
22
+ │ │
23
+ └─────────────────────────────────────────────────────────────────────────────┘
24
+
25
+ ┌─────────────────────────────────────────────────────────────────────────────┐
26
+ │ ANALYSIS MODULES │
27
+ ├─────────────────────────────────────────────────────────────────────────────┤
28
+ │ │
29
+ │ ┌────────────────────────────────────────────────────────────────┐ │
30
+ │ │ 1. APK PROTECTION DETECTION & BYPASS │ │
31
+ │ ├────────────────────────────────────────────────────────────────┤ │
32
+ │ │ check_zip_encryption.py │ │
33
+ │ │ ├─ Check encryption flags │ │
34
+ │ │ ├─ Analyze local file headers │ │
35
+ │ │ ├─ Analyze central directory │ │
36
+ │ │ └─ Detect header manipulation │ │
37
+ │ │ │ │
38
+ │ │ fix_apk_headers.py │ │
39
+ │ │ ├─ Remove encryption flags │ │
40
+ │ │ ├─ Fix local file headers │ │
41
+ │ │ ├─ Fix central directory headers │ │
42
+ │ │ └─ Handle corrupted structures │ │
43
+ │ └────────────────────────────────────────────────────────────────┘ │
44
+ │ │
45
+ │ ┌────────────────────────────────────────────────────────────────┐ │
46
+ │ │ 2. DECOMPILATION │ │
47
+ │ ├────────────────────────────────────────────────────────────────┤ │
48
+ │ │ APKTool JADX │ │
49
+ │ │ ├─ SMALI code ├─ Java source │ │
50
+ │ │ ├─ Resources ├─ Deobfuscation │ │
51
+ │ │ ├─ AndroidManifest └─ Readable code │ │
52
+ │ │ └─ Assets │ │
53
+ │ └────────────────────────────────────────────────────────────────┘ │
54
+ │ │
55
+ │ ┌────────────────────────────────────────────────────────────────┐ │
56
+ │ │ 3. OBFUSCATION DETECTION │ │
57
+ │ ├────────────────────────────────────────────────────────────────┤ │
58
+ │ │ detect_obfuscation.py │ │
59
+ │ │ ├─ DEX File Analysis │ │
60
+ │ │ │ ├─ Header validation │ │
61
+ │ │ │ ├─ DPT-Shell signature │ │
62
+ │ │ │ └─ Bangcle detection │ │
63
+ │ │ │ │ │
64
+ │ │ ├─ Native Library Check │ │
65
+ │ │ │ ├─ libdpt.so │ │
66
+ │ │ │ ├─ libprotect.so │ │
67
+ │ │ │ ├─ libjiagu.so │ │
68
+ │ │ │ └─ Other protection libs │ │
69
+ │ │ │ │ │
70
+ │ │ ├─ Manifest Indicators │ │
71
+ │ │ │ └─ Protection application classes │ │
72
+ │ │ │ │ │
73
+ │ │ ├─ ProGuard/R8 Detection │ │
74
+ │ │ │ ├─ Short class names │ │
75
+ │ │ │ ├─ Short method names │ │
76
+ │ │ │ ├─ Package flattening │ │
77
+ │ │ │ └─ Obfuscation patterns │ │
78
+ │ │ │ │ │
79
+ │ │ └─ String Encryption │ │
80
+ │ │ └─ Crypto API usage patterns │ │
81
+ │ └────────────────────────────────────────────────────────────────┘ │
82
+ │ │
83
+ │ ┌────────────────────────────────────────────────────────────────┐ │
84
+ │ │ 4. STATIC ANALYSIS (SAST) │ │
85
+ │ ├────────────────────────────────────────────────────────────────┤ │
86
+ │ │ sast_scanner.py │ │
87
+ │ │ │ │ │
88
+ │ │ ├─ CRITICAL PATTERNS │ │
89
+ │ │ │ ├─ Root detection bypass │ │
90
+ │ │ │ ├─ Crypto wallet targeting │ │
91
+ │ │ │ ├─ C2 communication │ │
92
+ │ │ │ ├─ Data exfiltration │ │
93
+ │ │ │ ├─ Remote code execution │ │
94
+ │ │ │ └─ Accessibility abuse │ │
95
+ │ │ │ │ │
96
+ │ │ ├─ HIGH SEVERITY PATTERNS │ │
97
+ │ │ │ ├─ Insecure cryptography │ │
98
+ │ │ │ ├─ Hardcoded secrets │ │
99
+ │ │ │ ├─ Insecure network │ │
100
+ │ │ │ ├─ WebView vulnerabilities │ │
101
