吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 14517|回复: 27
收起左侧

[移动样本分析] Android 锁机样本母体分析

  [复制链接]
debug_cat 发表于 2018-8-16 17:22
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 莫问刀 于 2018-8-17 09:49 编辑

----------------------------------------------------------------------------------------------------------------------------

--------------------------------------------------锁机母体分析-----------------------------------------------

----------------------------------------------------------------------------------------------------------------------------
背景:

最近安装了一个,吃鸡辅助软件,便宜以辅助需要root权限为理由,要我们给予软件root权限。我们当然是信了啊,不然怎么会被锁呢。。

结果:手机真的被锁了。

----------------------------------------------------------------------------------------------------------------------------

5锁机截图.jpg

----------------------------------------------------------------------------------------------------------------------------

就是这样,我当时打开软件,给了root权限,手机马上重启了。重启之后,马上就这样子。我看到重启的那一刻我就
觉得事情没有那么简单。emmmmmmm

怎么办,先把样本(刺激最强辅助拖进jadx)

---------------------------------------------------------------------------------------------------------------------------

1判断su是否存在.jpg
在界面入口,做了文件是否存在的判断,但是,这个字符串做了加密。

进入 qtfreet00.decode 看看
2字符串解密工具.jpg

这个明显就是解密工具了。我们把这个代码,直接复制到ide ,然后把需要解密的字符跑一跑

3解密重要工具.jpg


这个地方,root执行了很多命令,不知道做了啥子,

不管了。全部跑。接下来就是cv过程;


前面文件判断结果是:

/system/bin/su
/system/xbin/su
就是判断你这个手机,有没有root权限,如果给了root权限就做下面的事情了。

pm uninstall com.example.xphuluxia //卸载某个软件
www/app/emulated                          //在asset目录下有个emulated文件
/sdcard/emulated                             //这个是复制emulated文件到储存卡的目录
mount -o rw,remount /system         //挂载
cp
/system/app/hl.apk
/system/priv-app/hl.apk
chmod 644 /system/app/hl.apk   //复制上面的储存卡的目录emulated,到系统目录下改名字hl.apk  给予权限
rm -f /system/etc/permissions/android.hardware.usb.accessory.xml  //删除usb相关配置文件
reboot                                               //重启手机




---------------------------------------------------------------------------------------------------------------------------

这就是我打开辅助软件,授予root权限之后,经历的东西

母体分析到此结束


---------------------------------------------------------------------------------------------------------------------------

我的手机怎么救回来的??


adb shell

su

mount -o rw,remount /system

cd /system/app

mr hl.apk

cd /system/priv-app

mr hl.apk

重启手机。完。

上面是删除了我的usb xx配置文件,但是我依然可以连接到我的手机。神奇了。。
(因为平时我用我的手机做开发的,我的电脑已经授予了权限debug,所以能连接上,不然一台陌生的电脑是无法连接到手机,并且可以连接adb的)

---------------------------------------------------------------------------------------------------------------------------

不要给什么辅助,gua等app  root权限。现在锁机流氓很多。
不要给什么辅助,gua等app  root权限。现在锁机流氓很多。
不要给什么辅助,gua等app  root权限。现在锁机流氓很多。

母体样本:链接: https://pan.baidu.com/s/1u68KGktcXIeNJfRycilkhQ 密码: 6vwg

大家不要用真机玩,记得用模拟器


大家不要用真机玩,记得用模拟器

大家不要用真机玩,记得用模拟器
---------------------------------------------------------------------------------------------------------------------------
对于锁机子软件hl的分析,后面可能会发,如果有兴趣的就直接解压apk,然后在asset目录www。app下那个文件,就是apk了。


免费评分

参与人数 3威望 +1 吾爱币 +12 热心值 +2 收起 理由
左岸QWQ + 1 用心讨论,共获提升!
浅呼吸lin + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 1 + 10 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| debug_cat 发表于 2018-8-17 09:52
Hmily 发表于 2018-8-17 08:03
@qtfreet00 我擦,繁华你写的木马吗?

我在几个月前看到大佬分享的混淆工具,还收听了他。。。。。。。样本中代码有这个大佬名字,是不是有人估计抹黑

点评

那个字符串混淆是开源的哦,github可以找到的  发表于 2018-8-22 15:50
叶先生帅啦 发表于 2018-8-17 22:06
其实不用这么麻烦,下载一个叫锁屏敲诈木马专杀工具增强版,是腾讯哈勃分析系统里的工具,之前有大佬分享过的
话说楼主闲着没事干下这个东东(*^__^*) 嘻嘻
thornfish 发表于 2018-8-16 17:39
liwulin6418 发表于 2018-8-16 18:08
膜拜大佬
三点一线 发表于 2018-8-16 19:09
厉害厉害!
邪恶花花 发表于 2018-8-16 19:23
学习了哈哈哈
kk1212 发表于 2018-8-16 20:03
遇到大神了
2欧尼酱~ 发表于 2018-8-16 20:11 来自手机
首先得懂java
明天的前天 发表于 2018-8-16 20:52 来自手机
只学过Python的我
驴得水 发表于 2018-8-16 21:23
厉害啊大兄弟!!!遇到大神 (反正我啥也不懂)
冷凯 发表于 2018-8-16 21:34
不懂java 的我
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:48

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表