{"id":31031697,"url":"https://github.com/v74all/apass-aryx","last_synced_at":"2025-09-14T00:36:08.989Z","repository":{"id":313352361,"uuid":"1047750388","full_name":"v74all/apass-aryx","owner":"v74all","description":"APASS ARYX is a reverse engineering and APK analysis framework for exposing malicious behavior in Android apps","archived":false,"fork":false,"pushed_at":"2025-09-05T12:37:01.000Z","size":13188,"stargazers_count":4,"open_issues_count":0,"forks_count":0,"subscribers_count":0,"default_branch":"main","last_synced_at":"2025-09-05T14:43:10.566Z","etag":null,"topics":["analysis","analysis-framework","android","exposing","malicious","reverse-engineering"],"latest_commit_sha":null,"homepage":"","language":"Python","has_issues":true,"has_wiki":null,"has_pages":null,"mirror_url":null,"source_name":null,"license":"other","status":null,"scm":"git","pull_requests_enabled":true,"icon_url":"https://github.com/v74all.png","metadata":{"files":{"readme":"README.md","changelog":null,"contributing":null,"funding":null,"license":"LICENSE","code_of_conduct":null,"threat_model":null,"audit":null,"citation":null,"codeowners":null,"security":null,"support":null,"governance":null,"roadmap":null,"authors":null,"dei":null,"publiccode":null,"codemeta":null,"zenodo":null,"notice":null,"maintainers":null,"copyright":null,"agents":null,"dco":null,"cla":null}},"created_at":"2025-08-31T06:19:50.000Z","updated_at":"2025-09-05T14:28:16.000Z","dependencies_parsed_at":"2025-09-05T14:53:26.339Z","dependency_job_id":null,"html_url":"https://github.com/v74all/apass-aryx","commit_stats":null,"previous_names":["v74all/apass-aryx"],"tags_count":null,"template":false,"template_full_name":null,"purl":"pkg:github/v74all/apass-aryx","repository_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/v74all%2Fapass-aryx","tags_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/v74all%2Fapass-aryx/tags","releases_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/v74all%2Fapass-aryx/releases","manifests_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/v74all%2Fapass-aryx/manifests","owner_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners/v74all","download_url":"https://codeload.github.com/v74all/apass-aryx/tar.gz/refs/heads/main","sbom_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories/v74all%2Fapass-aryx/sbom","scorecard":null,"host":{"name":"GitHub","url":"https://github.com","kind":"github","repositories_count":275047902,"owners_count":25396334,"icon_url":"https://github.com/github.png","version":null,"created_at":"2022-05-30T11:31:42.601Z","updated_at":"2022-07-04T15:15:14.044Z","status":"online","status_checked_at":"2025-09-13T02:00:10.085Z","response_time":70,"last_error":null,"robots_txt_status":"success","robots_txt_updated_at":"2025-07-24T06:49:26.215Z","robots_txt_url":"https://github.com/robots.txt","online":true,"can_crawl_api":true,"host_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub","repositories_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repositories","repository_names_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/repository_names","owners_url":"https://repos.ecosyste.ms/api/v1/hosts/GitHub/owners"}},"keywords":["analysis","analysis-framework","android","exposing","malicious","reverse-engineering"],"created_at":"2025-09-14T00:36:06.985Z","updated_at":"2025-09-14T00:36:08.972Z","avatar_url":"https://github.com/v74all.png","language":"Python","funding_links":[],"categories":[],"sub_categories":[],"readme":"# APASS ARYX — Beta v1 (Under Development)\n\n\"No mask can hide. APASS ARYX sees through.\"\n\n⚠️ This software is in Beta v1 and under active development. Some features are incomplete and may change.\n\n[![Version](https://img.shields.io/badge/version-Beta%20v1-orange.svg)](https://github.com/v74all/apass-aryx)\n[![Status](https://img.shields.io/badge/status-Under%23Development-yellow.svg)](https://github.com/v74all/apass-aryx)\n[![License](https://img.shields.io/badge/license-Proprietary%20%E2%80%94%20All%20Rights%20Reserved-blue.svg)](LICENSE)\n[![Python](https://img.shields.io/badge/python-3.10%2B-green.svg)](https://python.org)\n\nMultilingual guide: English | فارسی\n\nAPASS ARYX is a comprehensive Android APK analysis framework (static + dynamic + network + threat intelligence) built by Aiden Azad (V7lthronyx). It exposes malicious behavior in Android apps with practical workflows and clear outputs.\n\n---\n\n## Table of contents\n\n- Overview\n- Features\n- Architecture\n- Requirements\n- Installation\n- Quick start\n- Web UI\n- CLI usage\n- Configuration\n- Folder structure\n- Resources and signatures\n- Included scripts\n- Web API endpoints\n- Troubleshooting\n- FAQ\n- Roadmap\n- Contributing\n- License\n- فارسی (خلاصه)\n\n---\n\n## Overview\n\nAPASS ARYX targets malware analysts, DFIR professionals, and reverse engineers. The framework blends advanced static analysis, Frida-powered dynamic runs on Android devices/emulators, network capture, and threat intel enrichment. Outputs are organized, repeatable, and designed for both quick triage and deep dives.