+ │ │ │ └─ Dynamic permissions │ │
102
+ │ │ │ │ │
103
+ │ │ ├─ MEDIUM SEVERITY PATTERNS │ │
104
+ │ │ │ ├─ Logging sensitive data │ │
105
+ │ │ │ ├─ Insecure storage │ │
106
+ │ │ │ └─ Intent vulnerabilities │ │
107
+ │ │ │ │ │
108
+ │ │ └─ SCANNING TARGETS │ │
109
+ │ │ ├─ SMALI files │ │
110
+ │ │ ├─ Java files │ │
111
+ │ │ ├─ Native libraries │ │
112
+ │ │ └─ Assets directory │ │
113
+ │ └────────────────────────────────────────────────────────────────┘ │
114
+ │ │
115
+ │ ┌────────────────────────────────────────────────────────────────┐ │
116
+ │ │ 5. ARTIFACT EXTRACTION │ │
117
+ │ ├────────────────────────────────────────────────────────────────┤ │
118
+ │ │ apk_basic_info.py (Androguard) │ │
119
+ │ │ ├─ Package info │ │
120
+ │ │ ├─ Permissions │ │
121
+ │ │ ├─ Components (Activity, Service, etc) │ │
122
+ │ │ └─ Certificate details │ │
123
+ │ │ │ │
124
+ │ │ manifest_analyzer.py │ │
125
+ │ │ ├─ Dangerous permissions │ │
126
+ │ │ ├─ Exported components │ │
127
+ │ │ ├─ Debuggable flag │ │
128
+ │ │ ├─ Backup allowed │ │
129
+ │ │ └─ Cleartext traffic │ │
130
+ │ │ │ │
131
+ │ │ network_analyzer.py │ │
132
+ │ │ ├─ URL extraction │ │
133
+ │ │ ├─ Domain extraction │ │
134
+ │ │ ├─ IP addresses │ │
135
+ │ │ ├─ WebSocket detection │ │
136
+ │ │ ├─ Suspicious URL checking │ │
137
+ │ │ └─ C2 pattern matching │ │
138
+ │ └────────────────────────────────────────────────────────────────┘ │
139
+ │ │
140
+ │ ┌────────────────────────────────────────────────────────────────┐ │
141
+ │ │ 6. YARA SCANNING │ │
142
+ │ ├────────────────────────────────────────────────────────────────┤ │
143
+ │ │ yara-test.yar (M-Pajak specific) │ │
144
+ │ │ ├─ C2 infrastructure │ │
145
+ │ │ ├─ Wallet targeting │ │
146
+ │ │ └─ Campaign identifiers │ │
147
+ │ │ │ │
148
+ │ │ yara_general_rules.yar │ │
149
+ │ │ ├─ General malware indicators │ │
150
+ │ │ ├─ Accessibility abuse │ │
151
+ │ │ ├─ SMS trojans │ │
152
+ │ │ ├─ Banking trojans │ │
153
+ │ │ ├─ Spyware │ │
154
+ │ │ ├─ Crypto wallet stealers │ │
155
+ │ │ ├─ Data exfiltration │ │
156
+ │ │ ├─ C2 communication │ │
157
+ │ │ ├─ Native protection shells │ │
158
+ │ │ ├─ Screen recording │ │
159
+ │ │ └─ Anti-analysis techniques │ │
160
+ │ └────────────────────────────────────────────────────────────────┘ │
161
+ │ │
162
+ │ ┌────────────────────────────────────────────────────────────────┐ │
163
+ │ │ 7. REPORT GENERATION │ │
164
+ │ ├────────────────────────────────────────────────────────────────┤ │
165
+ │ │ report_generator.py │ │
166
+ │ │ ├─ Executive Summary │ │
167
+ │ │ ├─ APK Information │ │
168
+ │ │ ├─ Protection Analysis │ │
169
+ │ │ ├─ Security Findings (by severity) │ │
170
+ │ │ ├─ Manifest Analysis │ │
171
+ │ │ ├─ Network Analysis │ │
172
+ │ │ ├─ YARA Results │ │
173
+ │ │ ├─ Risk Scoring (0-100) │ │
174
+ │ │ ├─ Code Evidence (snippets) │ │
175
+ │ │ └─ Recommendations │ │
176
+ │ │ │ │
177
+ │ │ Output Formats: │ │
178
+ │ │ ├─ Markdown (.md) - Human readable │ │
179
+ │ │ └─ JSON (.json) - Machine readable │ │
180
+ │ └────────────────────────────────────────────────────────────────┘ │
181
+ │ │
182
+ └─────────────────────────────────────────────────────────────────────────────┘
183
+
184
