吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 26521|回复: 10
收起左侧

[移动样本分析] 一个简单锁屏样本的分析【锁机生成器】

[复制链接]
PJ头狼 发表于 2016-12-20 15:58
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 PJ头狼 于 2016-12-20 16:03 编辑

这个样本之前有大神已经大致的分析结果了,不过没有给出详细的分析过程:一款比较顽固的手机锁屏木马  分析

今天自己对这个样本也做了分析,给出了分析步骤,希望可以给没有的基础的一些分析思路,应该不算是重贴吧。。。

样本在:一款比较顽固的手机锁屏木马

这是一个叫“锁机生成器”的坑,运行后如下:

1.png


很明显地要求root权限,算是黑吃黑吧,输入信息后,点击确定,给root权限,重启了。。。。结果锁屏了。。。。


现在来对这个锁屏apk进行分析

首先打算将apk放到JEB上进行反编译,结果出错,反编译不了;那就尝试解压apk拿到class.dex,成功从dex获得java源码:

2.png


两个包的源码是相同的,这里由于没法对整个apk进行反编译,想尝试用Android Killer来得到apk的manifest.xml也是不行的,所以没法得到apk的总体情况,不过不影响对样本的分析,从源码也可以看到,没有进行混淆,现在直接对com.binge.suoji下的MainActivity这个类进行分析,锁定onCreate():

3.png


其中重要的是按钮的监听事件,以及注释的那个函数的调用,双击进入看一下:

4.png


这个d()方法就是将asset目录下的ijm-x86.so拷贝到/sdcard/binge.1,这里是包中有包,伪装为爱加密的so,下边来看按钮监听事件完成了那些操作:

5.png


接着就是rootshell()了:
6.png


执行了一系列命令!
mount -o rw,remount /system  //重新将/system挂载为可读写
mount -o rw,remount /system/app  //同上
cp /sdcard/binge.l /system/app/   //binge.1复制到/system/spp
chmod 777 /system/app/binge.l  //该文件权限
mv /system/app/binge.l/system/app/binge.apk   //改为apk
chmod 644 /system/app/binge.apk    //改权限。。。。
reboot  //重启!
从这些命令可以看出so其实就是一个apk,重载/system的只读属性,将apk写到/system/app,成为系统apk,然后重启啦。

现在便是对ijm-x86.so这个apk进行分析啦,照样没法对整个apk进行反编译,解压取出clase.dex进行分析:
7.png

继续锁定MainActivity下的onCreate():

8.png


这里实现的是启动service:nue.xin.lockphone.nuexin,看一下这个service的onCreate():

9.png

现在就是这个布局的按钮监听事件所做的响应操作了:

10.png


可以看出这个解锁密码很简单就可以得到,就是20020219了。

之后就是对残余apk进行清理了,这不只是删除在界面中的“锁机生成器”就得了,还需要将为写入到/system/app下的锁屏apk清除掉,用adb来删除,到/system/app目录下
11.png

不过通常系统重启,/system又变为只读属性:
12.png


所以还重新挂载,改为可读写,再进行清除:
13.png



免费评分

参与人数 5威望 +2 热心值 +5 收起 理由
绍离 + 1 我觉得被这个锁机锁了的真是活该,害人先害己
h080294 + 1 谢谢@Thanks!
Hmily + 2 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
颠峰娱乐 + 1 用心讨论,共获提升!
ttmmxx + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

影佑 发表于 2016-12-20 16:22
高深莫测一脸懵逼加迷茫
1204376616 发表于 2016-12-20 16:45
回归自然 发表于 2016-12-20 20:45
h080294 发表于 2016-12-21 17:51
写的非常细致啊,适合我这样没有思路的新手,打算跟着练习一下,非常感谢
hacksky 发表于 2016-12-21 20:51
思路简单明了~厉害
13235699629 发表于 2016-12-22 00:45 来自手机
高深莫测一脸懵逼加迷茫
头像被屏蔽
赵大粪 发表于 2016-12-22 07:50 来自手机
提示: 作者被禁止或删除 内容自动屏蔽
13419082695 发表于 2016-12-22 08:07 来自手机
收藏了。。。。
变态老大叔 发表于 2016-12-22 09:50
膜拜大佬
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 15:35

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表