\n\n## Features\n\n- Static analysis\n  - AndroidManifest and permission mapping\n  - DEX/Smali structure hints, strings, resources extraction\n  - Certificate and signing checks\n  - Crypto findings (hard-coded keys, algorithms)\n  - YARA scanning (baseline + community rules)\n\n- Dynamic analysis (Frida-based)\n  - Hooking and runtime behavior tracing\n  - Memory/heap observations, payload indicators\n  - Anti-analysis bypass hooks (SSL pinning, root checks)\n  - File/db/prefs activity tracking\n\n- Network analysis\n  - Traffic capture (adb/tcpdump integration helpers)\n  - Indicators of C2, beaconing, data exfiltration\n  - Domain intelligence and watchlist checks\n\n- Threat Intelligence\n  - Optional VirusTotal / Hybrid Analysis lookups\n  - IOC extraction and enrichment\n\n- Orchestration\n  - Unified or advanced engine selection\n  - Batch mode (folder scans)\n  - Timeouts, retries, and worker limits\n\n- Outputs\n  - JSON, TXT, and HTML reports\n  - IOC feeds and MITRE mappings (when enabled)\n\n- Web UI\n  - Job submission (single/batch)\n  - Job status, history, and report downloads\n  - Basic diagnostics and cleanup utilities\n\n---\n\n## Architecture\n\n- Entry points\n  - CLI: `apass-aryx.py` (core) and `apass_aryx.py` (import-friendly wrapper)\n  - Web UI: `web_app.py` (Flask)\n\n- Core modules (see `src/`)\n  - `core/advanced_analysis.py`, `core/unified_analysis.py`\n  - `analyzers/advanced_static_analyzer.py`, `analyzers/enhanced_dynamic_analyzer.py`, etc.\n  - `utils/` with logging, progress, reporting, device manager, and TI helpers\n\n- Resources\n  - `resources/yara/*` for YARA rules\n  - `resources/signatures/*` for domain watchlists and sample IOCs\n  - `resources/binaries/*` for Frida server binaries\n\n- Scripts\n  - Convenience shell scripts for adb capture, Frida management, and workspace maintenance\n\n---\n\n## Requirements\n\n- OS: Linux recommended (dev-tested)\n- Python: 3.10+\n- Android device/emulator for dynamic runs (adb accessible)\n- Optional external tools (install as needed):\n  - Frida (device-side server from `resources/binaries`)\n  - adb, tcpdump/mitm tooling depending on your workflow\n\nPython packages commonly used by the project include Flask/Flask-WTF for the web UI and typical analysis libs. Since the codebase is evolving, install packages on demand per error messages until a pinned `requirements.txt` is published.\n\n---\n\n## Installation\n\n1) Clone the repository\n\n2) Create and activate a Python virtual environment\n\n3) Install required Python packages (Flask, flask-wtf, jinja2, werkzeug, psutil, pyyaml, etc.)\n\n4) Ensure adb is on PATH if you plan to run dynamic analysis\n\n---\n\n## Quick start\n\n- Web UI (recommended): run `web_app.py` and open the printed URL. Upload an APK or start a batch. Reports will be placed under `analysis_results/`.\n\n- CLI: use analyze/batch subcommands to process files from the terminal (see below).\n\n---\n\n## Web UI\n\nEntrypoint: `web_app.py`\n\nMain views\n\n- `/` — Home / recent jobs\n- `/jobs` — Jobs list (enhanced view available)\n- `/job/\u003cjob_id\u003e` — Job details and report links\n- `/status` — System/status page\n- `/compare` — Compare results between jobs\n\nKey settings\n\n- Upload directory: temporary system folder (see `UPLOAD_FOLDER` in `web_app.py`)\n- Reports path: `analysis_results/`\n- Jobs storage: `jobs_data.pkl`\n\nSecurity\n\n- CSRF protection enabled (Flask-WTF)\n- `SECRET_KEY` auto-generated unless provided via env var\n\n---\n\n## CLI usage\n\nCLI entry is `apass-aryx.py`. Common subcommands implemented or planned:\n\n- `web` — launch the web interface\n- `status` — environment and dependency checks\n- `analyze` — analyze a single APK\n  - Options: `--engine [auto|unified|advanced]`, `--timeout \u003cseconds\u003e`\n- `batch` — analyze a folder of APKs\n  - Options: `--recursive`, `--max-workers \u003cn\u003e`, `--fail-fast`\n- `config` — show or set configuration values\n- `upgrade` — migrate configuration to new defaults\n\nDefault behavior is driven by `config.yaml` unless overridden on the CLI.\n\n---\n\n## Configuration\n\nTop-level file: `config.yaml`\n\n- `analysis`\n  - `engine`: `auto` (default), `unified`, or `advanced`\n  - `timeout`: default 300 seconds\n  - `report_formats`: `json`, `txt`, `html`\n\n- `batch`\n  - `max_workers`: default 2 (0 = sequential)\n  - `recursive`: true/false\n  - `fail_fast`: optional; stop early on errors (if supported)\n\n- `web`\n  - `host`, `port`, `debug`\n\n- `logging`\n  - `level`: `DEBUG|INFO|WARNING|ERROR|CRITICAL`\n  - `file`: `apass-aryx.log` (empty string to disable file logging)\n  - `console`: true/false\n\nAdvanced orchestrator: `orchestrator_config.yaml`\n\n- `analysis_duration`, `max_parallel_tools`, `enable_real_time_monitoring`, `threat_intelligence_enabled`, `auto_cleanup`, `advanced_correlation`\n- `monitoring` thresholds\n- `scoring` weights for different analyzers\n- `threat_intelligence` API keys and caps\n- `output` toggles for reports/feeds/mitre mapping\n- `resources` limits\n\n---\n\n## Folder structure\n\n```text\napass-aryx.py                # CLI entry (core)\napass_aryx.py                # Import wrapper\nweb_app.py                   # Flask web UI\nconfig.yaml                  # Main config\norchestrator_config.yaml     # Orchestrator advanced config\nresources/                   # YARA, signatures, frida