变种荒野行动盒子Root锁屏勒索样本分析[图文加视频]
本帖最后由 凉生我怕怕 于 2018-1-21 22:42 编辑# 荒野行动盒子病毒变种啦,所以我又回来啦,此次图文加视频教程都有
## 本文分析的有问题 大家可以移步到这个 老天写的帖子去看
@0xxx感谢老铁的指正我下次一定认真分析嘿嘿
文章地址 在此
https://www.52pojie.cn/thread-674401-1-1.html
> 这次我做的是图文加视频教程,但还是老规矩 图文很简陋,具体看视频讲解(反正我是不大喜欢打字 XD)
> 如果你看到我又回来了说明又有小伙伴手机被锁了 XD
``` shell
system.out.print('对了热心和点评是免费的 大家帮忙点一点吧感激不尽 嘿嘿')
```
这次又有小伙伴中标了, 来吧老铁 我帮你做好教程了照着教程你肯定能解锁的 @默笑458
本来我看到这个小伙伴中毒的是荒野行动盒子的病毒,发现论坛已经有大神分析过这个病毒了,
[点我达到大神分析之前没变种病毒的文章](https://www.52pojie.cn/thread-678602-1-1.html)
但是我还是下载了样本下来分析了一下
一看可不得了了挖, 病毒变种了,加密方式和解锁了都变了 故此发了这封帖子大概讲讲怎么办, 如果老铁你有耐心的话 照着我的教程做 手机肯定能解锁的,除非......没USB调试 哈哈哈.... (忍不住笑出声..sorry 那就当给你开挂的个小惩罚 你得去手机店叫别人给你刷机了)
ok 废话不多讲 下面是这位老铁发布的帖子
[点我达到](https://www.52pojie.cn/thread-674323-1-1.html)
![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqx0d7hb4j20ry0c3q4o.jpg)
## 第一步
老规矩 打开 androidKill分析 一下 com.if2703b788.QQ2856437148.apk 病毒样本
样本下载地址 [点我达到](https://pan.baidu.com/s/1nuRoXFr)
大概看一下 AndroidManifest.xml 发现入口界面是
com.if2703b788.QQ2856437148.qdt
随便进一个 smali 文件点java小图标 进入 这图
上图
![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqx9a6i1lj21hc0teq7l.jpg)
## 第二步 进入 MainActivity
![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqxb1qxjxj21hc0teq7z.jpg)
## 第三步 进入 e.busybox()方法
![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqxd00oldj21hc0tejwu.jpg)
## 第四步 提取 time.apk
安装好 adb 命令行工具 此处自行百度我给个链接 点进去照着做即可
[点我达到](https://tieba.baidu.com/p/3682532712?red_tag=1684230134)
然后 把time.apk从虚拟机保存到你电脑
adb pull /system/app/time.apk
## 第五步 分析 time.apk
这作者是吧 三层密码随机生成 还有你设备编号一起发送到他服务器 来进行解密的
![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqxhvfufrj21hc0ten44.jpg)
## 第六步 所以没办法 我们只能卸载程序或者分析流量来获取
此处我抓包很久 抓不到 所以肯定不是http协议 tcp我又不熟只能卸载了
ok 继续进入 adb shell 挂载 /system可读写
命令:
``` shell
mount -o rw,remount /system
```
然后再卸载time.apk即可
rm /system/app/time.apk
# 视频讲解链接在此
> 暂时没上传完毕 上传好了 我会修改帖子 吧下载地址更新上去
> ok 视频地址更新好了
[点我到达](http://url.cn/559UqEW)
## 总结
1.玩游戏别开挂
2.还是别开挂
3.现在病毒变种太快了 而且越来越恶心 大家还是小心点好.... ε=(′ο`*)))唉怎么这么多这样的国人都是穷疯了吗
对了热心和点评是免费的 大家帮忙点一点吧
我也是菜鸟 上期 H大 @Hmily 还帮忙上了精华 很多人加我叫我大神但是我真不是说真心话 我很菜但是我乐意分析 乐意去学希望大家也是一样祝愿52越来越大大家一起学习成为真正的大神啊 ! 本帖最后由 凉生我怕怕 于 2017-12-26 10:39 编辑
@Hmily 请版主帮忙移动到病毒分析 移动样本分析区我发帖发错版块了非常感谢 (好奇怪 为什么 艾特不会变蓝)@Sound @Hmily @LCG @Hmily @0xxx 感谢老铁3Q是我大意了看到他随机以后没有 进去再仔细看了因为之前遇到过类似的 加密方式 以为是那种加密 我的错嘿嘿 感谢指正 @默笑458 艾特人 怎么不变蓝呢?好奇怪@默笑458 谢谢大神。 yuehanoo 发表于 2017-12-23 19:46
谢谢大神。
{:1_909:}不谢我不是大神 XD {:1_909:} 都被大神们玩废了 楼主的头像,暴露了你的霸气{:17_1062:} PA助手 发表于 2017-12-23 20:01
楼主的头像,暴露了你的霸气
这是连晋 挖寻秦记里面的 我最喜欢的电视剧人物可惜被黄易 写烂了 后期把嫪毐和连晋写成同一个人变成了太监.... 心碎 可以的,分析得很好,感谢分享 adb shell 挂载 /system可读写,这步骤前要root吧,没root怎么给读写的权限?