quark-engine
Quark Engine 是一款专为 Android 恶意软件分析设计的开源引擎,被誉为"Android 恶意软件的讲故事者”。它主要解决了传统静态分析工具在面对代码混淆技术时难以识别恶意行为、以及人工分析效率低下的痛点。通过独特的“五层置信度”评分系统,Quark Engine 能够深入剖析 APK 文件,将分散的代码片段重组为具体的恶意行为故事(如隐私窃取、权限提升或远程控制),从而量化评估样本的威胁等级。
这款工具特别适合网络安全研究人员、移动应用审计员以及需要处理大量样本的分析团队使用。其核心亮点在于强大的抗混淆能力,即使开发者对代码进行了复杂处理,它依然能精准捕捉底层的逻辑特征。此外,Quark Engine 拥有活跃的社区规则库,支持用户自定义检测规则,并已被 Black Hat、DEF CON 等国际顶级安全会议收录为演示项目,证明了其在业界的权威性与实用性。无论是用于家族化恶意软件的趋势研究,还是对可疑应用进行快速筛查,Quark Engine 都能提供清晰、可视化的分析报告,帮助用户高效洞察潜在风险。
使用场景
某安全团队在应对突发的大规模 Android 恶意软件样本分析任务时,急需从数千个未知 APK 中快速识别出特定的恶意家族行为。
没有 quark-engine 时
- 分析师只能依赖人工反编译和静态代码审计,面对混淆严重的代码难以理清逻辑,单个样本分析耗时数小时。
- 缺乏统一的行为评分标准,不同分析师对同一风险的判断主观性强,导致漏报或误报率居高不下。
- 难以批量自动化处理海量样本,无法快速提取如“短信窃取”或“权限提升”等关键攻击特征,响应速度严重滞后。
- 对于跨家族的共性攻击模式(如 C2 通信机制),缺乏可视化的关联分析手段,难以形成系统性的威胁情报报告。
使用 quark-engine 后
- 利用预定义的规则集自动扫描黑盒 APK,即使代码经过混淆也能精准匹配底层行为模式,将单样本分析时间压缩至分钟级。
- 基于量化评分系统客观评估恶意程度,自动生成包含具体行为证据(如监控短信、上传通话记录)的详细报告,消除人为偏差。
- 支持大规模批量检测,迅速从成千上万个文件中筛选出高危样本,并直接定位到具体的恶意 API 调用链。
- 通过内置的可视化报表功能,直观展示不同恶意家族(如 DroidKungFu、GoldDream)的攻击特征,辅助团队快速产出高质量威胁情报。
quark-engine 将原本繁琐且依赖专家经验的逆向分析工作,转化为高效、标准化且可量量的自动化流程,极大提升了移动安全防御的响应效率。
运行环境要求
- 未说明 (通常支持 Linux
- macOS
- Windows)
未说明 (无需 GPU,基于静态分析)
未说明
快速开始
恶意软件家族分析报告展示
 |
 |
 |
 |
 |
 |
 |
 |
 |
| 家族 | 概述 | 特征行为 | 报告 |
|---|---|---|---|
| DroidKungFu | 具有C2控制的权限提升。 | 1. 获得设备的无限访问权限。 2. 安装/卸载额外的应用程序。 3. 转发机密数据。 |
查看 |
| GoldDream | 带有远程C2命令的短信/通话记录窃取。 | 1. 监控短信和电话呼叫。 2. 将短信和电话呼叫上传到远程服务器。 |
查看 |
| SpyNote | 通过RAT进行凭据窃取和设备监控。 | 1. 截取屏幕截图。 2. 模拟用户手势。 3. 记录用户输入。 4. 与C2服务器通信。 |
查看 |
| DawDropper | 安装银行木马以进行金融盗窃的投放器。 | 1. 从远程服务器下载APK文件。 2. 安装额外的APK文件。 |
查看 |
| SLocker | 锁定/加密设备的Android勒索软件。 | 1. 使用覆盖屏幕锁定设备。 | 查看 |
| PhantomCard | 基于NFC中继的金融欺诈。 | 1. 与C2服务器通信。 2. 读取NFC卡的支付数据。 3. 通过欺骗性界面捕获NFC卡的PIN码。 |
查看 |
| ToxicPanda | 允许在设备上进行欺诈的银行木马。 | 1. 滥用无障碍服务。 2. 远程控制设备。 3. 截取OTP。 |
查看 |
| Hydra | 使用覆盖攻击的银行木马。 | 1. 覆盖式凭据窃取。 2. 滥用无障碍服务。 3. 窃取OTP/cookies。 |
查看 |
| SharkBot | 针对金融凭据和交易的银行木马。 | 1. 滥用无障碍服务。 2. 进行覆盖攻击以窃取凭据。 3. 截取短信(OTP)。 |
查看 |
快速入门
第一步:通过PyPI安装
安装最新版本的Quark Engine:
$ pip3 install -U quark-engine
第二步:下载最新规则
获取最新的规则数据库:
$ freshquark
第三步:运行摘要报告
使用已下载的规则分析APK并生成摘要报告:
$ quark -a <apk_file> -s
第四步:查看结果
示例输出:
致谢
Honeynet项目
谷歌编程之夏
Quark-Engine 一直在 Honeynet 项目下参与谷歌编程之夏活动!