binaries\nscripts/                     # Shell helpers (adb, frida, housekeeping)\nsrc/                         # Core Python packages (analyzers, utils)\nstatic/, templates/          # Web UI assets and pages\nanalysis_results/            # Generated reports (created at runtime)\napass-aryx.log               # Log file (if enabled)\n```\n\n---\n\n## Resources and signatures\n\n- `resources/yara/*` — Baseline + community YARA rules\n- `resources/signatures/iocs_sample.json` — Example IOC feed format\n- `resources/signatures/domains_watchlist.txt` — Domains of interest\n- `resources/binaries/frida-server-*` — Frida server builds for different CPU ABIs\n\n---\n\n## Included scripts\n\n- `scripts/adb_network_capture.sh` — Network capture helper via adb\n- `scripts/frida_manager.sh` — Start/stop Frida server on device\n- `scripts/run-analysis.sh` — Convenience wrapper for a full analysis pass\n- `scripts/cleanup.sh` — Remove temps and old outputs\n- `scripts/complete-analysis.sh`, `scripts/final-status.sh`, `scripts/workspace-status.sh`\n\nNote: Review each script before use and adapt paths to your environment.\n\n---\n\n## Web API endpoints\n\nPublic routes (HTML)\n\n- `GET /` — Home\n- `GET /jobs` — Jobs list\n- `GET /job/\u003cjob_id\u003e` — Job details\n- `GET /status` — System/status page\n- `GET /compare` — Compare results\n\nAPI routes (JSON)\n\n- `GET /api/jobs` — Paginated job history, supports `page`, `per_page`, and filters\n- `GET /api/job/\u003cjob_id\u003e` — Single job details\n- `POST /api/job/\u003cjob_id\u003e/cancel` — Cancel a running job\n- `DELETE /api/jobs/\u003cjob_id\u003e` or `POST /api/job/\u003cjob_id\u003e/delete` — Delete a job\n- `GET /api/status` — System and service status\n- `POST /api/test-connectivity` — Connectivity diagnostics\n- `POST /api/cleanup` — Cleanup old artifacts\n- `GET /api/diagnostics` — Environment diagnostics\n- `POST /api/clear-logs` — Clear server logs\n\nReports\n\n- `GET /report/\u003cjob_id\u003e/\u003cpath:report_file\u003e` — Download a report artifact for a job\n\n---\n\n## Troubleshooting\n\n- Status page 500 (Jinja UndefinedError)\n  - Known during Beta: some fields (e.g., `tools`) may be missing from the status context and cause a 500 on `/status`.\n  - Workaround: use `/api/status` for raw diagnostics while the UI is being stabilized.\n\n- CSRF errors on POST endpoints\n  - Ensure your requests include the CSRF token or use provided HTML forms/endpoints with `@csrf.exempt` where appropriate.\n\n- Dynamic analysis not running\n  - Verify adb connectivity, device authorization, and that a matching `frida-server` is running on the device. Use `scripts/frida_manager.sh`.\n\n- Reports not found\n  - Check `analysis_results/` and job page `/job/\u003cjob_id\u003e`. Ensure `report_formats` include the type you expect.\n\n- Logs\n  - See `apass-aryx.log` and `/api/diagnostics`. You can clear with `/api/clear-logs`.\n\n---\n\n## FAQ\n\nQ: Which engine should I use?\n\nA: `auto` chooses the best available engine. Use `unified` for a lighter pass or `advanced` when you need deeper coverage and have Frida/device ready.\n\nQ: Where are artifacts stored?\n\nA: Reports are stored under `analysis_results/` and job metadata in `jobs_data.pkl`.\n\nQ: Can I bring my own YARA rules?\n\nA: Yes. Add them under `resources/yara/` and ensure file permissions are correct.\n\n---\n\n## Roadmap (short)\n\n- Stabilize `/status` view and system checks\n- Pin and publish dependencies (`requirements.txt`)\n- Expand HTML reporting and comparison views\n- More robust batch orchestration and retries\n- Containerized runner and CI/CD samples\n\n---\n\n## Contributing\n\nContributions are welcome. Please open an issue to discuss ideas and follow the coding style used in `src/`. For significant changes, propose the design first.\n\n---\n\n## License\n\nProprietary — All Rights Reserved. See the `LICENSE` file.\n\n---\n\n## فارسی (خلاصه)\n\nAPASS ARYX یک چارچوب تحلیل APK اندروید است که تحلیل ایستا، پویا (Frida)، شبکه و هوش تهدید را ترکیب می‌کند. برای پژوهشگران امنیت، تحلیل‌گران بدافزار و مهندسان معکوس ساخته شده است.\n\nویژگی‌ها (خلاصه)\n\n- تحلیل ایستا: مانیفست و مجوزها، منابع، رشته‌ها، گواهی‌نامه و YARA\n- تحلیل پویا: Hook با Frida، عبور از ضدتحلیل، رصد رفتار زمان‌اجرا\n- تحلیل شبکه: کپچر ترافیک، تشخیص C2 و نشتی داده\n- هوش تهدید: غنی‌سازی IOC و یکپارچه‌سازی با سرویس‌های خارجی (اختیاری)\n- وب UI: ارسال کار، وضعیت، تاریخچه و دانلود گزارش‌ها\n\nپیش‌نیازها\n\n- لینوکس، Python 3.10+\n- برای تحلیل پویا: دستگاه/شبیه‌ساز اندروید + adb + frida-server\n\nشروع سریع\n\n- اجرای وب: فایل `web_app.py` را اجرا کنید و در مرورگر باز کنید. APK را آپلود کنید و گزارش‌ها را از `analysis_results/` بردارید.\n- CLI: از دستورات `analyze` و `batch` در `apass-aryx.py` استفاده کنید.\n\nپیکربندی\n\n- فایل `config.yaml` برای تنظیم موتور تحلیل، زمان‌بندی، فرمت گزارش‌ها، لاگینگ و …\n- فایل `orchestrator_config.yaml` برای تنظیمات پیشرفته (TI، امتیازدهی، منابع، خروجی‌ها)\n\nعیب‌یابی\n\n- خطای 500 در `/status`: یک مشکل شناخته‌شده در بتا است؛ از `/api/status` استفاده کنید.\n- مشکلات CSRF: از فرم‌های داخلی استفاده کنید یا توکن را ارسال کنید.\n- عدم اجرای تحلیل پویا: اتصال adb و اجرای frida-server را بررسی کنید.\n\nمجوز: کلیه حقوق محفوظ است (All Rights Reserved). جزئیات در فایل `LICENSE`.