官方bilibiliWindows破解入门Android逆向入门
【网络诊断修复工具】切换到窄版

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn»网站 【 病毒分析 】 『病毒分析区』 小白第一次尝试清除root锁机(密码破解持续更新中)
12345678910... 15下一页
返回列表 发新帖
查看: 36448|回复: 142
收起左侧

[移动样本分析] 小白第一次尝试清除root锁机(密码破解持续更新中)

    [复制链接]
轻描淡写9714
轻描淡写9714 发表于 2018-7-11 11:07
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 轻描淡写9714 于 2018-7-13 18:03 编辑

逛论坛那么久,经常会看到许多大佬关于root锁机软件的破解,身为小白的我开始跃跃欲试。


偶然间看到一个求助帖:https://www.52pojie.cn/thread-762684-1-1.html
那么 第一次破解经历就用它来练手。

用到的工具为 笔记本Windows10 ,adb 工具,夜神模拟器(PS:逍遥模拟器锁机后,就连接不上adb了,不知为啥,猜测应该是病毒关闭了USB调试口)  因为没有学过逆向分析,对Java不是很精通,只能做到清除病毒文件。个人能力有限。
TIM图片20180711101933.png

常规流程,扔进Android Killer 里分析。
TIM图片20180711102149.png

TIM图片20180711102428.png 出现这个提示就很尴尬了,束手无策


那就 扔到模拟器里跑一下试试。
TIM图片20180711102645.png

可以确定,这又是一个伪装成外挂的锁机软件。肯定需要root权限对设备进行控制。 TIM图片20180711102645.png
TIM图片20180711102938.png




赋予root权限后,设备自动重启。重启后进入锁机界面。
TIM图片20180711103239.png 第一次发帖,不知道这个算不算留了联系方式。或者应该打个马赛克???


常规操作,adb 连接(需要先重启一下模拟器)
TIM图片20180711103833.png        已经连接成功了


然后呢,走通用路线进入 adb shell 执行am force-stop XXXXX                                //强行停止XXX命令。
发现只能短暂的进入桌面后,再次回到锁机界面。
然后去百度 , 发现一个更好用的命令 kill pid xxx 杀掉进程。


==以下就是自己研究可行的方式了==
(1) adb shell 命令
(2) ps      命令     // 查看当前进程项目,类似于Windows的任务管理器

TIM图片20180711104431.png

在目录中可以找到 一个奇怪的命名文件 android.liang.xia,按道理说这应该是Android的自带应用程序,但很奇怪,找到PID杀一下试试,反正是模拟器。
(3)kill pid xxx           //杀进程命令,此处进程值为 706
TIM图片20180711104840.png

执行kill pid 706 后,模拟器成功的进入了桌面

TIM图片20180711105022.png
即使卸载这个App也没用, 都知道的,只是一个外壳而已,并不是本体


(4)那就用另外一个命令 adb shell pm list packages -f // 获取设备安装列表和安装路径。
(PS:在执行这个命令前 先exit 命令一下,退出Adb shell 模式)
TIM图片20180711105408.png

然后就是个人的习惯了,不想一个一个找,全部复制到txt中,Ctrl F 一下
TIM图片20180711105655.png   找到了那个奇怪的包名,前面的路径竟然指向另一个包。


(5)那就用adb unintstall heiye.apk 命令删除,提示Failture。。。
应该是应用权限过高,若不是请各位指正。
那就用 re文件管理器 或者其他的root管理器,进入system/app 目录中删除heiye.apk文件。我的设备提示操作失败但还是删除了。然后删除外面的那个外壳。重启系统。


2018.7.12更新:
另外一种删除的方法,在adb shll 下,cd system/app/
然后,rm heiye.apk(病毒的父类文件)
病毒就被完全清除了。


(6)重启设备后正常使用 ,执行第二 、四步骤的命令,发现已经完全卸载干净了。


我深刻明白这并不是最好的解决方法,刷机才是最好的方法, 或者这个方法对于 实体机 没有用。因为没有在实体机上测试过。此方法仅供参考。大佬勿喷!




==========上面讲怎么清除所及文件,下面就开始聊聊如何去破解锁机密码=============
7.13更新:
在程序释放病毒后,可以通过ADB pull 命令将病毒程序提取出来,具体使用为:
(1)adb pull system/app/heiye.apk D:\test   // adb pull + Android 目录下的XX文件 + 空格 + 电脑目录 (将要存放的地址,不能是磁盘下的根目录)
(2)将提取出来的程序扔进Android Killer里,查看入口。
(3)用压缩软件打开heiye.apk,将classes.dex提取出来,(我用的是7Zip),然后把这个文件扔到JEB
2中去。
PS:善意提醒,在CMD命令下检查java , javac 两个命令是否可用。此程序依赖Javac函数。

TIM图片20180713174557.png

TIM图片20180713174204.png

TIM图片20180713174734.png

(4)找到入口函数后,右键选择Decompile 选项,就能把smail转化成为Java语句了,再去分析。如果你会Smail语句的话,就直接打开就行了,不需要转换。
TIM图片20180713175345.png



