【会员申请】申请ID:风~陵【申请通过】

1、申请ID:风~陵
2、个人邮箱:1143617983@qq.com

对一个简单的锁机软件分析
APP的信息就不贴出来了，
软件是网上看到的，分析工具是手机加apktool与apktool助手。下面开始，拿到锁机发现他是一个正常的软件，根据经验真正的锁机应该藏在assets文件夹下，果然发现了一个异常的once.txt文件，大小超过456kb，打开全是乱码，这应该就是真正的锁机了，重命名apk果然正确，

使用apktool进行反编译得到smali文件，直接进入入口文件，发现oncreate函数中启动了一个服务，



好跟进找到服务的文件，（这个作者真垃圾，复制了一堆没有的代码）进入service的代码文件中寻找发现很乱的代码，基本没什么用处。凭借经验有密码就应该有比较，直接全局搜索equals发现了多处调用，有一处的调用是在service的内部类中，就是它了进入，直接查看本文件的函数列表，发现了onclick函数，距离目标又进一步了，
有经验的已经从图片中看到了结果，但是还得说一下，调用gettext()过去输入框的密码与字符串com.aide比较然后调用removeview移除



，好了整个分析就这，样本虽然简单没什么技术含量，但是也是辛苦啊所以就不对图片进行编辑了，，希望能通过
再加多一个多次分析锁机得到的经验，现在发现锁机都是隐藏在正常应用中，锁机作者反编译正常应用然后加入名为Xbox的smali文件，这个文件我就简单解释下，获取权限把锁机软件改名，放到system/app目录下然后关机。
在正常应用中的入口函数也就是oncreate中加入下面这几句代码就可以调用xbox的代码了
    invoke-static {}, LXbox/proc;->thisc()LXbox/proc;

    move-result-object v0

    invoke-virtual {p0}, Lcom/hexamob/hexamobrecoverypro/Intro;->getApplicationContext()Landroid/content/Context;

    move-result-object v1

    invoke-virtual {v0, v1}, LXbox/proc;->rootShell(Landroid/content/Context;)V。
分析就这样了，样本就不发出来了，如果重复发帖了，希望H大不介意，因为我是用手机发帖的，发的时候什么反映都没有，不知道到底发没有，所以我就多发了几次，理解理解

Hmily

ID：风~陵
邮箱:1143617983@qq.com

申请通过，欢迎光临吾爱破解论坛，期待吾爱破解有你更加精彩，ID和密码自己通过邮件密码找回功能修改，请即时登陆并修改密码！
登陆后请在一周内在此帖报道，否则将删除ID信息。

ps：过程有些简单，希望加入后能更上一层楼，最后登录后把文章整理一下发布到病毒分析区吧。

mengzhenhai

恭喜申请通过   请尽快报道   

Rodolf

恭喜通过 请尽快报道， 52因为有你更精彩！

旧城迷梦

恭喜啊 但是这英文的看不懂

风~陵

报到！谢谢H大了

nmsl

恭喜申请通过   请尽快报道   

风~陵

再次报到！