仓库地址: c48K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6$3N6%4N6%4i4K6u0V1k6s2u0G2K9h3c8Q4x3V1k6y4K9i4u0S2文末与仓库 docs 内不定期更新实战记录这是一个防护端工具移动安全里的风险环境识别一直有几个老问题: 工具要么闭源, 要么零散分布, 一旦公开就容易被针对性对抗. 同时, 不同风险环境往往都有各自的隐藏方式, 每发一个新版, 分析流程都可能要重来一遍.更麻烦的是, AI 虽然很适合参与分析, 但它通常看不到设备运行时的真实状态, 只能依赖人工粘贴日志、补充截图、转述现象. 一旦信息经过人工中转, 上下文就会丢失, 分析效率和准确性都会明显下降.Mira 想解决的不是单纯的信息展示问题, 而是让 AI 真正进入设备运行时, 观察环境甚至执行任意逻辑、验证猜想, 再给出分析结论.一句话概括, Mira 是一个把 AI 接入 Android/iOS 运行时的动态分析工作台.Mira 在 Android 和 iOS 两侧都提供统一的运行时操作入口, 内置 busybox 命令集与 Frida Gadget, 提供交互式终端能力. 在 Android 侧, 可以直接操作进程视角的 procfs. 在 iOS 侧, 则通过 syscall 翻译方式模拟出近似的命令行体验.Mira 通过 MCP(Model Context Protocol, 模型上下文协议) 将设备侧能力结构化暴露给 AI. 这意味着 Claude 等模型不再只是读取你转发的日志, 而是可以直接发起命令、执行任意进程内逻辑、分析环境特征. 每分析一个环境或框架, 沉淀三类资产: 文章(分析过程与关键坑点)、Case(证据链与后续验证方向)、Skill(可被 AI 调用的检查流程). 如果你关注 AI 如何提升移动安全效率, 欢迎 star / watch.该部分展现 AI 利用 Mira Unix shell 的方便之处.一个很容易被忽略的侧信道来自 stat 命令的返回差异. 对同样不可直接读取的路径来说, No such file or directory 表示路径根本不存在, 而 Permission denied 则说明路径存在, 只是当前进程没有权限访问.这意味着, 即使只有第三方 App 权限, 仍然可以通过批量探测路径返回状态, 推断某些关键目录是否真实存在.下图展示了 AI 直接通过 Mira 的 Unix Shell 能力完成探测, 并识别出 Android 设备上狐狸面具的安装痕迹: 同样的方法也适用于 iOS 场景. 在 iOS 上, Mira 会在 /mira/ 下提供一套类 Android 的文件系统视图和进程视图, 便于使用熟悉的命令集去操作 iOS 路径.笔者在 iPhone X 环境安装了 Cydia, 因为没研究过 Cydia 实现, 不知道可能的痕迹, 但这个 AI 清楚, 于是命令 AI 自己来狠狠的探索一下! 结果什么依赖目录、包管理痕迹或历史文件全都给捅出来了, 甚至其他相关的框架痕迹都一股脑弄出来了. 这个场景的价值在于, 很多原本需要人工经验驱动的路径探测动作, 都可以由 AI 低成本重复执行, 而且天然适合批量化和自动化.注: Mira 已内置 busybox 的所有命令, 后续还会继续适配和增加, 另外针对 stat 等调用的对抗, 后续也会使用内联 svc 和动态下发 so 等方案实现无法被针对性的 hook.这个场景解决的问题是: 当你怀疑目标进程被 LSPosed 或类似框架注入时, 如何快速验证运行时特征, 而不是停留在源码猜测阶段.Mira 内置 Frida Gadget 与适配好的 frida-cli, 因此 AI 可通过 mira-mcp 直接执行任意 Java 层和 Native 层的动态逻辑. 例如在分析 LSPosed 时, 一个自然的问题就是: 它通过自定义 ClassLoader 加载类后, 运行时会不会留下稳定特征.如果沿着传统路径做验证, 往往意味着你要手写脚本、反复试错、补日志、再解释给 AI. 但在 Mira 里, AI 可以直接围绕 ClassLoader、类枚举、调用栈和内存对象做动态探测, 很快筛出异常加载链路.下图展示了 AI 基于运行时枚举结果, 识别出 3 种异常 ClassLoader 注入特征:
回复或点赞可查看完整内容
---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-291041.htm
[开源] Mira: 让 AI 直接操作 Android/iOS 运行时
376 浏览
9 回复
学习一下
学习一下
nb
很棒
nb
nb
看看
看看
666学习一下