因为我对逆向根本不会,没有学过Android,主要从事Java,C和C++的学习和开发,所以更新较慢,在边学边做。不对的地方,请各位指正。



未完待续。。。。







点评

天云草丶少主
那个狗比的QQ,加他喷死他!https://user.qzone.qq.com/811831909/infocenter  发表于 2018-7-13 07:12

免费评分

参与人数 47威望 +2 吾爱币 +55 热心值 +47 收起 理由
gaohan1 + 1 + 1 谢谢@Thanks!
vinwell369 + 1 热心回复!
Laoyao + 1 + 1 欸嘿~小白也看懂了
愚弄者fff + 1 + 1 我很赞同!
siuhoapdou + 1 + 1 谢谢@Thanks!
sam43125 + 1 + 1 我很赞同!
RoB1n_Ho0d + 1 + 1 用心讨论,共获提升!
我是小白123 + 1 + 1 热心回复!
Tien丶Hsin + 1 + 1 谢谢@Thanks!
houxi + 1 + 1 此人电话:15605488291
hyk7299 + 1 + 1 我很赞同!
qtfreet00 + 2 + 12 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
豪气冲天 + 1 + 1 我很赞同!
q987886 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
tlfjiezi + 1 + 1 谢谢楼主,分析透彻,一目了然!!
wuwuwu123 + 1 + 1 热心回复!
gink + 1 + 1 热心回复!
jishuwang + 1 + 1 谢谢@Thanks!
qwer1193 + 1 + 1 用心讨论,共获提升!
1431016594 + 1 + 1 谢谢@Thanks!
千百度° + 1 + 1 用心讨论,共获提升!
rui1220 + 1 谢谢@Thanks!
silvanevil + 1 + 1 谢谢@Thanks!
爱凤凤呦 + 1 + 1 热心回复!
xztyx + 1 热心回复!
WqiancangQ + 1 + 1 热心回复!
洪飞888 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Imkgdestiny + 1 + 1 用心讨论,共获提升!
MW1314 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
burt_ln + 1 + 1 我很赞同!
Max.tAop + 1 + 1 用心讨论,共获提升!
鹤叔叔 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
laoda1228 + 1 我很赞同!
zym8058 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Ouyang520 + 1 + 1 热心回复!
lsyAndroid + 1 + 1 热心回复!
sun12139 + 1 + 1 谢谢@Thanks!
xupeilun2018 + 1 + 1 我很赞同!
sgx458208964 + 1 + 1 谢谢@Thanks!
zuiai125520 + 2 + 1 讲的很好 支持下
独行风云 + 1 + 1 用心讨论,共获提升!
繁天星宇 + 1 + 1 我很赞同!
从前书信很远 + 1 + 1 我很赞同!
太上舞殇 + 1 + 1 楼主这个很适合小白自己使用,cb热心都给了,希望有大神可以给一个技术型的.
aerofsm + 1 + 1 鼓励转贴优秀软件安全工具和文档!
myheartwillg + 1 + 1 万能的解决办法
樱落丶未央 + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
回复

举报

轻描淡写9714
 楼主| 轻描淡写9714 发表于 2018-7-11 20:44
只是陌生而已 发表于 2018-7-11 19:55
其实只要不是那么智障相信各种不可能的东西 都是不会被锁机的233333333333

对于非外挂类型的病毒依然很多,甚至没有root都会中招。说用户智障,是不是不妥?
【吾爱破解论坛总版规】 - [让你充分了解吾爱破解论坛行为规则]
回复 支持 1

举报

癄慂
癄慂 发表于 2018-7-11 11:20
吾爱破解论坛没有任何官方QQ群,禁止留联系方式,禁止任何商业交易。
第三方rec删掉那apk部行?
如何升级?如何获得积分?积分对应解释说明!
回复 支持 1

举报

minyun
minyun 发表于 2018-7-11 11:15
《站点帮助文档》有什么问题来这里看看吧,这里有你想知道的内容!
谢谢楼主分享。
呼吁大家发布原创作品添加吾爱破解论坛标识!
回复 支持

举报

轻描淡写9714
 楼主| 轻描淡写9714 发表于 2018-7-11 11:21
癄慂 发表于 2018-7-11 11:20
第三方rec删掉那apk部行?

没有在实体机上试验过。理论上OK的。
如何快速判断一个文件是否为病毒!
回复 支持

举报

ayliuhy
ayliuhy 发表于 2018-7-11 11:34

谢谢楼主分享
回复 支持

举报

kumwingchiu
kumwingchiu 发表于 2018-7-11 11:48
进来学习一下经验,平时还是不要乱安装软件好
回复 支持

举报

番茄炒西红柿1
番茄炒西红柿1 发表于 2018-7-11 11:51
同为小白  以你为荣
回复 支持

举报

aerofsm
aerofsm 发表于 2018-7-11 11:59
我也遇到过
回复 支持

举报

yssun
yssun 发表于 2018-7-11 12:19
同是九年义务教育,楼主啥这么优秀。
回复 支持

举报

ytfrdfiw
ytfrdfiw 发表于 2018-7-11 12:20
谢谢分享。赞一个。
回复 支持

举报

下一页 »
12345678910... 15下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-4-20 04:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表