你是否曾面对一个没有源码的安卓APP,想快速搞清它调用了哪些后端接口?是否在做安全审计、竞品分析或自动化测试时,被混淆的代码和分散的网络请求搞得焦头烂额?这款专为Claude Code打造的开源技能工具,能自动反编译APK/XAPK/JAR等文件,并智能识别Retrofit、OkHttp等主流框架中的真实HTTP接口——从登录地址到数据上报路径,全部结构化呈现,让逆向分析从“猜谜游戏”变成“文档工程”。
核心功能
- 多格式一键反编译:原生支持APK、XAPK、JAR、AAR文件,底层集成jadx(主力)与Vineflower/Fernflower(可选对比),兼顾速度与可读性
- 精准API自动提取:不止找URL字符串,还能识别Retrofit注解(@GET/@POST)、OkHttp Call构建链、硬编码Token及认证头(Authorization、Cookie等)
- 调用链路可视化追踪:从Activity或Fragment出发,自动串联ViewModel、Repository、Retrofit Service等组件,清晰展示“用户点击→数据加载→网络请求”的完整路径
- 架构与行为深度分析:解析AndroidManifest.xml获取权限/组件信息,扫描包结构识别MVVM/MVI等模式,标注ProGuard/R8混淆后的关键类与方法
- 混淆代码友好处理:提供命名映射建议、字符串解密线索提示、常见加固壳绕过参考,降低阅读混淆代码的认知门槛
- 结果结构化输出:生成带分类标签(登录/支付/埋点)、参数说明、示例请求的Markdown文档,直接用于接口文档编写或Postman导入
适合哪些人用
这款工具特别适合三类中文开发者:一是移动安全研究员,快速定位APP敏感接口与数据泄露风险;二是开发者体验(DX)工程师,在无SDK文档时逆向竞品实现逻辑,设计更兼容的对接方案;三是高校师生与自学逆向者,它把复杂的dex→smali→Java流程封装成自然语言指令,配合Claude Code的对话式交互,大幅降低学习曲线。哪怕你只懂基础Java,也能在10分钟内跑出第一个API报告。
快速上手
无需配置复杂环境!只需两步:
① 在Claude Code中打开插件市场,执行命令:/plugin marketplace add SimoneAvogadro/android-reverse-engineering-skill
② 将你的APK/XAPK文件拖入对话框,输入类似“请分析这个APP的所有网络请求,并列出所有带Bearer Token的接口”即可获得结构化报告。
如需更高精度,可按README指引安装jadx(必需)及Vineflower(推荐),整个过程5分钟内完成。Windows/macOS/Linux全平台支持,中文界面无缝适配。
项目信息
Claude Code skill to support Android app’s reverse engineering
编程语言:Shell(核心调度)| Star数:2778| 开源协议:Apache-2.0| GitHub 项目地址
这是一款真正将AI能力与逆向工程深度结合的实用工具——它不替代你的思考,而是把你从重复的反编译、搜索、拼接工作中解放出来,专注在真正的技术判断上。