+ ┌─────────────────────────────────────────────────────────────────────────────┐
185
+ │ DYNAMIC ANALYSIS TOOLS │
186
+ ├─────────────────────────────────────────────────────────────────────────────┤
187
+ │ │
188
+ │ ┌────────────────────────────────────────────────────────────────┐ │
189
+ │ │ Frida Scripts │ │
190
+ │ ├────────────────────────────────────────────────────────────────┤ │
191
+ │ │ frida_dex_dump.js │ │
192
+ │ │ ├─ Hook DexFile.openDexFile │ │
193
+ │ │ ├─ Hook DexClassLoader │ │
194
+ │ │ ├─ Hook PathClassLoader │ │
195
+ │ │ ├─ Monitor native library loading │ │
196
+ │ │ ├─ Dump DEX to /sdcard/ │ │
197
+ │ │ └─ Enumerate loaded classes │ │
198
+ │ │ │ │
199
+ │ │ frida_hooks.js │ │
200
+ │ │ └─ General purpose hooks │ │
201
+ │ │ │ │
202
+ │ │ frida_websocket_extractor.js │ │
203
+ │ │ └─ WebSocket traffic monitoring │ │
204
+ │ └────────────────────────────────────────────────────────────────┘ │
205
+ │ │
206
+ │ ┌────────────────────────────────────────────────────────────────┐ │
207
+ │ │ Helper Commands │ │
208
+ │ ├────────────────────────────────────────────────────────────────┤ │
209
+ │ │ dynamic_analysis_helper.sh │ │
210
+ │ │ ├─ install-frida : Install Frida server │ │
211
+ │ │ ├─ dex-dump : Dump DEX from app │ │
212
+ │ │ ├─ hook-crypto : Hook crypto operations │ │
213
+ │ │ ├─ hook-network : Hook network operations │ │
214
+ │ │ ├─ monitor-all : Monitor all activities │ │
215
+ │ │ └─ pull-dumps : Pull dumped files │ │
216
+ │ └────────────────────────────────────────────────────────────────┘ │
217
+ │ │
218
+ └─────────────────────────────────────────────────────────────────────────────┘
219
+
220
+ ┌─────────────────────────────────────────────────────────────────────────────┐
221
+ │ CONFIGURATION & DOCS │
222
+ ├─────────────────────────────────────────────────────────────────────────────┤
223
+ │ │
224
+ │ analyzer_config.json │
225
+ │ ├─ Tool configuration │
226
+ │ ├─ Analysis settings │
227
+ │ ├─ SAST patterns │
228
+ │ ├─ Risk thresholds │
229
+ │ └─ Reporting options │
230
+ │ │
231
+ │ ANALYZER_README.md │
232
+ │ └─ Comprehensive user guide │
233
+ │ │
234
+ │ ANALYSIS_QUICK_REFERENCE.md │
235
+ │ └─ Quick reference & checklists │
236
+ │ │
237
+ │ FRAMEWORK_SUMMARY.md │
238
+ │ └─ Complete framework overview │
239
+ │ │
240
+ └─────────────────────────────────────────────────────────────────────────────┘
241
+
242
+ ┌─────────────────────────────────────────────────────────────────────────────┐
243
+ │ DATA FLOW │
244
+ ├─────────────────────────────────────────────────────────────────────────────┤
245
+ │ │
246
+ │ Input APK │
247
+ │ │ │
248
+ │ ├──► Basic Info Extraction ──────────────────┐ │
249
+ │ │ (SHA256, MD5, Size) │ │
250
+ │ │ │ │
251
+ │ ├──► Protection Check ────────────────────┐ │ │
252
+ │ │ ├─ Encrypted? ──► Fix Headers │ │ │
253
+ │ │ └─ Continue │ │ │
254
+ │ │ │ │ │
255
+ │ ├──► Decompilation ──────────────────────┐ │ │ │
256
+ │ │ ├─ APKTool (SMALI) │ │ │ │
257
+ │ │ └─ JADX (Java) │ │ │ │
258
+ │ │ │ │ │ │
259
+ │ ├──► Obfuscation Detection ──────────────┤ │ │ │
260
+ │ │ ├─ ProGuard/R8? │ │ │ │
261
+ │ │ ├─ DPT-Shell? ──► Dynamic Required │ │ │ │
262
+ │ │ └─ Continue │ │ │ │
263