\n\n\n- **Behavioral Pattern Recognition**: Machine learning-based anomaly detection\n- **Malware Family Classification**: Automated threat categorization and similarity analysis\n- **Risk Scoring**: Multi-factor threat assessment with confidence metrics\n- **IOC Generation**: Automated Indicators of Compromise extraction\n- **Threat Attribution**: Malware family mapping, actor profiling\n\n### Web-Based Dashboard \u0026 Reporting\n\n- **Interactive HTML Dashboard**: Real-time analysis visualization with responsive design\n- **Multi-Format Reports**: JSON, XML, TXT, HTML, and PDF export capabilities\n- **Job Management**: Background processing, queue management, progress tracking\n- **Comparative Analysis**: Side-by-side APK comparison and differential analysis\n- **Historical Tracking**: Analysis session management and timeline visualization\n- **RESTful API**: Programmatic access for automation and integration\n\n#### 🔧 **Advanced Automation \u0026 Integration**\n\n- **Batch Processing**: Concurrent analysis of multiple APKs with intelligent resource management\n- **CI/CD Integration**: Jenkins, GitHub Actions, GitLab CI pipeline support\n- **Cloud Deployment**: Docker containerization, Kubernetes orchestration ready\n- **Custom Orchestrator**: Advanced analysis workflows with configurable pipelines\n- **Plugin Architecture**: Extensible analyzer modules and custom script integration\n\n### 🏗️ Architecture \u0026 Project Structure\n\n```\napass-aryx/\n├── src/                          # Core Analysis Engine\n│   ├── core/                     # Central analysis engines\n│   │   ├── unified_analysis.py   # Main unified analysis pipeline\n│   │   ├── advanced_analysis.py  # Advanced analysis orchestrator\n│   │   └── advanced_analysis_impl.py # Implementation details\n│   ├── analyzers/                # Specialized analyzers\n│   │   ├── enhanced_static_analyzer.py    # Advanced static analysis\n│   │   ├── enhanced_dynamic_analyzer.py   # Dynamic runtime analysis\n│   │   ├── analysis_dashboard.py          # Dashboard generation\n│   │   ├── device_orchestrator.py         # Device management\n│   │   ├── malware_analyzer.py            # Malware detection engine\n│   │   └── tool_integrations.py           # External tool integrations\n│   └── utils/                    # Utility modules\n│       ├── threat_intelligence.py         # Threat intel APIs\n│       ├── report_generator.py            # Report formatting\n│       └── cloud_uploader.py              # Cloud storage integration\n├── scripts/                      # Automation \u0026 Instrumentation\n│   ├── frida/                    # Frida instrumentation scripts\n│   │   ├── comprehensive_analysis.js      # Complete runtime analysis\n│   │   ├── advanced_malware_analyzer.js   # Advanced malware detection\n│   │   ├── network_analyzer.js            # Network traffic analysis\n│   │   ├── memory_analyzer.js             # Memory scanning \u0026 extraction\n│   │   ├── crypto_file_bypass_dump.js     # Crypto \u0026 bypass techniques\n│   │   └── reverse_engineering.js         # RE automation tools\n│   ├── complete-analysis.sh      # Orchestrated analysis pipeline\n│   ├── run-organized-analysis.sh # Organized output management\n│   ├── domain-osint.sh          # Domain intelligence gathering\n│   └── cleanup.sh               # Workspace maintenance\n├── resources/                    # Analysis Resources\n│   ├── yara/                     # YARA rule sets\n│   │   ├── malware_baseline.yar  # Core malware signatures\n│   │   └── community/            # Community-contributed rules\n│   ├── signatures/               # Threat signatures \u0026 IOCs\n│   │   ├── domains_watchlist.txt # Malicious domain database\n│   │   └── iocs_sample.json      # Indicators of compromise\n│   ├── binaries/                 # Required binaries\n│   │   └── frida-server-*        # Frida server binaries\n│   └── analysis_config.json      # Main configuration file\n├── analysis_results/             # Analysis outputs\n│   └── unified_output/           # Organized results by session\n├── templates/                    # Web interface templates\n├── static/                       # Web assets (CSS, JS, images)\n├── web_app.py                   # Flask web application\n├── apass-aryx.py               # Main CLI interface\n└── config.yaml                # System configuration\n```\n\n### ✅ System Requirements\n\n#### **Essential Dependencies**\n- **Python**: 3.8+ (recommended: 3.9+)\n- **Android SDK Platform Tools**: `adb`, `aapt`, `aapt2`\n- **Java Development Kit**: JDK 8+ for APK processing\n- **Frida**: `frida-tools` and device-specific `frida-server`\n\n#### **Optional Enhancements**\n- **APKTool**: Advanced APK decompilation\n- **JADX**: Java decompiler integration\n- **YARA**: Pattern matching engine\n- **Docker**: Containerized deployment\n- **Redis**: Caching and job queue management\n\n### 🚀 Installation Guide\n\n#### **Quick Setup**\n```bash\n# Clone the repository\ngit clone https://github.com/v74all/apass-aryx.git\ncd apass-aryx\n\n# Create virtual environment\npython -m venv .venv\nsource .venv/bin/activate  # Linux/macOS\n# .venv\\Scripts\\activate   # Windows\n\n# Install Python dependencies\npip install -r