吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 32558|回复: 121
收起左侧

[移动样本分析] 红包强盗(后台版)升级版本锁机软件详细分析

    [复制链接]
Andy0214 发表于 2017-2-24 15:13
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
报告名称:红包强盗(后台版)锁机软件详细分析                                                
作者:Andy
报告更新日期:2017年2月24日
样本发现日期:
样本文件大小/被感染文件变化长度:238,991 字节
样本文件MD5 校验值:2DE3174EAC9F9564599FA7CBC4FB897F
样本文件SHA1 校验值:4AFD3B6AADC85BE5BB786D792AC02CB6EF1D0C0C
壳信息:

可能受到威胁的系统:Android
名称:刷LOL皮肤,刷话费绿色补丁
包名:com.cjk

主要描述:样本是一款很普通的锁机软件,但是解锁码不像一般锁机软件直接明文写出,经过了加密解密处理,该锁机软件一旦安装,如果不能正常解锁,手机将处于长期锁机状态,不能使用;软件启动后就会获取最高权限,引导用户激活设备管理器,隐藏图标成为系统应用,正常无法卸载。

详细分析:
  0x00 运行界面
QQ截图20170216144424.png QQ截图20170216144439.png
和之前分析的红包抢到安装后的名称一样,就连锁机界面都神似,没有按钮和输入框,只有几行文字
0x01获取权限

android.permission.SEND_SMS,发送短信
android.permission.SYSTEM_ALERT_WINDOW,显示系统窗口(设置所及软件置顶,用户启动软件后就只能看到已经设置好的界面)
android.permission.RECEIVE_BOOT_COMPLETED,允许程序开机自动运行(程序开机后自启动,导致用户重启也无济于事)
android.permission.INTERNET,访问网络连接,可能产生GPRS流量
android.permission.ACCESS_NETWORK_STATE,获取网络信息状态,如当前的网络连接是否有效
android.permission.WRITE_EXTERNAL_STORAGE,允许程序写入外部存储,如SD卡上写文件
android.permission.MOUNT_UNMOUNT_FILESYSTEMS,挂载、反挂载外部文件系统
android.permission.VIBRATE允许振动
  0x02具体行为锁机软件启动后引导用户激活设备管理器,将自己写好的界面置顶。
代码结构和之前的一样,应该是出自同一人,一些赘述就不在这里一一写出来了,不清楚的可以看上一篇文章
1.png
2.png
可以说是一模一样,只是对解锁密码的处理不一样而已
3.png
具体的代码整合本人写了Java代码,如下:
4.png
6.png
也有人用python写了,很简洁,之前用java写,base64加解密包一直引不对,所以请求了别人写了一个python
5.png
python代码尤其优点,但是由于源码是java写得,不能吃透源码的人就很难看懂python代码了
同样看懂了源代码的人一样可以拿到base64在线加解密去破解
最终得到的解锁码:hhh520
其他的就不在赘述了
0x04技术热点
这个锁机不同于其他简单锁机的方面就是他将锁机密码进行了加解密处理,不能一眼看到解锁密码,初学者或者是没有学习过的人如果遇到可以找论坛相关人解锁,不要自己乱整;
锁机软件使用的是Base64加解密,以及对字符串的简单处理(反转);
不同于前一个锁机程序的是该锁机应用的字符串是从外部txt文件中读取的;
没有加固的锁机软件并不难,关键是要静下心来仔细找找突破口,锁机整体框架比较简单,代码很少。

  0x05安全建议
从正规的应用商城下载应用,不随意点击别人给的下载链接
不贪小便宜,不要下载所谓的红包、刷钻、王能软件之类的应用
对自己不清楚的软件最好先使用模拟器安装,如果正常在安装亦无妨
  0x06分析意外的追踪
连着写了两篇,其实之前就一直想抽时间写一下,苦于没有足够时间写报告,就只是自己破解玩了一下
总结这两个锁机发现都是同一人所为,便找了一下其中包含的qq群之类的信息查了一下
7.png 8.png
9.png 10.png
可以看到这是团伙啊,大吃一惊啊,这传播,怪不得天天有人被锁机
一下是这两款软件的截图,自己看看就好,之后要是破解了,可以供大家玩玩(仅供玩耍,不要拿来坑人啊,尤其是自己不会破解的)
11.png 12.png
看完了是不是觉得这些人丧尽天良啊,其实想想啦,要不是自己贪小便宜,不在正规渠道下载软件,想要坑人,不好好学习,不好好上班,能被坑???

