Windows Phone Device ManagerДля работы нам, понадобится WP SDK с эмулятором. WP — устройство с полной разблокировкой, которая дает нам доступ к файловой системе устройства и возможность ставить свой софт без официального магазина. Здесь стоит отметить, что в своей работе мы используем НТС Него с кастомной прошивкой. Чтобы удобно было лазить по ФС и ставить софт, потребуется Windows Phone Device Manager, который можно скачать с XDA.

•Полная разблокировка

•Эмулятор

•Windows Phone Device Manager

Сетевые прокси: Burp Suite, Charles.

  • IDA Pro
  • RAIN
  • Windows Phone App Analyzer
  • XAPSpy
  • XapSpyAnalysis

Все инструменты, которые могут быть полезны в процессе анализа защищенности WP — приложений, можно условно разделить на две большие группы: общие инструменты для анализа.NET — приложений и Windows Phone ориентированные. Мы остановимся на инструментах из второй группы:

•RAIN от Boyan Balkanski —это инструмент для анализа и редактирования ХАР (Silverlight / Windows Phone приложений) и.NET — сборок (dll/exe).

•Windows Phone App Analyzer, разработанный Дэвидом Py — ком (David Rook aka security ninja), предназначен для статического анализа Windows Phone приложений, и для этого программа может использовать различные библиотеки для анализа.NET — кода, типа FoxPro,

XAPSpy от Behrang Fouladi из SensePost —это инструмент для динамического анализа. Программа трассирует все вызовы функций и выводит в консоль имя функции и ее параметры. Также для графического отображения результатов работы данного инструмента Дэвид Рук написал расширение XapSpyAnalysis, которое позволяет представлять информацию в более удобном виде.

Все рассмотренные инструменты работают только с.NET — кодом. Инструментов мало, и большинство из них нацелены на статический анализ, но одного статического анализа при качественном анализе недостаточно. Отсутствие инструментов для динамического анализа WP — приложения связано с тем, что IDE позволяет отладку только при наличии исходных кодов и на WP — устройствах отсутствует программируемый отладочный интерфейс, также препятствие представляет сложность анализа управляемого кода. Но мы решили не вешать нос и задействовать статическую инструментацию байт-кода.