requirements.txt\n\n# Install Android SDK tools (if not present)\n./scripts/tools/install_android_tools.sh\n```\n\n#### **Advanced Setup**\n```bash\n# Configure analysis environment\ncp config.yaml.example config.yaml\ncp resources/analysis_config.json.example resources/analysis_config.json\n\n# Deploy Frida server to device/emulator\nadb push resources/binaries/frida-server-* /data/local/tmp/frida-server\nadb shell chmod 755 /data/local/tmp/frida-server\n\n# Verify installation\npython apass-aryx.py status\n```\n\n### 📖 Usage Examples\n\n#### **Command Line Interface**\n\n**Single APK Analysis:**\n```bash\n# Complete analysis (static + dynamic + network)\npython apass-aryx.py analyze sample.apk\n\n# Static analysis only\npython apass-aryx.py analyze sample.apk --engine unified --static-only\n\n# Dynamic analysis with device targeting\npython apass-aryx.py analyze sample.apk --dynamic-only --device emulator-5554 --duration 180 --install\n```\n\n**Batch Processing:**\n```bash\n# Analyze multiple APKs\npython apass-aryx.py batch /path/to/apk/directory --max-workers 4 --recursive\n\n# Advanced batch with custom configuration\npython apass-aryx.py batch samples/ --engine advanced --timeout 600 --formats json,html\n```\n\n**Device Management:**\n```bash\n# List connected devices\npython apass-aryx.py device list\n\n# Device health check\npython apass-aryx.py device checks --device emulator-5554\n\n# Install and monitor APK\npython apass-aryx.py device install sample.apk --device emulator-5554 --monitor\n```\n\n#### **Web Interface**\n\n**Start Web Server:**\n```bash\n# Development server\npython web_app.py\n\n# Production deployment\npython apass-aryx.py web --host 0.0.0.0 --port 8080 --workers 4\n```\n\n**Dashboard Access:**\n- **Main Interface**: `http://localhost:5000`\n- **Analysis Dashboard**: `http://localhost:5000/status`\n- **Job Management**: `http://localhost:5000/jobs`\n- **API Endpoints**: `http://localhost:5000/api/`\n\n#### **Direct Script Execution**\n\n**Frida Scripts:**\n```bash\n# Advanced malware analysis\nfrida -U -f com.target.app -l scripts/frida/advanced_malware_analyzer.js --no-pause\n\n# Network traffic monitoring\nfrida -U -f com.target.app -l scripts/frida/network_analyzer.js --no-pause\n\n# Memory analysis and extraction\nfrida -U -f com.target.app -l scripts/frida/memory_analyzer.js --no-pause\n```\n\n**Shell Scripts:**\n```bash\n# Complete orchestrated analysis\n./scripts/complete-analysis.sh sample.apk\n\n# Domain intelligence gathering\n./scripts/domain-osint.sh malicious-domain.com\n\n# Workspace cleanup\n./scripts/cleanup.sh --preserve-results\n```\n\n### 🔧 Configuration Management\n\n#### **Main Configuration (config.yaml)**\n```yaml\nanalysis:\n  engine: \"auto\"                 # auto, unified, advanced\n  timeout: 300                   # Analysis timeout in seconds\n  report_formats: [\"json\", \"html\", \"txt\"]\n  retries: 2                     # Retry failed analyses\n\nbatch:\n  max_workers: 4                 # Concurrent analysis jobs\n  recursive: true                # Recursive directory scanning\n  fail_fast: false              # Continue on individual failures\n\nweb:\n  host: \"0.0.0.0\"               # Web server bind address\n  port: 5000                    # Web server port\n  debug: false                  # Enable debug mode\n\nlogging:\n  level: \"INFO\"                 # DEBUG, INFO, WARNING, ERROR, CRITICAL\n  file: \"apass-aryx.log\"        # Log file path\n  console: true                 # Enable console logging\n```\n\n#### **Analysis Configuration (resources/analysis_config.json)**\n```json\n{\n  \"static_analysis\": {\n    \"enable_manifest_analysis\": true,\n    \"enable_permission_analysis\": true,\n    \"enable_string_extraction\": true,\n    \"enable_certificate_analysis\": true,\n    \"enable_yara_scanning\": true,\n    \"yara_rules_path\": \"resources/yara/\"\n  },\n  \"dynamic_analysis\": {\n    \"enable_frida_hooks\": true,\n    \"enable_network_monitoring\": true,\n    \"enable_memory_analysis\": true,\n    \"analysis_duration\": 300,\n    \"auto_install\": false\n  },\n  \"reporting\": {\n    \"generate_dashboard\": true,\n    \"include_screenshots\": true,\n    \"compress_outputs\": false,\n    \"save_raw_data\": true\n  }\n}\n```\n\n### 📊 Analysis Outputs \u0026 Reports\n\n#### **Organized Output Structure**\n\nAll analysis results are systematically organized under `analysis_results/unified_output/\u003ctimestamp\u003e/`:\n\n```\nanalysis_results/unified_output/advanced_analysis_20250905_101524/\n├── reports/\n│   ├── analysis_dashboard.html          # Interactive web dashboard\n│   ├── comprehensive_report.json        # Machine-readable full report\n│   ├── comprehensive_report.txt         # Human-readable summary\n│   ├── executive_summary.md             # Executive briefing\n│   └── threat_intelligence_report.pdf   # Threat intel analysis\n├── artifacts/\n│   ├── extracted_assets/                # Assets, resources, files\n│   ├── decompiled_code/                 # JADX/APKTool output\n│   ├── certificates/                    # Certificate analysis\n│   ├── strings_analysis.txt             # Extracted strings\n│   └── yara_matches.json               # YARA rule hits\n├── dynamic/\n│   ├── frida_logs/                      # Runtime analysis logs\n│   ├── memory_dumps/                    # Memory snapshots\n│   ├── api_calls.json                  # System call traces\n│   └── behavioral_analysis.json        # Behavior patterns\n├── network/\n│   ├── traffic_capture.pcap             # Network packet capture\n│   ├── dns_queries.json                # DNS resolution logs\n│   ├── http_transactions.json          # HTTP/HTTPS traffic\n│   └── c2_analysis.json                # C2 communication analysis\n├── static/\n│   ├── manifest_analysis.json          # AndroidManifest analysis\n│   ├── permission_analysis.json        # Permission risk assessment\n│   ├── code_analysis.json              # Code structure analysis\n│   └── crypto_analysis.json            # Cryptographic findings\n└── logs/\n    ├── analysis.log                     # Detailed analysis log\n    ├── errors.log                       # Error and warning log\n    └── debug.log                        # Debug information\n```\n\n#### **Dashboard Features**\n\nThe interactive HTML dashboard provides:\n\n- **Real-time Analysis Progress**: Live updates during analysis execution\n- **Threat Risk Scoring**: Visual risk assessment with confidence metrics\n- **Interactive Charts**: Network topology, call graphs, timeline visualization\n- **Drill-down Analysis**: Detailed views of findings, artifacts, and indicators\n- **Export Capabilities**: PDF reports, IOC feeds, STIX/TAXII format\n- **Comparison Tools**: Side-by-side analysis comparison for multiple APKs\n\n### 🧰 Advanced Features \u0026 Tools\n\n#### **Frida Instrumentation Scripts**\n\n**Comprehensive Analysis (`comprehensive_analysis.js`)**:\n- Real-time method hooking and behavior monitoring\n- SSL pinning bypass and certificate trust manipulation\n- Anti-analysis detection and evasion techniques\n- Dynamic string decryption and asset extraction\n\n**Network Analysis (`network_analyzer.js`)**:\n- Multi-protocol traffic interception (HTTP/HTTPS, WebSocket, TCP/UDP)\n- C2 communication pattern detection and behavioral analysis\n- DGA (Domain Generation Algorithm) detection\n- Advanced beaconing analysis with ML-based anomaly detection\n\n**Memory Analysis (`memory_analyzer.js`)**:\n- Advanced memory scanning with entropy analysis\n- Encryption key extraction and cryptographic artifact recovery\n- Payload detection and classification with AI pattern matching\n- Real-time memory monitoring and suspicious activity detection\n\n**Malware Analysis (`advanced_malware_analyzer.js`)**:\n- Anti-debugging and anti-analysis bypass techniques\n- Runtime unpacking and deobfuscation\n- Malware family classification and attribution\n- Advanced persistence mechanism detection\n\n#### **Shell Automation Scripts**\n\n**Complete Analysis (`complete-analysis.sh`)**:\n- Orchestrated end-to-end analysis pipeline\n- Multi-stage analysis with intelligent dependency management\n- Automated report generation and artifact organization\n- Integration with external threat intelligence sources\n\n**Domain OSINT (`domain-osint.sh`)**:\n- Comprehensive domain intelligence gathering\n- Whois, DNS, and certificate transparency analysis\n- Reputation scoring and threat actor attribution\n- Integration with threat intelligence feeds\n\n#### **External Tool Integrations**\n\nAPASS ARYX seamlessly integrates with industry-standard tools:\n\n- **Androguard**: Advanced APK analysis and metadata extraction\n- **APKiD**: Packer and obfuscator detection\n- **JADX**: Java decompilation and code analysis\n- **Quark Engine**: Behavioral analysis and malware detection\n- **MobSF**: Mobile security framework integration\n- **VirusTotal**: Hash-based threat intelligence lookup\n- **YARA**: Custom rule-based pattern matching\n- **Cutter/Radare2**: Reverse engineering and binary analysis\n\n### 🛡️ Security \u0026 Best Practices\n\n#### **Secure Analysis Environment**\n- **Isolated Execution**: VM/container-based analysis environments\n- **Network Segmentation**: Controlled network access during dynamic analysis\n- **Artifact Quarantine**: Secure handling of potentially malicious content\n- **Access Control**: Role-based access to analysis results and sensitive data\n\n#### **Ethical Usage Guidelines**\n- **Authorization**: Only analyze APKs you are legally authorized to examine\n- **Data Privacy**: Implement proper data handling for extracted sensitive information\n- **Responsible Disclosure**: Follow coordinated vulnerability disclosure practices\n- **Legal Compliance**: Ensure compliance with local laws and regulations\n\n### ❓ Troubleshooting \u0026 Support\n\n#### **Common Issues**\n\n**Installation Problems:**\n```bash\n# ADB not found\nexport PATH=$PATH:/path/to/android-sdk/platform-tools\n\n# Python dependency conflicts\npython -m pip install --force-reinstall -r requirements.txt\n\n# Frida server version mismatch\nadb shell killall frida-server\nadb push resources/binaries/frida-server-$(frida --version | cut -d' ' -f1)-android-arm64 /data/local/tmp/frida-server\n```\n\n**Analysis Failures:**\n```bash\n# Check device connectivity\nadb devices\n\n# Verify Frida server status\nadb shell ps | grep frida\n\n# Review analysis logs\ntail -f analysis_results/*/logs/analysis.log\n```\n\n**Performance