Android病毒分析实战(一)_android(2)

于 2024-05-16 04:40:07 发布
阅读量395 收藏 5
点赞数 3
分类专栏: 程序员 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973119/article/details/138936418
版权

名称:K7
MD5:D8936BE89057233CA26263CDEDCADA30
SHA1:C4D8CC330F1A59F961AEEC131FD642F46F613253
包名:com.k7.qq2856437148

大家看到这个样本名称,可能疑惑,这样一个名称是怎么传播的,为什么会有人安装。当然,这样一个名称的app不会直接分发到受害者,而是依附于某些插件,游戏辅助工具等一系列比较热门的软件来传播。

锁屏主要方式

  • 利用设备管理器权限,直接用系统提供的api修改
  • 利用root权限和锁屏密码算法直接修改系统锁机密码文件内容

而这两种方式操作完成之后都需要重启设备生效,而对于这两种方式各有利弊,不过针对于一些游戏外挂root权限一般都是具备的,所以第二种是最优方案。而对于一些普通恶意应用root权限很少,可以利用第一种方式进行操作是最优方案。

样本分析

前期工作

我们拿到样本后可以按照我们上篇文章[[Android病毒分析基础(一)]]写的步骤来快速看看样本具体有哪些恶意行为,有哪些关键点,方便我们后续详细分析。
file
从上述扫描结果可以看到样本的主要的危险行为就是添加悬浮窗口,即我们通俗的说法“全屏弹窗锁屏”。
在线分析报告:https://habo.qq.com/file/showdetail?pk=ADcGbl1kB2cIOFs4U2M%3D#runphoto

运行界面

file
file
file

代码分析
关键文件

拿到反编译后的代码,我们首先要看的就是Manifest文件,看看有什么权限,Application、MainActivity、一些service、receiver等。
file

接下来我们进入MainActivity,可以看到启动了K7类,直接看K7。
file

第一层锁机

在K7中直接实现了全屏弹窗,即第一层锁屏界面。可以看到k7参数即使我们第一层解锁的密码。我们直接用AS抄一下代码后跑一下,就能拿到解锁密码。
file

第二层锁机

解锁后我们进入第二层锁机界面,还是一样,我们直接拉代码跑一下即可,但是这里要注意一下,他把锁机界面上的随机数转换成了文字,就是简单的数字和文字对应关系方法。
file
数字和文字对应关系:
file

第三层锁机

解锁后我们进入第三层,直接上代码:
file
file

通过一顿复制粘贴改代码,终于我们解锁成功,卸载并删除了这个锁机样本。
file

锁机软件解锁方法

第一种方法:

用另一部手机打电话给那部被锁的手机,然后出现接电话那个界面,然后马上退出到桌面,找到锁机软件直接删了(速度要快,仅部分锁机软件有效)。

第二种方法:

长按电源键,强制重启手机,在手机重启开机成功后马上输入密码进入手机桌面,迅速找到锁机软件马上卸载了(速度要快,仅部分锁机软件有效)。

第三种方法:不同手机不同系统版本位置不同

教大家用ADB来删除密码:

1、手机连接电脑,在充电模式下进行。

2、去百度搜索下载ADB.rar 解压到某目录。

3、在该目录搜索框直接输入cmd, 依次输入命令:

adb shell 

su

cd data/system

ls

可以看到有一个pass*.key和一个gesture.key的文件,这个就是密码的文件,我们就是把这个给删除就可以了! 最后输入命令: rm pass*.key(如果是PIN解锁就这个) 或者rm gesture.key(如果是手势解锁就这个) 输入reboot或手动重启手机生效。(其实,不用重启也可以的了,直接解锁,密码怎么滑都对,最好还是重启一下.)

第四种方法:

恢复出厂值。操作前注意重要数据要备份哦!( 操作步骤如下:

  • 1.关闭手机
  • 2.按 音量上+开机键进入rec模式
  • 3.选择恢复出厂值wipe data/factory res
  • 4.重启手机
第五种方法:

电脑端连接卓大师,(前提是你的手机开启了USB调试),等安装好驱动,打开卓大师工具箱,里面有清除锁屏密码选项,进去等待重启。

第六种方法:

操作前注意重要数据要备份哦!

