Android病毒分析实战(二)_androidmanifest

最新推荐文章于 2024-07-18 11:07:23 发布
最新推荐文章于 2024-07-18 11:07:23 发布
阅读量289 收藏 7
点赞数 4
分类专栏: 程序员 文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84973153/article/details/138936441
版权 
+ - [样本无法安装](#_18)
	- [强混淆方法hook、字符串解密](#hook_28)
+ [总结](#_83)

今天星友求助一个类似杀猪盘的样本。该样本有以下几个点需要攻克:

分析过程

1、AndroidManifest.xml经过处理:
file
2、整个样本的字符串全部经过加密,解密方法名经过强混淆:
file
3、资源文件也经过了混淆:
file
4、样本伪加密:
file
5、样本无法安装(签名问题):
file

接下来我们来解决一下2、5两个问题。

详细问题

样本无法安装

我们看样本安装报错,提示签名问题,我们直接上Xposed模块:核心破解
核心破解的主要功能:
1、允许降级安装应用
2、允许安装签名错误的apk
3、允许在使用不同签名的情况下覆盖安装
缺点:
当前版本只支持安卓10-12
file

强混淆方法hook、字符串解密

file
接下来我们hook一下这个加密方法,简单的hook我们直接使用objection即可:

hook 监测该类,可以看到只有这一个方法:

objection -g com.biaoqyun.tongchengaglao explore
android hooking watch class b6p.alur0e.fmjoi

file
我们直接复制,hook该方法,报错,找不到这个方法:
file
这样看直接hook这个方法显然是有问题,因为其中包含了各种字符,frida在解析这个方法时由于乱码的原因,无法正常解析道这个类,这样看来我们只能想其他办法了。

曲线救国,可以试试hook它的上层调用a.c,打印对应的参数和返回值来看,其中的参数即是解密后的字符串。

得到结果如下:

android hooking watch class_method com.g
aoyuan.mianshu.k.c.a --dump-args --dump-return

file
从上图我们可以看到有RSA密钥,以及返回的一些URL。

这样的缺点是只能知道这一块的字符串解密内容,其他的还是无法定位,这样看还是需要hook这个混淆的方法。

我们的大佬提供了解决方法,可以hook混淆方法,展示一下hook到的结果:
file
我们也可以根据打印出来的字符串在jadx中搜索对应的字符串然后继续分析代码

hook代码如下:

Java.perform(
    function() {
 
        var targetClass = "b6p.alur0e.fmjoi";
 
        var hookCls = Java.use(targetClass);
        var methods = hookCls.class.getDeclaredMethods();
 

        var methodname = encodeURIComponent(methods[0].toString().replace(/^.\*?\.([^\s\.\(\)]+)\(.\*?$/, "$1"));//对字符串进行js自己编码

 
        hookCls[decodeURIComponent(methodname)]//使用的时候再去解码
## 最后

**自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。**

**深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!**

**因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。**

![img](https://img-blog.csdnimg.cn/img_convert/71f996327dfc5827252f9ebf9fd8d919.png)

![img](https://img-blog.csdnimg.cn/img_convert/762bd241d33bfb6bf896dcf5b9fb7976.png)

![img](https://img-blog.csdnimg.cn/img_convert/57898fae388aaf27813d030f09c931ea.png)

![img](https://img-blog.csdnimg.cn/img_convert/f635c1c48f2d17162dab4423446683ff.png)

![img](https://img-blog.csdnimg.cn/img_convert/5f7571dd5cac04669a492ddca5153685.png)

 

