首次发帖,简单锁机破解
以游客身份闲逛吾爱有一些日子了,昨天才第一次进行注册,肥肠激动,也想跟大家分享一下分析过的恶意软件。第一次发帖,如有不当的地方,还请大家提出来,谢谢~ 分享的这个软件,是属于比较常规的锁屏型勒索软件了,论坛里相关样本的分析也有不少,有些大神的操作我至今还没看懂,惭愧。。1、该软件的SHA-256为4e0b5042e86aacfed5df37b37e7837ca7a53d8021f21c677dfc6627687918403,首先是该软件的图标及应用名,代表月亮消灭。。。
2、不出意外呢,这个恶意软件应该会申请设备管理器,那我们就配合它,允许它激活:
3、激活后,马上就出现了勒索界面,非常干脆。内容也很简洁,QQ号以及解锁序列号:
4、退出是没法直接退出了,不然怎么够格当勒索软件呢。若手机有允许adb操作的话,该样本是可以用adb来解决的;若不允许adb的话,后面也有另一种小白解决法。
一、首先是adb解决:
1、先查看勒索软件的包名。由于该勒索软件属于输入解锁码解锁的勒索,故勒索界面必然是具有焦点的界面,故可用命令adb shell dumpsys window | grep Focused来常看当前具有焦点的窗口,从下面的解图可以看出该勒索软件的包名为com.xcxksj:
当然,也可以使用adb shell dumpsys activity之类的命令来确定勒索软件的包名,其实都是一样的。
2、获得包名后,我们就可以强制停止这个软件了,使用命令adb shell am force-stop com.xcxksj,手机暂时恢复了自由。为什么说是暂时呢,尝试卸载该软件就可以发现啦。由于前期我们允许该软件激活设备管理器,那么在卸载它之前就必须先取消激活:
但这是勒索软件不能容忍的事,于是它把手机暂时锁了,黑屏了,同时修改了PIN码:
3、在adb允许的情况下,rm /data/system/password.key是常规的操作了,解开手机后再次对其手动卸载即可,或者使用adb uninstall也行,看个人习惯了。
二、小白法破解密码
1、在adb无法使用的情况下,那就乖乖输入解锁码跟PIN码吧。为了下面的演示,重新再安装一次这个软件,记住此时的解锁序列号位78733279,解锁码必然跟着个序列号有关,QQ号就暂时不管啦:
2、首先,将样本拖入JEB,找到产生解锁序列号的位置,随后就是利用该序列号计算解锁码的过程:
3、暂且先不管具体是如何计算的,我使用的方法比较小白,应该说纯小白~把这部分代码复制到Android Studio里,调用的class啥的也都复制进去,在Android Studio报错的地方稍作修改即可,并且把解锁序列号直接填上:
4、跑一下,可以看到解锁码为78733278,是不是跟序列号很像。再实验几次就会发现,其实解锁码就是序列号减一。。。
5、解锁码搞定了,接下来就是PIN码了,同样的操作,先找到重置PIN码的代码,一般来说搜resetpassword就行,可以看到PIN码的生成与raw目录下的pin.txt有关:
6、那我们就把pin.txt提取出来,放到Android Studio里,给它放在一样的位置,然后就是复制代码了,跑一下出来结果,PIN码是3777:
以上两个方法是比较常规的方法了,可以用来应付类似的勒索软件。
当然,这些都还只是皮毛,在破解密码时所作的操作只是简单的复制黏贴,让大神见笑了。
第一次发帖还是很激动的,还要学习的有很多,大家一起加油呀。 UC小松鼠 发表于 2019-3-3 10:08
这种来路不明的软件我一般都是在红手指或者手机分身上安装
之前我只知道蓝叠跟网易mumu,以后有新选择了,谢谢你~ 感谢分享 学习了 谢谢lz的教程
好东西,感谢分享 这玩意恶心 锁机 感谢分享 第一次发帖,排版乱成这样,哭。。 欢迎分析讨论交流,吾爱破解论坛有你更精彩! 感谢分享 学习了