吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2854|回复: 32

[移动样本分析] 首次发帖,简单锁机破解

  [复制链接]
顺利毕业 发表于 2019-3-2 17:37
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
以游客身份闲逛吾爱有一些日子了,昨天才第一次进行注册,肥肠激动,也想跟大家分享一下分析过的恶意软件。第一次发帖,如有不当的地方,还请大家提出来,谢谢~ 分享的这个软件,是属于比较常规的锁屏型勒索软件了,论坛里相关样本的分析也有不少,有些大神的操作我至今还没看懂,惭愧。。

1、该软件的SHA-256为4e0b5042e86aacfed5df37b37e7837ca7a53d8021f21c677dfc6627687918403,首先是该软件的图标及应用名,代表月亮消灭。。。

图标.png



2、不出意外呢,这个恶意软件应该会申请设备管理器,那我们就配合它,允许它激活:

激活设备管理器.png



3、激活后,马上就出现了勒索界面,非常干脆。内容也很简洁,QQ号以及解锁序列号:

勒索界面.png



4、退出是没法直接退出了,不然怎么够格当勒索软件呢。若手机有允许adb操作的话,该样本是可以用adb来解决的;若不允许adb的话,后面也有另一种小白解决法。

一、首先是adb解决:

1、先查看勒索软件的包名。由于该勒索软件属于输入解锁码解锁的勒索,故勒索界面必然是具有焦点的界面,故可用命令adb shell dumpsys window | grep Focused来常看当前具有焦点的窗口,从下面的解图可以看出该勒索软件的包名为com.xcxksj:

dumpsys.png

当然,也可以使用adb shell dumpsys activity之类的命令来确定勒索软件的包名,其实都是一样的。



2、获得包名后,我们就可以强制停止这个软件了,使用命令adb shell am force-stop com.xcxksj,手机暂时恢复了自由。为什么说是暂时呢,尝试卸载该软件就可以发现啦。由于前期我们允许该软件激活设备管理器,那么在卸载它之前就必须先取消激活:

卸载1.png

卸载2.png

取消激活.png

但这是勒索软件不能容忍的事,于是它把手机暂时锁了,黑屏了,同时修改了PIN码:

修改PIN.png

3、在adb允许的情况下,rm /data/system/password.key是常规的操作了,解开手机后再次对其手动卸载即可,或者使用adb uninstall也行,看个人习惯了。

二、小白法破解密码

1、在adb无法使用的情况下,那就乖乖输入解锁码跟PIN码吧。为了下面的演示,重新再安装一次这个软件,记住此时的解锁序列号位78733279,解锁码必然跟着个序列号有关,QQ号就暂时不管啦:

第二次安装.png

2、首先,将样本拖入JEB,找到产生解锁序列号的位置,随后就是利用该序列号计算解锁码的过程:

源码1.png

3、暂且先不管具体是如何计算的,我使用的方法比较小白,应该说纯小白~把这部分代码复制到Android Studio里,调用的class啥的也都复制进去,在Android Studio报错的地方稍作修改即可,并且把解锁序列号直接填上:

代码1.png

4、跑一下,可以看到解锁码为78733278,是不是跟序列号很像。再实验几次就会发现,其实解锁码就是序列号减一。。。

解锁码.png

5、解锁码搞定了,接下来就是PIN码了,同样的操作,先找到重置PIN码的代码,一般来说搜resetpassword就行,可以看到PIN码的生成与raw目录下的pin.txt有关:

源码2.png

6、那我们就把pin.txt提取出来,放到Android Studio里,给它放在一样的位置,然后就是复制代码了,跑一下出来结果,PIN码是3777:

代码2.png

以上两个方法是比较常规的方法了,可以用来应付类似的勒索软件。

当然,这些都还只是皮毛,在破解密码时所作的操作只是简单的复制黏贴,让大神见笑了。

第一次发帖还是很激动的,还要学习的有很多,大家一起加油呀。

免费评分

参与人数 6吾爱币 +11 热心值 +5 收起 理由
人间值得 + 1 我很赞同!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
GLZ不善言辞 + 1 鼓励转贴优秀软件安全工具和文档!
as81165015 + 1 用心讨论,共获提升!
willJ + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
liphily + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 顺利毕业 发表于 2019-3-3 10:31
UC小松鼠 发表于 2019-3-3 10:08
这种来路不明的软件我一般都是在红手指或者手机分身上安装

之前我只知道蓝叠跟网易mumu,以后有新选择了,谢谢你~
可怜一溪风月 发表于 2019-3-24 19:55
顺利毕业 发表于 2019-3-24 09:40
你在网上查一下,有很多介绍呢。直接百度就行

我在命令行里运行adb.exe结果显示一堆东西,然后就退出来了,
逗比苏、 发表于 2019-3-3 07:51 来自手机
神座.出流 发表于 2019-3-3 08:37
学习了 谢谢lz的教程
TQFCGUAN 发表于 2019-3-3 09:01

好东西,感谢分享
7plang 发表于 2019-3-3 09:26
这玩意恶心 锁机
UC小松鼠 发表于 2019-3-3 10:08 来自手机
这种来路不明的软件我一般都是在红手指或者手机分身上安装
UC小松鼠 发表于 2019-3-3 10:09 来自手机
而且安装之前,所有后手全部准备。。以防万一
丁丁历险记 发表于 2019-3-3 10:20
感谢分享
 楼主| 顺利毕业 发表于 2019-3-3 10:23
第一次发帖,排版乱成这样,哭。。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 提醒:禁止复制他人回复等『恶意灌水』行为,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2019-4-26 00:03

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表