对锁机APP”QQ卡钻大师”的逆向分析
报告名称:对锁机APP” QQ卡钻大师”的逆向分析作者:wnagzihxain
报告更新日期:2016.7.21
样本发现日期:不详
样本类型:锁屏
样本文件大小/被感染文件变化长度:
样本文件MD5 校验值:
样本文件SHA1 校验值:
壳信息:无
可能受到威胁的系统:安卓
相关漏洞:无
已知检测名称:无先安装看看给了权限然后就重启了,这界面做的还不错啊,好评Jeb打开分析代码到处翻一翻,发现这个,老司机经验,这里应该是把apk包里面一个伪装成其它文件的apk弄进了system/app,这个是系统app的文件夹,长按不能直接卸载再往前翻,发现这个文件是ijm-x86.so把这个apk解包,找到assets文件夹把ijm-x86.so的后缀改成apk,用jeb打开一个是h,一个是wq,这两个的结构一模一样,那么执行的是哪一个呢?先来看看两者的密码生成部分hwq这个时候就要看入口了,找Manifest.XML看到了,是wq那么密码就是解锁序列码加上9426但是一般锁机APP都会重置PIN码,而这一般会在MyAdmin之类的地方设置,因为一定会重写部分方法所以PIN码是9426所以输入密码进入界面然后卸载第一个APP然后来删除写进system/app的APP上adb先删应用再删PIN然后就完成了如果开了USB调试的,直接使用adb就可以删掉了,如果没有开启调试,那就按照上面的思路和方法先进入界面,然后开启调试,再删吧,重要的是解锁的思路,方法很多,不限于上面这些
原文地址:
http://www.wangzhixian.org/analysis-report-of-evil-apk/%E5%AF%B9%E9%94%81%E6%9C%BAappqq%E5%8D%A1%E9%92%BB%E5%A4%A7%E5%B8%88%E7%9A%84%E9%80%86%E5%90%91%E5%88%86%E6%9E%90/
页:
[1]