重新刷机(你可以只刷入Recovery,然后使用第二种方法,或者干脆整个系统重刷)

手机重启过程中按音量键加或者音量键和开机键不放(一些国产安卓适用)进去双wipe,则可以清除锁屏密码,可以用卓大师清除。

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

了95%以上网络安全知识点!真正的体系化!**

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84973119
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
解决app误报毒 可打包app可上传apk
07-12
解决app误报毒 可打包app可上传apk
Android病毒分析实战(一)
最新发布
Andy0214的专栏
08-24 5911
最近有跑吾爱转达了一圈,看了看自己工作时写的流水账文章,那时候盛行的锁机软件,现在依然流行,那时候工作每天要遇到几十几百个锁机软件,大多数都是一位名为“彼岸花”的作者制作的,当时的锁机软件几乎都是通过类似于贩卖机一样的工具批量生成或者定制化生成,然后下面的小朋友再拿着生成的锁机软件去敲诈勒索。看了一下当时的记录,找了一下“彼岸花”作者,又再次打开了那个熟悉的空间,空间时间停滞在了21年2月,往下翻了几页看到了一张“刑满释放证”,尽然18年被请去吃饭了,真是天网恢恢,疏而不漏。
app上应用市场,被腾讯手机管家报病毒 a.gray.sexpay.m
热门推荐
icedrunker的博客
12-03 11万+
知乎链接: https://zhuanlan.zhihu.com/p/301027963 欢迎下载app ============================================ 1.背景 要做一个视频交友软件,为了省时间,从市面上买了一个和需求比较接近的app源码(这个源码,一般被别人用来搞一些涉黄直播),两个月改造完成后,准备上架应用市场,发现只要是使用腾讯安全引擎的商店都会检测出风险,比如腾讯应用宝、华为应用商店、三星应用商店。 腾讯云的移动应用安全检测结果如下: 被腾讯云移动应用安
谈谈最近很火的android手机病毒
张竞成的博客
08-03 3万+
““XXX(机主姓名)看这个,ht://********XXshenqi.apk”最近一种手机病毒爆发,机主收到这样的短信,开头是以发送者手机通讯录存储的名字为开头,然后再让对方点开一个网页链接。 其实熟悉android的朋友一看就明白这个病毒原理其实很简单。下面就来谈谈这个病毒的原理和防范方法。
用Python写的手机杀毒程序代码
akshh的博客
04-07 2963
print('扫描结果:共发现%d个病毒文件,已删除如下文件:' % len(infected_files))请注意:这只是一个示例代码,实际的病毒扫描程序需要更为复杂的算法和逻辑来确保准确性和安全性。print('扫描结果:未发现病毒文件')2. 如果存在病毒文件,将其删除,并展示删除的文件列表。1. 扫描指定目录下的文件,查找是否存在病毒文件。# 定义一个函数,用于扫描指定目录下的文件。# 定义一个函数,用于判断是否是病毒文件。# 定义一个函数,用于删除指定文件。# 定义一个函数,用于展示扫描结果。
Android项目实战,手机安全卫士.zip
08-17
Android项目实战:手机安全卫士》是一款基于Java编程语言的Android应用程序,旨在提供全面的手机安全管理服务。这个项目不仅提供了源码分享,为开发者提供了一个深入学习Android开发和实践应用安全策略的宝贵资源...
Android项目实战——手机安全卫士开发案例解析word版
07-18
在本《Android项目实战——手机安全卫士开发案例解析》中,我们将深入探讨如何构建一个功能完备的手机安全应用,以此来提升用户设备的安全性与性能。这个项目不仅涵盖了Android应用开发的基础知识,还涉及到了高级...
传智播客_Andorid_Android项目手机卫士视频video_day12视频
05-17
在这一阶段的学习中,视频可能涵盖了如何构建一个类似手机安全应用的功能,如病毒扫描、内存清理或数据保护等。 【描述】"传智播客_Andorid_Android项目手机卫士视频video_day12视频.rar" 描述中提到了视频资源的...
最新最全android开发视频教程.pdf
02-28
特定专题部分包括了如UML设计、反病毒应用开发、高级应用开发等,这些教程通常针对特定的技术或应用场景,有助于开发者深入理解某一领域,并能够应对更复杂的开发挑战。 【UI设计与图形编程】 UI设计视频教程和...
传智播客_Andorid_Android项目手机卫士视频video_day08视频
01-09
综合以上分析,我们可以推断出这个资源是针对Android开发的学习材料,特别是关于构建一个手机卫士应用的实战项目。在第八天的课程中,学习者可能会接触到如下的知识点: 1. Android Studio的使用:可能涵盖项目设置...