敬请期待即将到来的谷歌编程之夏!加入 Honeynet Slack 聊天室 获取更多信息。
Quark Engine 团队的核心价值观
- 我们热爱战场。我们拥抱不确定性。我们挑战不可能。我们对一切进行重新思考。我们改变人们的思维方式。而最重要的是,我们通过首先帮助他人来成就自己。
版本历史
v26.3.12026/03/07v26.2.12026/02/06v26.1.12026/01/07v25.12.12025/12/05v25.11.12025/11/06v25.9.12025/09/03v25.8.12025/08/06v25.7.12025/07/03v25.6.12025/06/04v25.5.12025/05/08v25.4.12025/04/03v25.3.12025/03/05v25.2.12025/02/06v25.1.12025/01/01v24.12.12024/12/03v24.11.22024/11/15v24.11.12024/11/06v24.10.12024/10/02v24.9.12024/09/04v24.8.12024/08/07常见问题
相似工具推荐
ML-For-Beginners
ML-For-Beginners 是由微软推出的一套系统化机器学习入门课程,旨在帮助零基础用户轻松掌握经典机器学习知识。这套课程将学习路径规划为 12 周,包含 26 节精炼课程和 52 道配套测验,内容涵盖从基础概念到实际应用的完整流程,有效解决了初学者面对庞大知识体系时无从下手、缺乏结构化指导的痛点。 无论是希望转型的开发者、需要补充算法背景的研究人员,还是对人工智能充满好奇的普通爱好者,都能从中受益。课程不仅提供了清晰的理论讲解,还强调动手实践,让用户在循序渐进中建立扎实的技能基础。其独特的亮点在于强大的多语言支持,通过自动化机制提供了包括简体中文在内的 50 多种语言版本,极大地降低了全球不同背景用户的学习门槛。此外,项目采用开源协作模式,社区活跃且内容持续更新,确保学习者能获取前沿且准确的技术资讯。如果你正寻找一条清晰、友好且专业的机器学习入门之路,ML-For-Beginners 将是理想的起点。
funNLP
funNLP 是一个专为中文自然语言处理(NLP)打造的超级资源库,被誉为"NLP 民工的乐园”。它并非单一的软件工具,而是一个汇集了海量开源项目、数据集、预训练模型和实用代码的综合性平台。 面对中文 NLP 领域资源分散、入门门槛高以及特定场景数据匮乏的痛点,funNLP 提供了“一站式”解决方案。这里不仅涵盖了分词、命名实体识别、情感分析、文本摘要等基础任务的标准工具,还独特地收录了丰富的垂直领域资源,如法律、医疗、金融行业的专用词库与数据集,甚至包含古诗词生成、歌词创作等趣味应用。其核心亮点在于极高的全面性与实用性,从基础的字典词典到前沿的 BERT、GPT-2 模型代码,再到高质量的标注数据和竞赛方案,应有尽有。 无论是刚刚踏入 NLP 领域的学生、需要快速验证想法的算法工程师,还是从事人工智能研究的学者,都能在这里找到急需的“武器弹药”。对于开发者而言,它能大幅减少寻找数据和复现模型的时间;对于研究者,它提供了丰富的基准测试资源和前沿技术参考。funNLP 以开放共享的精神,极大地降低了中文自然语言处理的开发与研究成本,是中文 AI 社区不可或缺的宝藏仓库。
cs-video-courses
