对锁机APP”QQ卡钻大师”的逆向分析

admin

报告名称：对锁机APP” QQ卡钻大师”的逆向分析
作者：wnagzihxain
报告更新日期：2016.7.21
样本发现日期：不详
样本类型：锁屏
样本文件大小／被感染文件变化长度：
样本文件MD5 校验值：
样本文件SHA1 校验值：
壳信息：无
可能受到威胁的系统：安卓
相关漏洞：无
已知检测名称：无

先安装看看

给了权限然后就重启了，这界面做的还不错啊，好评

Jeb打开分析代码

到处翻一翻，发现这个，老司机经验，这里应该是把apk包里面一个伪装成其它文件的apk弄进了system/app，这个是系统app的文件夹，长按不能直接卸载

再往前翻，发现这个文件是ijm-x86.so

把这个apk解包，找到assets文件夹

把ijm-x86.so的后缀改成apk，用jeb打开

一个是h，一个是wq，这两个的结构一模一样，那么执行的是哪一个呢？

先来看看两者的密码生成部分

h

wq

这个时候就要看入口了，找Manifest.XML

看到了，是wq

那么密码就是解锁序列码加上9426

但是一般锁机APP都会重置PIN码，而这一般会在MyAdmin之类的地方设置，因为一定会重写部分方法

所以PIN码是9426

所以输入密码进入界面

然后卸载第一个APP

然后来删除写进system/app的APP

上adb

先删应用

再删PIN

然后就完成了

如果开了USB调试的，直接使用adb就可以删掉了，如果没有开启调试，那就按照上面的思路和方法先进入界面，然后开启调试，再删吧，重要的是解锁的思路，方法很多，不限于上面这些

原文地址：
http://www.wangzhixian.org/analy ... %E5%88%86%E6%9E%90/