LockKnife - Boîte à outils de recherche en sécurité Android
LockKnife est une boîte à outils unifiée pour la recherche en sécurité Android et la forensique, offrant à la fois un espace de travail TUI piloté par cas et une CLI headless. Elle orchestre l’extraction, la récupération d’identifiants, l’analyse APK, l’instrumentation d’exécution et les rapports à partir d’une seule structure modulaire, alimentée par Python avec un cœur accéléré par Rust. Elle cible Android moderne (incluant les artefacts de clé d’accès sur Android 14+ et l’espace privé sur Android 15+).
Utilisation autorisée uniquement. La récupération d’identifiants et l’instrumentation d’exécution sont puissantes et légalement sensibles. Utilisez LockKnife strictement sur les appareils et les applications que vous possédez ou êtes explicitement autorisé à tester. L’accès non autorisé est illégal.
Exigences
- ADB (Android Debug Bridge) installé et sur PATH
- USB debugging activé sur l’appareil cible (ou un émulateur)
- Python 3.x ; Frida pour les fonctionnalités d’instrumentation d’exécution
Installation
| Méthode | Commande |
|---|
| pip | pip install lockknife |
| À partir des sources | git clone https://github.com/ImKKingshuk/LockKnife && cd LockKnife && pip install -e . |
| Lancer TUI | lockknife |
| CLI Headless | lockknife --help |
Modes
| Mode | Utilisation |
|---|
| Espace de travail TUI | Investigation interactive pilotée par cas |
| CLI Headless | Tâches scriptables/automatisées et pipelines |
Notions de base sur l’appareil et le cas
| Commande | Description |
|---|
adb devices | Confirmer d’abord que l’appareil est connecté |
lockknife case new <name> | Créer un cas d’investigation |
lockknife case list | Lister les cas |
lockknife device info | Afficher les détails de l’appareil/compilation/sécurité |
lockknife extract | Extraire les artefacts dans le cas actuel |
Analyse APK
| Commande | Description |
|---|
lockknife apk analyze app.apk | Analyse statique d’une APK |
lockknife apk manifest app.apk | Vider le manifeste AndroidManifest |
lockknife apk permissions app.apk | Lister les autorisations demandées |
lockknife apk strings app.apk | Extraire les chaînes/secrets |
lockknife apk certs app.apk | Inspecter les certificats de signature |
Instrumentation d’exécution (Frida)
| Commande | Description |
|---|
lockknife runtime hook <package> | Attacher et hooker une application en cours d’exécution |
lockknife runtime bypass-ssl <package> | Contournement de l’épinglage SSL (test autorisé) |
lockknife runtime dump-mem <package> | Vider la mémoire du processus |
lockknife runtime trace <package> | Tracer les appels API |
Forensique des artefacts et des identifiants
| Commande | Description |
|---|
lockknife artifacts scan | Analyser les données extraites pour les identifiants/tokens |
lockknife artifacts passkeys | Analyser les artefacts de clé d’accès (Android 14+) |
lockknife artifacts private-space | Inspecter l’espace privé (Android 15+) |
lockknife report | Générer un rapport de cas |
Workflows courants
# Évaluation autorisée : ouvrir un cas, extraire les artefacts, analyser une APK
adb devices
lockknife case new pentest-2026
lockknife extract
lockknife apk analyze target.apk
# Tests dynamiques sur une application que vous êtes autorisé à évaluer
lockknife runtime hook com.example.target
lockknife runtime trace com.example.target
# Produire un rapport pour le cas
lockknife report --case pentest-2026 --format pdf
LockKnife vs autres outils mobiles
| Aspect | LockKnife | objection | MobSF |
|---|
| Interface | TUI + CLI | Frida REPL | Interface Web |
| Portée | Recherche + forensique + récupération | Exploration d’exécution | Analyse statique + dynamique |
| Gestion des cas | Oui | Non | Rapports |
| Meilleur pour | Recherche Android de bout en bout | Hooking d’exécution rapide | Évaluation de sécurité des applications |
Ressources