Optimization:**\n```bash\n# Adjust worker count based on system resources\npython apass-aryx.py batch samples/ --max-workers $(nproc)\n\n# Enable analysis caching\nexport APASS_CACHE_ENABLED=1\n\n# Monitor system resources\npython apass-aryx.py status --system-info\n```\n\n#### **Getting Help**\n- **Documentation**: Comprehensive guides in the `docs/` directory\n- **Issue Tracker**: Report bugs and request features on GitHub\n- **Community Support**: Join discussions and share insights\n- **Professional Support**: Enterprise support options available\n\n### 📈 Performance \u0026 Scalability\n\n#### **System Requirements by Scale**\n\n**Small Scale (1-10 APKs/day)**:\n- CPU: 4 cores, 8GB RAM\n- Storage: 100GB SSD\n- Network: Standard internet connection\n\n**Medium Scale (10-100 APKs/day)**:\n- CPU: 8 cores, 16GB RAM\n- Storage: 500GB NVMe SSD\n- Network: High-speed internet with traffic shaping\n\n**Large Scale (100+ APKs/day)**:\n- CPU: 16+ cores, 32GB+ RAM\n- Storage: 1TB+ NVMe SSD with backup\n- Network: Dedicated analysis network with monitoring\n\n#### **Optimization Features**\n- **Intelligent Caching**: Result caching to avoid redundant analysis\n- **Resource Management**: Dynamic resource allocation based on workload\n- **Distributed Analysis**: Support for multi-node analysis clusters\n- **Queue Management**: Advanced job scheduling and priority handling\n---\n\n## فارسی\n\n### 🎯 معرفی کلی\n\n⚠️ **این نرم‌افزار در حال حاضر در نسخه Beta v1 و در حال توسعه است. ممکن است برخی قابلیت‌ها ناقص یا در حال تغییر باشند.**\n\nAPASS ARYX یک فریم‌ورک نسل جدید تحلیل APK اندروید است که برای پژوهشگران امنیتی، تحلیلگران بدافزار، مهندسان معکوس و متخصصان امنیت سایبری طراحی شده است. این ابزار با ترکیب تحلیل ایستای پیشرفته، ابزاردهی زمان‌اجرای پویا، پایش جامع ترافیک شبکه و تشخیص تهدید مبتنی بر هوش مصنوعی، بینش عمیقی از رفتار و وضعیت امنیتی اپلیکیشن‌های اندروید ارائه می‌دهد.\n\n### ✨ ویژگی‌های اصلی\n\n#### 🔍 **تحلیل ایستای پیشرفته**\n\n- **تحلیل مانیفست و مجوزها**: بررسی عمیق AndroidManifest.xml، مجوزهای خطرناک و بردارهای افزایش اختیارات\n- **تحلیل ساختار کد**: تحلیل فایل‌های DEX، نقشه‌برداری از سلسله‌مراتب کلاس‌ها، استخراج امضای متدها\n- **استخراج منابع**: دارایی‌ها، نقشه‌ها، رشته‌ها، طرح‌بندی‌ها با تطبیق الگوی هوشمند\n- **تحلیل گواهی**: تأیید امضای کد، اعتبارسنجی زنجیره گواهی، تحلیل مخزن اعتماد\n- **تشخیص رمزنگاری**: کلیدهای هاردکُد، الگوریتم‌های رمزگذاری، پیاده‌سازی‌های کریپتو\n- **هوش رشته‌ای**: استخراج URL، نقاط پایانی API، تشخیص اسرار، رمزگشایی رشته‌های مبهم‌شده\n- **اسکن قوانین YARA**: امضاهای بدافزار سفارشی، الگوهای رفتاری، طبقه‌بندی خانواده\n\n#### ⚡ **تحلیل زمان‌اجرای پویا**\n\n- **ابزاردهی مبتنی بر Frida**: هوک زمان‌واقعی متدها، پایش رفتار زمان‌اجرا\n- **تحلیل حافظه**: بررسی هیپ، استخراج پیلود، بازیابی کلید رمزگذاری\n- **پایش فراخوانی API**: فراخوانی‌های سیستم، فراخوانی‌های کتابخانه، ارتباطات بین‌پردازه‌ای\n- **دور زدن ضد تحلیل**: دور زدن تشخیص روت، طفره از دیباگر، دور زدن پین کردن SSL\n- **پروفایل رفتار زمان‌اجرا**: عملیات فایل، تعاملات پایگاه داده، تغییرات تنظیمات\n- **تشخیص تزریق پردازه**: تلاش‌های تزریق کد، بارگذاری پویا، فراخوانی‌های بازتابی\n\n#### 🌐 **تحلیل ترافیک شبکه**\n\n- **پشتیبانی از پروتکل**: HTTP/HTTPS، WebSocket، TCP/UDP، DNS، Firebase، gRPC، MQTT\n- **رهگیری ترافیک**: ضبط بسته در زمان واقعی، رمزگشایی SSL/TLS\n- **تشخیص ارتباط C2**: تشخیص الگوی فرمان و کنترل، تحلیل بیکن\n- **هوش دامنه**: تشخیص دامنه‌های مشکوک، تحلیل DGA (الگوریتم تولید دامنه)\n- **پایش استخراج داده**: ردیابی انتقال داده‌های حساس\n- **اثرانگشت‌گیری شبکه**: کشف سرویس، شناسایی پروتکل، اسکن آسیب‌پذیری\n\n#### 🧠 **هوش تهدید مبتنی بر هوش مصنوعی**\n\n- **تشخیص الگوی رفتاری**: تشخیص ناهنجاری مبتنی بر یادگیری ماشین\n- **طبقه‌بندی خانواده بدافزار**: طبقه‌بندی خودکار تهدید و تحلیل شباهت\n- **امتیازدهی خطر**: ارزیابی تهدید چندعاملی با معیارهای اطمینان\n- **تولید IOC**: استخراج خودکار شاخص‌های سازش\n- **انتساب تهدید**: نقشه‌برداری خانواده بدافزار، پروفایل‌سازی عامل\n\n#### 📊 **داشبورد وب و گزارش‌دهی**\n\n- **داشبورد HTML تعاملی**: تجسم تحلیل زمان‌واقعی با طراحی پاسخگو\n- **گزارش چندفرمته**: قابلیت صادرات JSON، XML، TXT، HTML و PDF\n- **مدیریت کار**: پردازش پس‌زمینه، مدیریت صف، ردیابی پیشرفت\n- **تحلیل مقایسه‌ای**: مقایسه جنب‌به‌جنب APK و تحلیل تفاضلی\n- **ردیابی تاریخی**: مدیریت جلسات تحلیل و تجسم خط زمانی\n- **API RESTful**: دسترسی برنامه‌نویسی برای خودکارسازی و یکپارچه‌سازی\n\n### 🚀 راهنمای نصب\n\n#### **نصب سریع**\n\n```bash\n# کلون کردن مخزن\ngit clone https://github.com/v74all/apass-aryx.git\ncd apass-aryx\n\n# ایجاد محیط مجازی\npython -m venv .venv\nsource .venv/bin/activate  # Linux/macOS\n\n# نصب وابستگی‌های پایتون\npip install -r requirements.txt\n\n# نصب ابزارهای Android SDK\n./scripts/tools/install_android_tools.sh\n```\n\n#### **پیکربندی پیشرفته**\n\n```bash\n# پیکربندی محیط تحلیل\ncp config.yaml.example config.yaml\ncp resources/analysis_config.json.example resources/analysis_config.json\n\n# استقرار سرور Frida روی دستگاه\nadb push resources/binaries/frida-server-* /data/local/tmp/frida-server\nadb shell chmod 755 /data/local/tmp/frida-server\n\n# تأیید نصب\npython apass-aryx.py status\n```\n\n### 📖 نمونه‌های استفاده\n\n#### **رابط خط فرمان**\n\n**تحلیل تک APK:**\n```bash\n# تحلیل کامل (ایستا + پویا + شبکه)\npython apass-aryx.py analyze sample.apk\n\n# فقط