一个简单的Android木马病毒分析
Fly20141201. 的专栏
09-09 3万+
一、样本信息 文件名称: 一个安卓病毒木马.apk  文件大小:242867 byte   文件类型:application/jar   病毒名称:Android.Trojan.SMSSend.KS 样本MD5:05B009F8E6C30A1BC0A0F793049960BC   二、病毒行为分析 0x1. 静态注册Android
Android apk报毒漫长的解决之路(已有对策)
czssltt的博客
08-17 2万+
事情是这样,在公司项目某一版本发布后过了两天,大面积用户安装提示风险应用,应用默认禁用网络,而且桌面图标上有很醒目的红色感叹号。 第一次碰到报毒的情况,我们先去查毒网站(virustotal和腾讯在线查毒)查毒,查到是a.gray.Bulimia.a灰色贪食症,网上一搜才知道好多人也会突然报此毒,甚至非上线应用也会。 首先我们先去除了广告,用腾讯加固新发了一版,撑了几天后又报毒了。发版前打了几个包备着,发现只有放上线的apk有毒,本地的查毒没问题,猜想是达到一定下载数量才被查毒。 然后我们向腾讯
常见计算机病毒名称介绍
Confession 的技术频道
01-23 2万+
病毒名称由前缀、病毒名、后缀(一般是变种代号)组成,如“Backdoor.RmtBomb.12”“Trojan.Win32.SendIP.15”等。其中“Backdoor”“Trojan.Win32”就是前缀,“RmtBomb”“SendIP”就是病毒名,“12”“15”就是变种代号。从Worm.Sasser.b就可以看出这是振荡波蠕虫病毒的变种B。 1.系统病毒前缀:Win、Win32、PE、
Android恶意软件遍布 Google Play很安全
u013912934的专栏
03-05 1125
http://v.17173.com/playlist_12275269.html http://v.17173.com/playlist_12275677.html http://v.17173.com/playlist_12278360.html http://v.17173.com/playlist_12278537.html http://v.17173.com/playlist_
解决穿山甲Gromore广告在Oppo上报广告病毒Android.Virus.AdCheat.AdCut.A
KeepStudy
12-07 8219
在上架Oppo的时候审核打回了发现了病毒。提示如下: 随即我在oppo手机上用手机管家扫描,的确也是提示这个病毒: Unity3D游戏接入了穿山甲的广告Sdk ,我接入的版本为2022年12月07日15:26:28为止最新的 。而且我能确保对广告没有任何违规操作。 由于是上架oppo被打回,于是第一件事情肯定是先找oppo的客服,咨询一番发现客服是傻b。只会重复这一句:让开发去查。由于客服那边无法得到有效信息,于是在百度和谷歌搜索了一番。咦~竟然在oppo社区发现有类似的问题: 但是会发现他们的问题跟我的不
Android病毒分析基础(一)
Andy0214的专栏
03-01 5824
前期准备 环境准备 主要就是Android开发的环境,详细的可以参考非充老师白皮书第一章,其中包含了Win、Linux环境,如果需要mac环境配置可以自行检索,或者公众号留言,我们会在后期文章中专门增加一篇。 工具准备 反编译工具 1、apktool 2、jeb 3、jadx 4、GDA 样本获取网站 koodous appscan 在线查杀检测工具 FileLine 静态代码检测:火线 | FireLine | 静态代码检测 腾讯移动安全实验室:在线查毒-安全实验室-腾讯手机管家官方网站 deguar
“黑暗潜伏者” -- 手机病毒新型攻击方式
移动安全研究和Android/iOS/小程序隐私合规
11-17 2万+
近期百度安全实验室发现一款“黑暗潜伏者”新型手机病毒。该病毒附着在众多壁纸和游戏类应用中。截至目前,已经发现感染该病毒的应用超过1万多款,感染用户超过3000万。 该病毒恶意行为如下:1、 后台利用系统漏洞获取临时Root权限。2、 获取临时Root权限后,安装SysPhones.apk恶意程序为系统软件,安装Root后门程序zy到/system/bin目录。3、 SysPhones.apk根据服
Android病毒分析报告】 - Chuli
移动安全研究和Android/iOS/小程序隐私合规
04-03 5349
本文章由Jack_Jia编写,转载请注明出处。   文章链接:http://blog.csdn.net/jiazhijun/article/details/8754908 作者:Jack_Jia    邮箱: 309zhijun@163.com 一、病毒样本基本信息        Md5:0b8806b38b52bebfe39ff585639e2ea2        Pa

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值