[开源] 纯 Go 写的 Android 极速溯源神器： 1 秒揪出流氓 SDK 的隐私违规调用

大家好，

今天开源一个比较硬核的工具：dexfinder。 它是一个跨平台的高性能 APK/DEX 引用查找器与调用链追踪工具。

开源地址：https://github.com/JuneLeGency/dexfinder

痛点与背景： 做 Android 开发或者安全合规的同学一定经历过这种痛苦： App 因为“违规收集 MAC 地址 / IMEI”被各大应用市场甚至工信部通报下架。 为了甩锅（或者修 Bug ），我们常常要把几百兆的 APK 拖进 JADX 里，卡上大半天，再去全局搜索 getDeviceId。 而很多时候搜索出来的结果是 A 调用了 B ，B 调用了 C… 或者全是一堆被混淆的代码（a.b.c()），甚至还有流氓 SDK 用“反射+字符串”来隐藏调用。

dexfinder 是如何解决这个问题的？ 受 Google 官方 veridex 工具的启发，我用 Go 语言彻底重写了底层 DEX 解析引擎，抛弃了笨重的 JVM ，纯静态扫描，速度极快（毫秒级）。

核心杀手级功能：

1. 多层调用链追踪 (N-level Tracing)： 只需一行命令：dexfinder --dex-file app.apk --query "getDeviceId" --trace --depth 8 它会瞬间画出一棵树（或扁平列表），清晰地告诉你：是哪个类的哪个方法，在第几层触发了这次敏感调用。
2. 自带反混淆支持： 传入 mapping.txt，自动把调用树里的 a.b.c() 还原成真实的 com.example.Utils.getIMEI()。
3. 反射与隐藏 API 检测： 自动交叉匹配“类名”和“字符串”，精准揪出通过反射暗中调用系统 Hidden API 的流氓行为。
4. 零依赖，跨平台： 纯 Go 编译成的单一二进制文件，不需要装 Java ，Mac / Linux / Win 直接跑。

如果你经常分析巨型 APK 、做隐私合规排查、或者进行逆向安全分析，这个工具绝对能帮你省下几个小时的生命。

欢迎大家下载体验并点个 Star ⭐️ 支持一下！如果有 Bug 或者功能建议，也欢迎提 Issue 。 (安装方法：Mac/Linux 用户直接 brew tap JuneLeGency/tap && brew install dexfinder)