免费评分

参与人数 72威望 +1 吾爱币 +83 热心值 +69 收起 理由
boxiaomao + 1 + 1 谢谢@Thanks!
阿伦 + 1 + 1 我很赞同!
siuhoapdou + 1 谢谢@Thanks!
大驴更神奇 + 1 + 1 谢谢@Thanks!
myy0222 + 1 + 1 我很赞同!
Mr.王先森 + 1 + 1 谢谢@Thanks!
冷雨荧光 + 1 + 1 我很赞同!
pojiekris + 1 + 1 热心回复!
hugo0921 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
大飞飞 + 1 + 1 谢谢@Thanks!
无的世界零 + 1 + 1 用心讨论,共获提升!
jo_暗夜雪寒 + 1 + 1 热心回复!
yangyang123x + 1 + 1 我很赞同!
烈火命运 + 1 + 1 用心讨论,共获提升!
ifamily + 1 + 1 哈哈哈,安卓不安全,我已经换系统
假装在伦敦 + 1 + 1 谢谢@Thanks!
a5606495 + 1 + 1 谢谢@Thanks!
色调分离 + 1 + 1 热心回复!
panzhenrong + 2 + 1 楼主技术贴 厉害厉害,在52好久没这么认真看完一个帖子了 ~给楼主点个赞
hpxop + 1 + 1 谢谢楼主,看来以后得多注意app的来源
ikeeki + 1 + 1 这种团伙应该上交国家!
厉害了 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
yong0028 + 1 + 1 谢谢@Thanks!
flashwade03 + 1 + 1 谢谢@Thanks!
温馨提示 + 1 + 1 好贴好贴
myefeng + 1 + 1 我很赞同!
微笑丶纯属礼貌 + 2 + 1 变项打广告,好套路
我是你姐夫 + 1 + 1 热心回复!
dadao815 + 1 + 1 谢谢@Thanks!
z79097397 + 1 + 1 热心回复!
夏雨微凉 + 1 + 1 用心讨论,共获提升!
a'ゞゞい星雨 + 1 鼓励转贴优秀软件安全工具和文档!
ellisluk + 1 + 1 我很赞同!
b986979790 + 1 + 1 已答复!
Night_月殇 + 1 + 1 热心回复!
吾乃小明 + 1 + 1 我很赞同!
telroot + 1 可以
守护神艾丽莎 + 1 + 1 谢谢@Thanks!
吾爱T阿杰 + 3 + 1 用心讨论,共获提升!
Devil_Hunter + 1 + 1 用心讨论,共获提升!
飔雨 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
寂静里的晴天 + 1 + 1 我很赞同!
梦飘远 + 1 + 1 谢谢@Thanks!
zhb2030 + 1 + 1 我很赞同!
暗夜天色 + 1 + 1 我很赞同!
丧心病狂的Ghost + 1 + 1 用心讨论,共获提升!
xu556600 + 1 + 1 谢谢@Thanks!
cd_lgy + 1 + 1 谢谢@Thanks!
笑熬豆浆 + 1 热心回复!
lonely_coder + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
时光遗旧201211 + 1 + 1 我很赞同!
麓林野鹤 + 1 + 1 用心讨论,共获提升!
seoul312 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
大海萌萌 + 1 + 1 我被坑过,真的很气这种人
rzhxw + 1 + 1 已答复!
xl2016 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
洗影 + 1 + 1 用心讨论,共获提升!
浩哥呐 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
a2300355a + 1 + 1 已答复!
cndy + 1 + 1 吾爱这个家庭欢迎你
xx7758758 + 1 + 1 热心回复!
寂寞的随客 + 1 + 1 用心讨论,共获提升!
oxxo119 + 1 + 1 我很赞同!
SureFire丶 + 1 + 1 最后一句话说的对 如果要不是爱贪小便宜 会被锁机吗?
b19341 + 1 + 1 热心回复!
b81334548 + 1 + 1 谢谢@Thanks!
我爱的人爱我 + 1 + 1 用心讨论,共获提升!
温柔xxx + 1 + 1 谢谢@Thanks!
伤心依旧 + 1 + 1 谢谢@Thanks!
七彩棒棒堂 + 1 + 1 厉害厉害
wenz + 1 + 1 一般不评分,但是看了全文之后,虽然没什么用,但是还是感谢楼主分享!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| Andy0214 发表于 2017-2-25 12:44
时光机任意门 发表于 2017-2-24 18:50
楼主,问一下,最终自己获取到了解锁密码,像这种锁机软件,如何输入密码来解锁呢?他的输入框是如何唤醒出 ...

手机重启自然就出来了,只有一个输入框,其实就是你正常设置密码的那个
 楼主| Andy0214 发表于 2017-2-25 12:41
炽日夕辉 发表于 2017-2-24 19:43
这个app我分析过,只找到了这个叫彼岸花开的qq,空间还在卖这个锁机源码。
空间广告吹的天花 ...

想占便宜的人太多了,导致这些人的东西铺天盖地
酒醒黄昏 发表于 2017-2-24 16:41
无间小白 发表于 2017-2-24 16:48
厉害了,学习学习
头像被屏蔽
七彩棒棒堂 发表于 2017-2-24 17:02
提示: 作者被禁止或删除 内容自动屏蔽
q304791938 发表于 2017-2-24 17:03
弱弱的问下,查看的源码的这款软件叫啥,最好附下下载地址,谢谢
 楼主| Andy0214 发表于 2017-2-24 17:06
q304791938 发表于 2017-2-24 17:03
弱弱的问下,查看的源码的这款软件叫啥,最好附下下载地址,谢谢

jd-gui,百度搜索就可以看到
q304791938 发表于 2017-2-24 17:08
Andy0214 发表于 2017-2-24 17:06
jd-gui,百度搜索就可以看到

好的,谢了哈
gsl27 发表于 2017-2-24 17:10
这个还是不错的
温柔xxx 发表于 2017-2-24 17:15
感谢分享  看看热闹 看不懂!
gf2002107 发表于 2017-2-24 17:18
好厉害  膜拜一下
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:39

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表