红包强盗(后台版)锁机软件详细分析
本帖最后由 Andy0214 于 2017-2-23 15:36 编辑报告名称:红包强盗(后台版)锁机软件详细分析
作者:Andy
报告更新日期:2017年2月23日
样本发现日期:
样本文件大小/被感染文件变化长度:1,702,501 字节
样本文件MD5 校验值:E70CC19F53697A45378E1334E6DA92AA
样本文件SHA1 校验值:91BA762D269EA3D2446BCD1570A35F9400998551
壳信息:可能受到威胁的系统:Android
名称:红包强盗(后台版)
包名:com.cjk
主要描述:样本是一款很普通的锁机软件,但是解锁码不像一般锁机软件直接明文写出,经过了加密解密处理,该锁机软件一旦安装,如果不能正常解锁,手机将处于长期锁机状态,不能使用;软件启动后就会获取最高权限,引导用户激活设备管理器,隐藏图标成为系统应用,正常无法卸载。
详细分析:
0x00 运行界面
作者啊,说点啥好呢,整这干啥啊,还弄点小配乐,很嗨???
0x01获取权限
android.permission.SYSTEM_ALERT_WINDOW,显示系统窗口(设置所及软件置顶,用户启动软件后就只能看到已经设置好的界面)
android.permission.RECEIVE_BOOT_COMPLETED,允许程序开机自动运行(程序开机后自启动,导致用户重启也无济于事)
android.permission.VIBRATE,允许振动
0x02具体行为
锁机软件启动后引导用户激活设备管理器,将自己写好的羞羞界面置顶,并循环播放羞羞的音乐。
设置界面置顶,想要窗口置顶还需要添加权限android.permission.SYSTEM_ALERT_WINDOW
然后手机被锁了,一张羞羞的图片,放着羞羞的音乐,羞死人了。
看看这张羞羞的图片,只有最下面有几行文字,然并卵,直接重启看看,重启之后软件开机自启,我靠,锁机了,只能反编译找一下解锁码了
解锁界面以及解锁码
0x03解锁过程
使用Android killer反编译之后看看
反编译没有问题,那就直接去看看java代码,和我们以往分析的锁机软件很像,都有M、MyAdmin、s三个类,我们跟踪一下代码,在MyAdmin类下面找到了一个password,
变量pin:DU.getsss使用Base64解密之后使用
下面我将代码还原之后自己跑了一下代码
其实写一下就很清楚了,自己也可以直接用在线的Base64加解密工具解密一下。
找到锁机密码之后,我们便在解锁界面输入密码回车解锁即可
解锁之后不要忘了卸载锁机软件,如果觉得自己卸载之后还不放心,再使用杀毒软件查杀即可,(有些人卸载了软件之后可能发现每次重启手机还是有密码,是因为你没有在设置中将锁屏密码设置为无)
0x04技术热点
这个锁机不同于其他简单锁机的方面就是他将锁机密码进行了加解密处理,不能一眼看到解锁密码,初学者或者是没有学习过的人如果遇到可以找论坛相关人解锁,不要自己乱整;
锁机软件使用的是Base64加解密,再就是对字符串的简单处理(反转);
没有加固的锁机软件并不难,关键是要静下心来仔细找找突破口,锁机整体框架比较简单,代码很少。
0x05安全建议
从正规的应用商城下载应用,不随意点击别人给的下载链接
不贪小便宜,不要下载所谓的红包、刷钻、王能软件之类的应用
对自己不清楚的软件最好先使用模拟器安装,如果正常在安装亦无妨 三菌尚酱 发表于 2017-2-24 12:29
弱弱的问句,锁机的话,刷机能解决么?
也要考虑手机里存有一些重要的东西,刷机不就都没了..前提是可以备份 顶一下会怎么样? 分析的很好,锁机是个很麻烦的事 感谢分享哈!!!! 自从上次被锁机之后,在也不敢随便去用这些软件。 弱弱的问句,锁机的话,刷机能解决么? 这个必须学习看看 NaZio 发表于 2017-2-24 12:40
也要考虑手机里存有一些重要的东西,刷机不就都没了..前提是可以备份
谢谢解惑~ 很吊很吊哦