+ │ │ │ │ │ │
264
+ │ ├──► SAST Analysis ───────────────────────┼─┤ │ │
265
+ │ │ ├─ Pattern Matching │ │ │ │
266
+ │ │ ├─ Vulnerability Detection │ │ │ │
267
+ │ │ └─ Code Extraction │ │ │ │
268
+ │ │ │ │ │ │
269
+ │ ├──► Manifest Analysis ───────────────────┼─┤ │ │
270
+ │ │ ├─ Permissions │ │ │ │
271
+ │ │ ├─ Components │ │ │ │
272
+ │ │ └─ Misconfigurations │ │ │ │
273
+ │ │ │ │ │ │
274
+ │ ├──► Network Analysis ────────────────────┼─┤ │ │
275
+ │ │ ├─ URL Extraction │ │ │ │
276
+ │ │ ├─ Domain Analysis │ │ │ │
277
+ │ │ └─ C2 Detection │ │ │ │
278
+ │ │ │ │ │ │
279
+ │ └──► YARA Scanning ───────────────────────┼─┤ │ │
280
+ │ ├─ APK Scan │ │ │ │
281
+ │ ├─ SMALI Scan │ │ │ │
282
+ │ └─ Java Scan │ │ │ │
283
+ │ │ │ │ │
284
+ │ ▼ ▼ ▼ │
285
+ │ ┌──────────────┐ │
286
+ │ │ Aggregate │ │
287
+ │ │ Results │ │
288
+ │ └──────┬───────┘ │
289
+ │ │ │
290
+ │ ▼ │
291
+ │ ┌──────────────┐ │
292
+ │ │ Report │ │
293
+ │ │ Generator │ │
294
+ │ └──────┬───────┘ │
295
+ │ │ │
296
+ │ ┌─────────────┴─────────────┐ │
297
+ │ ▼ ▼ │
298
+ │ report.md report.json │
299
+ │ (Human Readable) (Machine Readable) │
300
+ │ │
301
+ └─────────────────────────────────────────────────────────────────────────────┘
302
+
303
+ ┌─────────────────────────────────────────────────────────────────────────────┐
304
+ │ DEPENDENCY TREE │
305
+ ├─────────────────────────────────────────────────────────────────────────────┤
306
+ │ │
307
+ │ System Requirements: │
308
+ │ ├─ Python 3.8+ │
309
+ │ ├─ Java 8+ │
310
+ │ ├─ APKTool 2.6+ │
311
+ │ ├─ JADX 1.4+ │
312
+ │ └─ YARA 4.0+ │
313
+ │ │
314
+ │ Python Packages: │
315
+ │ ├─ androguard (APK analysis) │
316
+ │ ├─ yara-python (YARA integration) │
317
+ │ ├─ requests (Network operations) │
318
+ │ └─ cryptography (Certificate analysis) │
319
+ │ │
320
+ │ Optional (Dynamic Analysis): │
321
+ │ ├─ ADB (Android Debug Bridge) │
322
+ │ ├─ Frida & frida-tools │
323
+ │ ├─ Rooted Android device/emulator │
324
+ │ └─ Network monitoring tools │
325
+ │ │
326
+ └─────────────────────────────────────────────────────────────────────────────┘
327
+
328
+ ┌─────────────────────────────────────────────────────────────────────────────┐
329
+ │ USAGE EXAMPLES │
330
+ ├─────────────────────────────────────────────────────────────────────────────┤
331
+ │ │
332
+ │ # Setup environment (first time) │
333
+ │ ./setup.sh │
334
+ │ │
335
+ │ # Basic analysis │
336
+ │ ./malware_analyzer.sh suspicious.apk │
337
+ │ │
338
+ │ # Dynamic analysis (if DPT-Shell detected) │
339
+ │ ./dynamic_analysis_helper.sh install-frida │
340
+ │ ./dynamic_analysis_helper.sh dex-dump com.malware.app │
341
+ │ ./dynamic_analysis_helper.sh pull-dumps │
342
+ │ ./malware_analyzer.sh ./dumps/dumped_dex_*.dex │
343
+ │ │
344
+ │ # View results │
345
+ │ cat analysis_workspace/app_name_*/report.md │
346
+ │ less analysis_workspace/app_name_*/report.json │
347
+ │ │
348
+ └─────────────────────────────────────────────────────────────────────────────┘
349
+
350
+ ═══════════════════════════════════════════════════════════════════════════════
351
+ Anais Static Core v1.0
352
+ Complete & Production Ready
353
+ ═══════════════════════════════════════════════════════════════════════════════