**既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!**

[**如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**

份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

**由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!**
2401_84973153
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android恶意样本分析——frida破解三层锁机样本
Test网络安全
08-31 6683
Android 恶意样本分析——三层锁机样本破解 一、样本介绍 最近在吾爱上看到一个三层锁机的样本,恰好最近在学习研究Frida,通过动静态分析来彻底了解一下这个锁机样本。 、实验环境 夜神模拟器+Kali jadx-gui Visual Studio Code Android Studio 三、实验步骤 (1)静态分析 我们先通过jadx-gui打开恶意样本程序,开始静态分析: 我们在AndroidManifest.xml文件中可以找到样本的入口点,可以..
android JSBridge 漏洞挖掘
weixin_40418457的博客
05-06 869
一、概述 1. JSBridge介绍 什么是JSBridge主要是给 JavaScript 提供调用 Native 功能的接口,让混合开发中的前端部分可以方便地使用 Native 的功能(例如:地址位置、摄像头)。 而且 JSBridge 的功能不止调用 Native 功能这么简单宽泛。实际上,JSBridge 就像其名称中的Bridge的意义一样,是 Native 和非 Native 之间的桥梁,它的核心是构建 Native 和非 Native 间消息通信的通道,而且这个通信的通道是双向的。 双向通信的通
Android病毒分析实战
Andy0214的专栏
08-25 4774
今天星友求助一个类似杀猪盘的样本。该样本有以下几个点需要攻克:1、AndroidManifest.xml经过处理:2、整个样本的字符串全部经过加密,解密方法名经过强混淆:3、资源文件也经过了混淆:4、样本伪加密:5、样本无法安装(签名问题):接下来我们来解决一下2、5两个问题。
Android端恶意代码检测学习之路——(1)静态分析
qq_45378281的博客
10-13 1859
菜鸡学习之路
Android 逆向工程,反编译心得
TDSSS的博客
05-26 2429
android逆向工程,反编译,破解apk
Android入门基础教程
热门推荐
晨曦的博客
03-03 2万+
目录 第1章 Android Studio运行第一个程序 1.1 Android Studio下载: 1.1.1 Android开发者官网: 1.1.2 下载Android Studio开发者工具: 1.2 Android Studio安装: 1.3 第一个Android应用程序: 第1章 Android Studio运行第一个程序 1.1 Android Studio下载: 1.1.1 Android开发者官网: https://developer.android.........
Android 逆向学习【2】——APK基本结构
weixin_42090431的博客
05-22 1236
APK安装在安卓机器上的,相当于就是windows的exe文件APK实际上是个压缩包 只要是压缩的东西 .jar也是压缩包 里面是.class(java编译后的一些东西)APK是Android Package的缩写,即Android安装包。而apk文件其实就是一个压缩包,我们可以将apk文件的后缀改为.zip来观察apk中的文件。
《教我兄弟学Android逆向12 编写xpose模块》
会飞的丑小鸭的博客
01-09 8786
上一篇 《教我兄弟学Android逆向11 动态调试init_array》我带你 用IDA动态调试了init_array段和JNI_OnLoad里面的方法,虽然你学的很吃力,但是经过自己不断上网查阅资料,花了几天的时间终于把不懂的地方弄清楚了。你从网上面加了好几个Android逆向学习交流群,看到群里面有人说xposed相关的内容,你听的云里雾里的,想到之前面试的时候面试官也问过xpose相关的问...
Android金融支付常见加解密算法及安全防护
liminwu_6的博客
10-31 1886
引言 因为本人从事的金融 IC 卡和移动支付相关的开发工作,在日常研发过程中,对 APP 信息安全防护方面尤为重视,所以现总结下金融支付相关的加解密算法以及常见的安全防范措施。 Android 端常见的加解密算法 加密算法根据内容是否可以还原分为可逆加密和非可逆加密 。 可逆加密根据其加密解密是否使用的同一个密钥而可以分为对称加密和非对称加密。 对称加密即是指在加密和解密时使用
Android项目实战,手机安全卫士.zip
08-17
Android项目实战:手机安全卫士》是一款基于Java编程语言的Android应用程序,旨在提供全面的手机安全管理服务。这个项目不仅提供了源码分享,为开发者提供了一个深入学习Android开发和实践应用安全策略的宝贵资源...
传智播客_Andorid_Android项目手机卫士视频video_day08视频
05-17
【标题】"传智播客_Andorid_Android项目手机卫士视频video_day08视频"涉及的是Android应用开发中的一个实战项目——“手机卫士”。这个项目旨在帮助学习者理解如何利用Android SDK来构建一个实用的安全类应用程序,...
传智播客_Andorid_Android项目手机卫士视频video_day03视频
11-03