cs-video-courses 是一个精心整理的计算机科学视频课程清单,旨在为自学者提供系统化的学习路径。它汇集了全球知名高校(如加州大学伯克利分校、新南威尔士大学等)的完整课程录像,涵盖从编程基础、数据结构与算法,到操作系统、分布式系统、数据库等核心领域,并深入延伸至人工智能、机器学习、量子计算及区块链等前沿方向。 面对网络上零散且质量参差不齐的教学资源,cs-video-courses 解决了学习者难以找到成体系、高难度大学级别课程的痛点。该项目严格筛选内容,仅收录真正的大学层级课程,排除了碎片化的简短教程或商业广告,确保用户能接触到严谨的学术内容。 这份清单特别适合希望夯实计算机基础的开发者、需要补充特定领域知识的研究人员,以及渴望像在校生一样系统学习计算机科学的自学者。其独特的技术亮点在于分类极其详尽,不仅包含传统的软件工程与网络安全,还细分了生成式 AI、大语言模型、计算生物学等新兴学科,并直接链接至官方视频播放列表,让用户能一站式获取高质量的教育资源,免费享受世界顶尖大学的课堂体验。
ragflow
RAGFlow 是一款领先的开源检索增强生成(RAG)引擎,旨在为大语言模型构建更精准、可靠的上下文层。它巧妙地将前沿的 RAG 技术与智能体(Agent)能力相结合,不仅支持从各类文档中高效提取知识,还能让模型基于这些知识进行逻辑推理和任务执行。 在大模型应用中,幻觉问题和知识滞后是常见痛点。RAGFlow 通过深度解析复杂文档结构(如表格、图表及混合排版),显著提升了信息检索的准确度,从而有效减少模型“胡编乱造”的现象,确保回答既有据可依又具备时效性。其内置的智能体机制更进一步,使系统不仅能回答问题,还能自主规划步骤解决复杂问题。 这款工具特别适合开发者、企业技术团队以及 AI 研究人员使用。无论是希望快速搭建私有知识库问答系统,还是致力于探索大模型在垂直领域落地的创新者,都能从中受益。RAGFlow 提供了可视化的工作流编排界面和灵活的 API 接口,既降低了非算法背景用户的上手门槛,也满足了专业开发者对系统深度定制的需求。作为基于 Apache 2.0 协议开源的项目,它正成为连接通用大模型与行业专有知识之间的重要桥梁。
PaddleOCR
PaddleOCR 是一款基于百度飞桨框架开发的高性能开源光学字符识别工具包。它的核心能力是将图片、PDF 等文档中的文字提取出来,转换成计算机可读取的结构化数据,让机器真正“看懂”图文内容。 面对海量纸质或电子文档,PaddleOCR 解决了人工录入效率低、数字化成本高的问题。尤其在人工智能领域,它扮演着连接图像与大型语言模型(LLM)的桥梁角色,能将视觉信息直接转化为文本输入,助力智能问答、文档分析等应用场景落地。 PaddleOCR 适合开发者、算法研究人员以及有文档自动化需求的普通用户。其技术优势十分明显:不仅支持全球 100 多种语言的识别,还能在 Windows、Linux、macOS 等多个系统上运行,并灵活适配 CPU、GPU、NPU 等各类硬件。作为一个轻量级且社区活跃的开源项目,PaddleOCR 既能满足快速集成的需求,也能支撑前沿的视觉语言研究,是处理文字识别任务的理想选择。
awesome-machine-learning
awesome-machine-learning 是一份精心整理的机器学习资源清单,汇集了全球优秀的机器学习框架、库和软件工具。面对机器学习领域技术迭代快、资源分散且难以甄选的痛点,这份清单按编程语言(如 Python、C++、Go 等)和应用场景(如计算机视觉、自然语言处理、深度学习等)进行了系统化分类,帮助使用者快速定位高质量项目。 它特别适合开发者、数据科学家及研究人员使用。无论是初学者寻找入门库,还是资深工程师对比不同语言的技术选型,都能从中获得极具价值的参考。此外,清单还延伸提供了免费书籍、在线课程、行业会议、技术博客及线下聚会等丰富资源,构建了从学习到实践的全链路支持体系。 其独特亮点在于严格的维护标准:明确标记已停止维护或长期未更新的项目,确保推荐内容的时效性与可靠性。作为机器学习领域的“导航图”,awesome-machine-learning 以开源协作的方式持续更新,旨在降低技术探索门槛,让每一位从业者都能高效地站在巨人的肩膀上创新。