吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15398|回复: 34
收起左侧

[移动样本分析] 红包强盗(后台版)锁机软件详细分析

  [复制链接]
Andy0214 发表于 2017-2-23 15:31
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 Andy0214 于 2017-2-23 15:36 编辑

报告名称:红包强盗(后台版)锁机软件详细分析                                                
作者:Andy
报告更新日期:2017年2月23日
样本发现日期:
样本文件大小/被感染文件变化长度:1,702,501 字节
样本文件MD5 校验值:E70CC19F53697A45378E1334E6DA92AA
样本文件SHA1 校验值:91BA762D269EA3D2446BCD1570A35F9400998551
壳信息:
可能受到威胁的系统:Android
名称:红包强盗(后台版)
包名:com.cjk

主要描述:样本是一款很普通的锁机软件,但是解锁码不像一般锁机软件直接明文写出,经过了加密解密处理,该锁机软件一旦安装,如果不能正常解锁,手机将处于长期锁机状态,不能使用;软件启动后就会获取最高权限,引导用户激活设备管理器,隐藏图标成为系统应用,正常无法卸载。

详细分析:
  0x00 运行界面
1.png 3.png
作者啊,说点啥好呢,整这干啥啊,还弄点小配乐,很嗨???
  0x01获取权限
android.permission.SYSTEM_ALERT_WINDOW显示系统窗口(设置所及软件置顶,用户启动软件后就只能看到已经设置好的界面)
android.permission.RECEIVE_BOOT_COMPLETED,允许程序开机自动运行(程序开机后自启动,导致用户重启也无济于事)
android.permission.VIBRATE,允许振动
  0x02具体行为
锁机软件启动后引导用户激活设备管理器,将自己写好的羞羞界面置顶,并循环播放羞羞的音乐。
2.png

激活设备管理器

激活设备管理器

设置界面置顶,想要窗口置顶还需要添加权限android.permission.SYSTEM_ALERT_WINDOW

窗口置顶

窗口置顶

置顶权限

置顶权限

然后手机被锁了,一张羞羞的图片,放着羞羞的音乐,羞死人了。
看看这张羞羞的图片,只有最下面有几行文字,然并卵,直接重启看看,重启之后软件开机自启,我靠,锁机了,只能反编译找一下解锁码了
解锁界面以及解锁码
11.png
  0x03解锁过程
使用Android killer反编译之后看看
4.png
反编译没有问题,那就直接去看看java代码,和我们以往分析的锁机软件很像,都有M、MyAdmin、s三个类,我们跟踪一下代码,在MyAdmin类下面找到了一个password,
20.png
12.png
变量pin:DU.getsss使用Base64解密之后使用
下面我将代码还原之后自己跑了一下代码
10.png
其实写一下就很清楚了,自己也可以直接用在线的Base64加解密工具解密一下。
8.png
找到锁机密码之后,我们便在解锁界面输入密码回车解锁即可
解锁之后不要忘了卸载锁机软件,如果觉得自己卸载之后还不放心,再使用杀毒软件查杀即可,(有些人卸载了软件之后可能发现每次重启手机还是有密码,是因为你没有在设置中将锁屏密码设置为无)
  0x04技术热点
这个锁机不同于其他简单锁机的方面就是他将锁机密码进行了加解密处理,不能一眼看到解锁密码,初学者或者是没有学习过的人如果遇到可以找论坛相关人解锁,不要自己乱整;
锁机软件使用的是Base64加解密,再就是对字符串的简单处理(反转);
没有加固的锁机软件并不难,关键是要静下心来仔细找找突破口,锁机整体框架比较简单,代码很少。
  0x05安全建议
从正规的应用商城下载应用,不随意点击别人给的下载链接
不贪小便宜,不要下载所谓的红包、刷钻、王能软件之类的应用
对自己不清楚的软件最好先使用模拟器安装,如果正常在安装亦无妨

点评

樓主可以下樣本給大家分析一下  发表于 2017-2-24 21:44

免费评分

参与人数 18威望 +1 吾爱币 +26 热心值 +18 收起 理由
a771960028 + 1 + 1 用心讨论,共获提升!
清蒸 + 1 + 1 热心回复!
landingbj + 1 + 1 帅死了!!!
Ranian + 1 + 1 我很赞同!
OCS + 1 + 1 敢不敢放个样本出来
aceryao + 1 + 1 热心回复!
xxxiaolanzhu + 1 + 1 谢谢@Thanks!
peter_king + 1 谢谢@Thanks!
oxxo119 + 1 + 1 我很赞同!
何必执着 + 1 + 1 热心回复!
马路上摆摊的 + 1 + 1 我很赞同!
siuhoapdou + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zxy2006 + 1 + 1 热心回复!
lijie2love + 1 + 1 需要你这样的正能量
李小木 + 1 + 1 谢谢@Thanks!
儒雅绅士 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
透心凉的雪碧 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

NaZio 发表于 2017-2-24 12:40
三菌尚酱 发表于 2017-2-24 12:29
弱弱的问句,锁机的话,刷机能解决么?

也要考虑手机里存有一些重要的东西,刷机不就都没了..前提是可以备份
hrpeng89 发表于 2017-2-24 12:03
z6184591 发表于 2017-2-24 12:05
hnhdq 发表于 2017-2-24 12:10
感谢分享哈!!!!
豌豆儿射手 发表于 2017-2-24 12:11
自从上次被锁机之后  ,在也不敢随便去用这些软件。
三菌尚酱 发表于 2017-2-24 12:29
弱弱的问句,锁机的话,刷机能解决么?
暗夜星光i 发表于 2017-2-24 13:06
这个必须学习看看
三菌尚酱 发表于 2017-2-24 13:30
NaZio 发表于 2017-2-24 12:40
也要考虑手机里存有一些重要的东西,刷机不就都没了..前提是可以备份

谢谢解惑~
熊猫love5426586 发表于 2017-2-24 13:30
很吊很吊哦
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表