8. **网络通信**:掌握使用HttpURLConnection或OkHttp进行网络请求,获取远程数据,如更新病毒库或者上传可疑文件分析结果。 9. **多线程编程**:在Android中,为了不影响用户体验,需要在后台线程执行耗时操作。...
传智播客_Andorid_Android项目手机卫士视频video_day05视频
01-09
在本课程中,“传智播客_Andorid_Android项目手机卫士视频video_day05视频.zip”聚焦于Android开发实战,特别是构建一个名为“手机卫士”的应用。这个项目旨在帮助开发者提升对Android系统底层机制、应用程序设计...
Android项目实战——手机安全卫士开发案例解析
07-14
在本“Android项目实战——手机安全卫士开发案例解析”中,我们将深入探讨如何构建一个功能完备的手机安全应用,涵盖Android开发的核心技术与实践策略。这个案例将帮助初学者和有一定经验的开发者理解Android应用的...
展开说说:Android之View基础知识解析
Hidanchaofan的博客
07-13 912
View虽不属于Android四代组件,但应用程度却非常非常广泛。在Android客户端,君所见之处皆是View。我们看到的Button、ImageView、TextView等等可视化的控件都是View,ViewGroup是View的子类因此它也是View。但是现在我们把View和ViewGroup当成两个类来看待,ViewGroup可以容纳View和ViewGroup,但View不可以再容纳其他View或ViewGroup,这种容纳的关系可以一直延伸仿佛一棵大树,从内而外有了父子关系,因此有个概念叫做Vi
【16】Android基础知识之Window() - ViewRootImpl
mr_zengkun的博客
07-16 603
ViewRootImpl、WMS、绘制、硬件加速
更新weibo sdk(去掉so以适配Android 15的16K Page Size的版本)记录
最新发布
piggy514的博客
07-18 193
解决:据此提示判断weibo sdk使用了androidx;我的工程很懒,一般只更新业务代码,但既然要用weibo sdk,所以也必须把那些import android.support.改为使用androidx了。解决:意即 minSdkVersion 至少26,所以要修改各模块build.gradle里的minSdkVersion。解决:修改各模块build.gradle里的compileSdkVersion的值,至少34。解决:在模块build.gradle的android {} 里增加。
深入探索Laravel框架中的Blade模板引擎
2402_85762143的博客
07-14 788
Blade是Laravel框架自带的模板引擎,它允许你使用纯PHP代码来编写HTML模板。Blade的语法非常简洁,它使用双大括号{{ }}来输出数据,使用三组大括号!!!来输出未转义的HTML内容,以及使用符号来定义控制结构,比如@foreach@if等。
android.permission.WRITE_EXTERNAL_STORAGE
01-25
Android中的`android.permission.WRITE_EXTERNAL_STORAGE`权限用于访问外部存储设备(如SD卡)的写入权限。以下是Android 11及以上版本和Android 6.0到Android 10版本的适配方法: 1. Android 11及以上版本: 在AndroidManifest.xml文件中添加以下权限: ```xml <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" /> ``` 然后,在代码中使用`ACTION_MANAGE_APP_ALL_FILES_ACCESS_PERMISSION`权限来请求用户授权操作手机中的文件管理: ```java Intent intent = new Intent(Settings.ACTION_MANAGE_APP_ALL_FILES_ACCESS_PERMISSION); intent.setData(Uri.parse("package:" + getPackageName())); startActivity(intent); ``` 2. Android 6.0到Android 10版本: 在AndroidManifest.xml文件中添加以下权限: ```xml <uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE" /> <uses-permission android:name="android.permission.READ_EXTERNAL_STORAGE" /> ``` 然后,在代码中使用运行时权限来请求用户授权: ```java if (Build.VERSION.SDK_INT >= Build.VERSION_CODES.M) { if (checkSelfPermission(Manifest.permission.WRITE_EXTERNAL_STORAGE) != PackageManager.PERMISSION_GRANTED) { requestPermissions(new String[]{Manifest.permission.WRITE_EXTERNAL_STORAGE}, REQUEST_CODE); } } ``` 请注意,从Android 11开始,即使在AndroidManifest.xml中声明了存储权限,也需要在代码中动态请求权限。此外,Android 11及以上版本的存储权限只允许访问媒体文件,无法直接操作手机的文件管理。只有通过`ACTION_MANAGE_APP_ALL_FILES_ACCESS_PERMISSION`权限才能操作手机中的文件管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值