文章总结： 本文介绍在Mac上使用Apktool反编译APK获取资源与Smali代码，并利用Jadx查看Java源码进行安全审计。详细说明工具安装、目录结构解析及敏感信息检索命令。通过结合命令行与图形化工具，可高效挖掘漏洞与分析逻辑，适用于移动安全入门。 综合评分： 76 文章分类： 逆向分析,移动安全,漏洞分析,安全工具

Mac逆向入门：手把手教你反编译APK，轻松挖洞不求人！

原创

升斗安全XiuXiu

升斗安全

2025年12月29日 19:01 广东

【文章说明】

• 目的：本文内容仅为网络安全技术研究与教育目的而创作。
• 红线：严禁将本文知识用于任何未授权的非法活动。使用者必须遵守《网络安全法》等相关法律。
• 责任：任何对本文技术的滥用所引发的后果自负，与本公众号及作者无关。
• 免责：内容仅供参考，作者不对其准确性、完整性作任何担保。

阅读即代表您同意以上条款。

Hey，各位网络安全达人和赏金猎人们！今天给大家分享一个实用小技巧：如何在Mac上快速反编译APK，方便我们进行安全审计或漏洞挖掘。操作简单，跟着步骤来，你也能轻松上手！

🛠️ 第一步：安装Apktool（反编译资源文件）

打开终端，依次执行以下命令（都在用户根目录 ~ 下操作即可）：

下载最新版 apktool.jar

curl -L https://bitbucket.org/iBotPeaches/apktool/downloads/apktool_2.9.3.jar -o apktool.jar

下载执行脚本（wrapper script）

curl -L https://raw.githubusercontent.com/iBotPeaches/Apktool/master/scripts/osx/apktool -o apktool

赋予执行权限

chmod 777 apktool apktool.jar

移到系统路径（方便随处调用）

sudo mv apktool apktool.jar /usr/local/bin/

使用它反编译APK

apktool d your_app.apk

💡注意： 如果提示找不到命令，重启终端即可。

执行成功后，当前目录会生成一个以APP命名的文件夹，里面就是反编译出来的资源文件。

📁 反编译后的目录结构

your_app/

├── AndroidManifest.xml          # 应用清单（可读XML）

├── apktool.yml                  # Apktool配置

├── res/                         # 资源文件（布局、图片、字符串等）

├── assets/                      # 原始资源

├── lib/                         # 原生库（.so文件）

├── smali/                       # 关键代码（smali格式）

└── unknown/                     # 其他文件

其中 smali/ 目录里存放的是反汇编后的代码，是我们分析逻辑的重点区域。

🔍 快速检索敏感信息（命令行技巧）

1. 查看关键文件

# 查看包名和版本grep&nbsp;-E&nbsp;"package|version"&nbsp;your_app/AndroidManifest.xml | head -5# 查看所有Activitygrep&nbsp;"<activity"&nbsp;your_app/AndroidManifest.xml# 查看申请的权限grep&nbsp;"uses-permission"&nbsp;your_app/AndroidManifest.xml# 查看字符串资源（前20条）cat your_app/res/values/strings.xml |&nbsp;grep&nbsp;-E&nbsp;'<string name='&nbsp;| head -20

2. 搜索特定内容

# 搜索包含“password”的smali文件grep -r "password" your_app/smali/# 搜索HTTP相关字符串（找API端点）grep -r "http" your_app/smali/# 查找所有Activity类find your_app/smali -name "*Activity.smali"

🧩 第二步：用Jadx查看Java源码（图形化更直观）

虽然Apktool能反编译出smali，但如果你想直接看Java代码，推荐使用 Jadx：

下载Jadx—https://github.com/skylot/jadx/releases

选择适合Mac的版本（通常为 .zip 格式）。

解压并运行

解压后，打开终端进入解压目录的 bin/ 文件夹，执行：

./jadx-gui 需要查看具体Java代码的apk包路径 或者打开图形界面后导入源码文件夹

然后通过图形界面打开APK文件，即可直接浏览Java代码，搜索、跳转都非常方便！

 小结

Apktool：适合反编译资源文件、查看smali代码、快速命令行检索。

Jadx：适合直接阅读Java源码，图形化操作更友好。

两者结合使用，既能深度分析逻辑，又能高效搜索关键词，在漏洞挖掘和逆向分析中非常实用！

赶紧动手试试吧，说不定下一个漏洞就在这些代码里等着你～

如果有其他好用的工具或技巧，欢迎在评论区分享交流！

这边会持续分享更多关于网络安全和漏洞挖掘的相关技能，有兴趣的小伙伴欢迎收藏、关注，当然，如果觉得文章有用的话，别吝啬你的赞哦~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：升斗安全 升斗安全XiuXiu《Mac逆向入门：手把手教你反编译APK，轻松挖洞不求人！》