{"id":2163,"date":"2026-01-24T13:45:30","date_gmt":"2026-01-24T12:45:30","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/apk-sh-le-couteau-suisse-qui-simplifie-le-reverse-engineering-android\/"},"modified":"2026-01-24T13:45:30","modified_gmt":"2026-01-24T12:45:30","slug":"apk-sh-le-couteau-suisse-qui-simplifie-le-reverse-engineering-android","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/apk-sh-le-couteau-suisse-qui-simplifie-le-reverse-engineering-android\/","title":{"rendered":"apk.sh – Le couteau suisse qui simplifie le reverse engineering Android"},"content":{"rendered":"

L’autre jour, je m’amusais \u00e0 regarder ce qu’une petite application Android que j’avais install\u00e9e
\nenvoyait comme infos \u00e0 ses serveurs<\/a>
\n, et j’ai encore gal\u00e9r\u00e9 avec une tripot\u00e9e d’outils diff\u00e9rents. Entre ADB pour r\u00e9cup\u00e9rer le fichier, Apktool pour le d\u00e9sassembler, Jadx pour lire le code et les scripts de signature \u00e0 rallonge, y’a de quoi se taper la t\u00eate contre les murs. On est en 2026, et le reverse engineering Android ressemble encore parfois \u00e0 de la sp\u00e9l\u00e9ologie sans lumi\u00e8re dans une grotte remplie de goudron.<\/p>\n

Puis c’est l\u00e0 que je suis tomb\u00e9 sur apk.sh<\/strong>, et \u00e7a m’a sauv\u00e9 ma soir\u00e9e. C’est un script Bash tout simple, mais qui joue le petit chef d’orchestre pour automatiser toutes les t\u00e2ches les plus chiantes : le pull, le d\u00e9codage, la reconstruction, le patching et le renommage d’APK. \u00c7a vous m\u00e2che le travail sur toute la partie technique pour que vous n’ayez plus qu’\u00e0 faire un petit adb install<\/code> \u00e0 la fin… et voil\u00e0 ! (Sans les “Trenti anni di qualit\u00e0”, \u00e9videmment ^^)<\/p>\n

Le truc cool, c’est qu’il ne se contente pas de faire du “pull” et du “decode”. Il g\u00e8re \u00e9galement nativement l’injection de \ngadgets Frida<\/a> \npour faire de l’instrumentation dynamique, et \u00e7a, c’est vraiment le pied pour ceux qui veulent voir ce qui se passe en m\u00e9moire sans s’arracher les cheveux. Il peut m\u00eame patcher automatiquement la configuration de s\u00e9curit\u00e9 r\u00e9seau pour vous permettre d’intercepter le trafic HTTPS plus facilement. Par contre attention, si l’appli utilise du certificate pinning bien costaud, \u00e7a servira \u00e0 QUE DALLE.<\/p>\n

Si vous avez d\u00e9j\u00e0 essay\u00e9 de \nd\u00e9compiler un APK et de le recompiler<\/a> \n, vous savez que la moindre erreur de signature ou d’alignement et c’est le drame. Ici, l’outil s’occupe de tout avec apksigner<\/code> et zipalign<\/code> de mani\u00e8re transparente. Et pour les plus barbus d’entre vous, il permet m\u00eame de modifier directement le bytecode DEX via les fichiers smali pour \u00e9viter les bugs de d\u00e9compilation Java qui font parfois pleurer un admin sys.<\/p>\n

Pas besoin d’\u00eatre root pour la plupart des fonctions, et il g\u00e8re m\u00eame les fameux bundles (AAB) que Google Play impose d\u00e9sormais et qui se transforment en “split APKs” une fois sur votre t\u00e9l\u00e9phone. En gros, vous faites un pull<\/code> pour r\u00e9cup\u00e9rer et fusionner tout \u00e7a en un seul APK, puis un decode<\/code> pour obtenir un dossier tout pr\u00eat \u00e0 \u00eatre explor\u00e9.<\/p>\n

C’est typiquement le genre d’outil que j’aurais aim\u00e9 avoir \u00e0 l’\u00e9poque o\u00f9 je vous parlais d’Androguard pour \nanalyser des malwares Android<\/a> \n. On gagne un temps de fou malade et on peut se concentrer sur ce qui nous int\u00e9resse vraiment dans la vie, c’est \u00e0 dire le fromage \u00e0 raclette et la sieste<\/del> comprendre comment ces applis nous pompent nos donn\u00e9es ou juste changer la couleur d’un bouton pour le plaisir (ou des trucs qui vous enverront en zonzon ^^).<\/p>\n

Bref, si vous aimez mettre les mains dans le cambouis Android, allez jeter un \u0153il \u00e0 ce projet pour vos prochaines sessions de reverse.<\/p>\n

\nA d\u00e9couvrir ici<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"