تحلیل ایستا\npython apass-aryx.py analyze sample.apk --engine unified --static-only\n\n# تحلیل پویا با هدف‌گیری دستگاه\npython apass-aryx.py analyze sample.apk --dynamic-only --device emulator-5554 --duration 180 --install\n```\n\n**پردازش دسته‌ای:**\n```bash\n# تحلیل چندین APK\npython apass-aryx.py batch /path/to/apk/directory --max-workers 4 --recursive\n\n# دسته پیشرفته با پیکربندی سفارشی\npython apass-aryx.py batch samples/ --engine advanced --timeout 600 --formats json,html\n```\n\n#### **رابط وب**\n\n**راه‌اندازی سرور وب:**\n```bash\n# سرور توسعه\npython web_app.py\n\n# استقرار تولید\npython apass-aryx.py web --host 0.0.0.0 --port 8080 --workers 4\n```\n\n**دسترسی داشبورد:**\n- **رابط اصلی**: `http://localhost:5000`\n- **داشبورد تحلیل**: `http://localhost:5000/status`\n- **مدیریت کار**: `http://localhost:5000/jobs`\n- **نقاط پایانی API**: `http://localhost:5000/api/`\n\n### 🔧 مدیریت پیکربندی\n\n#### **پیکربندی اصلی (config.yaml)**\n\n```yaml\nanalysis:\n  engine: \"auto\"                 # auto, unified, advanced\n  timeout: 300                   # مهلت تحلیل بر حسب ثانیه\n  report_formats: [\"json\", \"html\", \"txt\"]\n  retries: 2                     # تلاش مجدد تحلیل‌های ناموفق\n\nbatch:\n  max_workers: 4                 # کارهای تحلیل همزمان\n  recursive: true                # اسکن بازگشتی دایرکتوری\n  fail_fast: false              # ادامه در شکست‌های فردی\n\nweb:\n  host: \"0.0.0.0\"               # آدرس اتصال سرور وب\n  port: 5000                    # پورت سرور وب\n  debug: false                  # فعال‌سازی حالت اشکال‌زدایی\n\nlogging:\n  level: \"INFO\"                 # DEBUG, INFO, WARNING, ERROR, CRITICAL\n  file: \"apass-aryx.log\"        # مسیر فایل لاگ\n  console: true                 # فعال‌سازی لاگ کنسول\n```\n\n### 🛡️ امنیت و بهترین روش‌ها\n\n#### **محیط تحلیل امن**\n- **اجرای ایزوله**: محیط‌های تحلیل مبتنی بر VM/کانتینر\n- **بخش‌بندی شبکه**: دسترسی کنترل‌شده شبکه در طول تحلیل پویا\n- **قرنطینه آرتیفکت**: مدیریت امن محتوای احتمالاً مخرب\n- **کنترل دسترسی**: دسترسی مبتنی بر نقش به نتایج تحلیل و داده‌های حساس\n\n#### **رهنمودهای استفاده اخلاقی**\n- **مجوز**: فقط APKهایی را تحلیل کنید که قانوناً مجاز به بررسی آن‌ها هستید\n- **حریم خصوصی داده**: پیاده‌سازی مدیریت مناسب داده برای اطلاعات حساس استخراج‌شده\n- **افشای مسئولانه**: پیروی از روش‌های افشای هماهنگ آسیب‌پذیری\n- **انطباق قانونی**: اطمینان از انطباق با قوانین و مقررات محلی\n\n### عملکرد و مقیاس‌پذیری\n\n#### **نیازمندی‌های سیستم بر حسب مقیاس**\n\n**مقیاس کوچک (1-10 APK در روز)**:\n- CPU: 4 هسته، 8GB RAM\n- ذخیره‌سازی: 100GB SSD\n- شبکه: اتصال اینترنت استاندارد\n\n**مقیاس متوسط (10-100 APK در روز)**:\n- CPU: 8 هسته، 16GB RAM\n- ذخیره‌سازی: 500GB NVMe SSD\n- شبکه: اینترنت پرسرعت با شکل‌دهی ترافیک\n\n**مقیاس بزرگ (100+ APK در روز)**:\n- CPU: 16+ هسته، 32GB+ RAM\n- ذخیره‌سازی: 1TB+ NVMe SSD با پشتیبان‌گیری\n- شبکه: شبکه تحلیل اختصاصی با پایش\n\n---\n\n## 🤝 مشارکت در توسعه\n\nما از مشارکت در APASS ARYX استقبال می‌کنیم! لطفاً:\n\n1. مخزن را فورک کنید\n2. شاخه ویژگی ایجاد کنید\n3. تغییرات خود را اعمال کنید\n4. در صورت لزوم تست اضافه کنید\n5. درخواست کشش ارسال کنید\n\n### منابع و پیوندها\n\n- **مستندات پروژه**: [docs/](docs/)\n- **ردیاب مسائل**: [GitHub Issues](https://github.com/v74all/apass-aryx/issues)\n- **یادداشت‌های انتشار**: [CHANGELOG.md](CHANGELOG.md)\n- **راهنمای مشارکت**: [CONTRIBUTING.md](CONTRIBUTING.md)\n\n### 🧩 یکپارچه‌سازی ابزارهای خارجی اختیاری\n\nAPASS ARYX می‌تواند از ابزارهای مختلف در صورت وجود استفاده کند:\n\n- **Androguard (Python)**: بینش مانیفست، مجوزها، گواهی‌ها\n- **APKiD (CLI)**: تشخیص پکر/مبهم‌ساز/امضا\n- **Quark Engine (CLI)**: قوانین رفتاری؛ گزارش‌ها تحت آرتیفکت‌های تحلیل ذخیره می‌شوند\n- **YARA (yara-python)**: اسکن با استفاده از قوانین در `resources/yara/**`\n- **MobSF (REST)**: تنظیم متغیر محیط برای فعال‌سازی اسکن API\n  - MOBSF_URL (مثل \u003chttp://127.0.0.1:8000\u003e)\n  - MOBSF_API_KEY\n- **VirusTotal (REST)**: جستجوی هش از طریق VT v3 API\n  - VT_API_KEY\n- **AVClass (CLI)**: عادی‌سازی برچسب‌های AV با استفاده از نتایج VT\n- **Cutter + r2frida، Ghidra، Qiling**: حضور برای پیگیری دستی تشخیص داده می‌شود\n\n### ⚠️ تکذیب‌نامه\n\nAPASS ARYX فقط برای اهداف مشروع پژوهش امنیتی و آموزشی در نظر گرفته شده است. کاربران مسئول اطمینان از انطباق استفاده خود با قوانین و مقررات قابل اجرا هستند. نویسندگان مسئولیتی در قبال سوء استفاده از این ابزار ندارند.\n\n### 📜 مجوز\n\nحق نشر محفوظ است (All Rights Reserved). کپی‌برداری، توزیع یا تغییر این نرم‌افزار بدون اجازهٔ کتبی صاحب اثر ممنوع است. مشارکت برای ارتقا و بهبود پروژه پذیرفته می‌شود و ارسال هرگونه مشارکت به‌منزلهٔ واگذاری غیرانحصاری حقوق لازم برای ادغام در پروژه طبق شرایط فایل `LICENSE` است.\n\n### 👤 نویسنده\n\n**نویسنده**: Aiden Azad — برند V7lthronyx\n\n- **GitHub**: \u003chttps://github.com/v74all\u003e\n- **YouTube**: \u003chttps://youtube.com/@v7lthronyx\u003e\n- **Instagram**: \u003chttps://instagram.com/v7lthronyx.core\u003e\n\n---\n\n*APASS ARYX - افشای تهدیدها، حفاظت از سیستم‌ها.*\n\n\"هیچ نقابی نمی‌تواند پنهان شود. APASS ARYX از میان می‌بیند.\"\n","project_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fv74all%2Fapass-aryx","html_url":"https://awesome.ecosyste.ms/projects/github.com%2Fv74all%2Fapass-aryx","lists_url":"https://awesome.ecosyste.ms/api/v1/projects/github.com%2Fv74all%2Fapass-aryx/lists"}