连晋 发表于 2017-12-23 19:39

变种荒野行动盒子Root锁屏勒索样本分析[图文加视频]

本帖最后由 凉生我怕怕 于 2018-1-21 22:42 编辑

# 荒野行动盒子病毒变种啦,所以我又回来啦,此次图文加视频教程都有

## 本文分析的有问题 大家可以移步到这个 老天写的帖子去看

@0xxx感谢老铁的指正我下次一定认真分析嘿嘿
文章地址 在此
   https://www.52pojie.cn/thread-674401-1-1.html   

> 这次我做的是图文加视频教程,但还是老规矩 图文很简陋,具体看视频讲解(反正我是不大喜欢打字 XD)

> 如果你看到我又回来了说明又有小伙伴手机被锁了   XD


``` shell

         system.out.print('对了热心和点评是免费的   大家帮忙点一点吧感激不尽 嘿嘿')

```


这次又有小伙伴中标了, 来吧老铁 我帮你做好教程了照着教程你肯定能解锁的    @默笑458   
本来我看到这个小伙伴中毒的是荒野行动盒子的病毒,发现论坛已经有大神分析过这个病毒了,

[点我达到大神分析之前没变种病毒的文章](https://www.52pojie.cn/thread-678602-1-1.html)


但是我还是下载了样本下来分析了一下

一看可不得了了挖, 病毒变种了,加密方式和解锁了都变了 故此发了这封帖子大概讲讲怎么办, 如果老铁你有耐心的话 照着我的教程做 手机肯定能解锁的,除非......没USB调试 哈哈哈.... (忍不住笑出声..sorry 那就当给你开挂的个小惩罚 你得去手机店叫别人给你刷机了)

ok   废话不多讲 下面是这位老铁发布的帖子

[点我达到](https://www.52pojie.cn/thread-674323-1-1.html)

![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqx0d7hb4j20ry0c3q4o.jpg)




## 第一步

老规矩 打开 androidKill分析 一下 com.if2703b788.QQ2856437148.apk 病毒样本
样本下载地址 [点我达到](https://pan.baidu.com/s/1nuRoXFr)

大概看一下 AndroidManifest.xml 发现入口界面是

com.if2703b788.QQ2856437148.qdt

随便进一个 smali 文件点java小图标 进入 这图

上图

![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqx9a6i1lj21hc0teq7l.jpg)

## 第二步 进入 MainActivity

![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqxb1qxjxj21hc0teq7z.jpg)

## 第三步 进入 e.busybox()方法

![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqxd00oldj21hc0tejwu.jpg)

## 第四步 提取 time.apk

安装好 adb 命令行工具 此处自行百度我给个链接 点进去照着做即可

[点我达到](https://tieba.baidu.com/p/3682532712?red_tag=1684230134)

然后 把time.apk从虚拟机保存到你电脑

adb pull /system/app/time.apk

## 第五步 分析 time.apk
这作者是吧 三层密码随机生成 还有你设备编号一起发送到他服务器 来进行解密的

![](http://ww1.sinaimg.cn/large/e38a7f8bgy1fmqxhvfufrj21hc0ten44.jpg)

## 第六步 所以没办法 我们只能卸载程序或者分析流量来获取


此处我抓包很久 抓不到 所以肯定不是http协议 tcp我又不熟只能卸载了

ok 继续进入 adb shell   挂载 /system可读写

命令:
``` shell

mount -o rw,remount /system

```

然后再卸载time.apk即可

rm /system/app/time.apk

# 视频讲解链接在此
> 暂时没上传完毕 上传好了 我会修改帖子 吧下载地址更新上去
> ok 视频地址更新好了

[点我到达](http://url.cn/559UqEW)


## 总结

1.玩游戏别开挂
2.还是别开挂
3.现在病毒变种太快了 而且越来越恶心 大家还是小心点好.... ε=(′ο`*)))唉怎么这么多这样的国人都是穷疯了吗

对了热心和点评是免费的   大家帮忙点一点吧

我也是菜鸟 上期 H大   @Hmily      还帮忙上了精华   很多人加我叫我大神但是我真不是说真心话 我很菜但是我乐意分析 乐意去学希望大家也是一样祝愿52越来越大大家一起学习成为真正的大神啊 !

连晋 发表于 2017-12-26 10:38

本帖最后由 凉生我怕怕 于 2017-12-26 10:39 编辑

@Hmily 请版主帮忙移动到病毒分析 移动样本分析区我发帖发错版块了非常感谢   (好奇怪 为什么   艾特不会变蓝)@Sound    @Hmily   @LCG    @Hmily

连晋 发表于 2017-12-28 01:01

@0xxx   感谢老铁3Q是我大意了看到他随机以后没有 进去再仔细看了因为之前遇到过类似的 加密方式 以为是那种加密 我的错嘿嘿 感谢指正

连晋 发表于 2017-12-23 19:41

@默笑458

连晋 发表于 2017-12-23 19:43

艾特人 怎么不变蓝呢?好奇怪@默笑458

yuehanoo 发表于 2017-12-23 19:46

谢谢大神。

连晋 发表于 2017-12-23 19:54

yuehanoo 发表于 2017-12-23 19:46
谢谢大神。

{:1_909:}不谢我不是大神 XD

huahua96 发表于 2017-12-23 19:57

{:1_909:} 都被大神们玩废了

PA助手 发表于 2017-12-23 20:01

楼主的头像,暴露了你的霸气{:17_1062:}

连晋 发表于 2017-12-23 20:03

PA助手 发表于 2017-12-23 20:01
楼主的头像,暴露了你的霸气

这是连晋 挖寻秦记里面的 我最喜欢的电视剧人物可惜被黄易 写烂了 后期把嫪毐和连晋写成同一个人变成了太监.... 心碎

堂前燕 发表于 2017-12-23 20:09

可以的,分析得很好,感谢分享

MaxMadcc 发表于 2017-12-23 20:33

adb shell   挂载 /system可读写,这步骤前要root吧,没root怎么给读写的权限?
页: [1] 2 3 4 5
查看完整版本: 变种荒野行动盒子Root锁屏勒索样本分析[图文加视频]