移动端DroidKongfu病毒实例分析学习

最新推荐文章于 2024-05-31 20:24:29 发布
最新推荐文章于 2024-05-31 20:24:29 发布
阅读量874 收藏 1
点赞数 2
文章标签: android 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Th0r_Sec/article/details/124657273
版权

前言

纸上得来终觉浅,为了更好的将知识掌握,从网上下载了这个病毒的apk样本来分析学习。

正文

这里先将apk样本放到在线的文件分析平台看一下,这里选择的是国内的平台,书上推荐的是Mobile SANDBOX,这个平台有一个优势,就是会保存运行时的流量包,可以自己再对流量包进行手动分析。在等待平台跑出结果的时候,先自己手动分析一下。

这里先用Android Killer看一下java层的代码。

可以看到这里一共需要五个权限。

android.permission.INTERNET

android.permission.ACCESS_NETWORK_STATE

android.permission.ACCESS_WIFI_STATE

android.permission.READ_PHONE_STATE

android.permission.ACCESS_COARSE_LOCATION

总共申请获取了网络、WIFI、读取、定位这几个权限。

最低0.47元/天 解锁文章
Th0r_Sec
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
实战_分析病毒锁屏apk
qq_34108752的博客
09-20 356
样本:sjrj.apk 安装到手机上 运行 提示 要root权限 获取root权限后 出来 获取网络框 然后 就重启 重启后 被锁屏了 提示 这里输入密码 分析 一: androidKiller 反编译 sjrj.apk 搜索 关键字 这里输入密码 没结果 unicode编码 搜索 也没 搜索 qq关键字也没 这时就想 咋会没关键字了,正常来说 搜索关键字 会有的啊 关键字哪去了呢? ...
ANDROID MALWARE
05-25
This book is based on our years-long research conducted to systematically analyze emerging Android malware. Some of our earlier research results and findings were reported in an IEEE conference paper entitled Dissecting Android Malware: Characterization and Evolution, which was presented at the IEEE Symposium on Security and Privacy (often mentioned as Oakland conference in the security community) in May, 2012 [77]. During and after the conference, we were pleased to receive and hear inquiries from colleagues with encouraging comments on the systematization of knowledge work that has been conducted in our conference paper. Partially because of that, we are motivated to expand our work and hope such efforts will be of service to the security and privacy community. Further, as part of that, we have released corresponding malware dataset for our study under the name Android Malware Genome Projectto the community. With that, we want to take this opportunity to thank our collaborators, Dongyan Xu, Peng Ning, Xinyuan Wang, Shihong Zou, and others, whose valuable insights and comments greatly enriched our work. The authors are also grateful to colleagues in the Cyber Defense Lab at NC State University, especially Tyler Bletsch, Zhi Wang, Michael Grace, Deepa Srinivasan, Minh Q. Tran, Chiachih Wu, Wu Zhou, and Kunal Patel. Special thanks also go to Susan Lagerstrom-Fife and our publisher for their great help and patience! This research was supported in part by the US National Science Foundation (NSF) under Grants 0855297, 0855036, 0910767, and 0952640. Any opinions, findings, and conclusions or recommendations expressed in this material are those of the authors and should not be interpreted as necessarily representing the official policies or endorsements, either expressed or implied, for the NSF. 1 Introduction ........................................ 1 2 A Survey of Android Malware........................... 3 2.1 Malware Dataset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 2.2 Malware Characterization . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.1 Malware Installation . . . . . . . . . . . . . . . . . . . . . . . . . . 5 2.2.2 Activation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 2.2.3 Malicious Payloads . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 2.2.4 Permission Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18 3 Case Studies ........................................ 21 3.1 Malware I: Plankton . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1.1 Phoning Home . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21 3.1.2 Dynamic Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 3.2 Malware II: DroidKungFu . . . . . . . . . . . . . . . . . . . . . . . . . . . 23 3.2.1 Root Exploits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24 3.2.2 Command and Control (C&C) Servers . . . . . . . . . . . . . 24 3.2.3 Payloads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.2.4 Obfuscation, JNI, and Others . . . . . . . . . . . . . . . . . . . . 26 3.3 Malware III: AnserverBot. . . . . . . . . . . . . . . . . . . . . . . . . . . . 26 3.3.1 Anti-Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 3.3.2 Command and Control (C&C) Servers . . . . . . . . . . . . . 28 4 Discussion.......................................... 31 5 Additional Reading................................... 33 5.1 Books . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 5.1.1 Malware Detection and Defense . . . . . . . . . . . . . . . . . . 33 5.1.2 Smartphone (Apps) Security. . . . . . . . . . . . . . . . . . . . . 34 5.2 Conference and Workshop Proceedings . . . . . . . . . . . . . . . . . . 34 ix 6 Summary........................................... 37 References............................................ 39 Index ................................................ 43
会发送通知信息的Android手机病毒
亚信安全-云安全博客
11-25 1621
作者:趋势科技威胁分析师Mark Balanza 趋势科技最近分析了手机病毒DroidKungFu的最新变种:ANDROIDOS_KUNGFU.CI。当我们监控ANDROIDOS_KUNGFU.CI与远程服务器之间的网络通讯时,偶然看到了一个删除特定软件的指令。 在上图所示的指令中,服务器正在指示恶意软件删除一个名为com.practical.share的软件。趋势科技以前
最流行的10种Android恶意软件类别解释
ybdesire的专栏
02-10 5918
Android恶意软件的专业分类方法,比如GinMaster,Geinimi,你认识吗?
一次简单的分析手机APK病毒木马
aozhuo4755的博客
01-07 1488
写个笔记记录一下,起因是朋友在QQ上发了个连接叫我看看 安不安全,叫我帮他看看,反正在店里待着也没生意,那就顺便看看咯。 打开这个网址 会自动弹出下载一个名为OOXX的APK安装包。 起先我的思路是想先从这个网站下手!先搞定这个网站或者服务器吧, 然后我就去网站主页看了下。是一个网址缩短(变形)的网站。 那么我们给地址还原成真实地址,http://1...
Android病毒分析报告】 - Extension
移动编程
02-28 158
本文章由Jack_Jia编写,转载请注明出处。文章链接:http://blog.csdn.net/jiazhijun/article/details/8623275作者:Jack_Jia 邮箱:309zhijun@163.com 一、序言 随着Android手持设备数量的飞速增长,越来越多的病毒开发者开始聚焦到Android平台。为了躲避杀毒软件的查杀,病毒代码的复杂度也在...
Android病毒分析基础(一)
Andy0214的专栏
03-01 5771
前期准备 环境准备 主要就是Android开发的环境,详细的可以参考非充老师白皮书第一章,其中包含了Win、Linux环境,如果需要mac环境配置可以自行检索,或者公众号留言,我们会在后期文章中专门增加一篇。 工具准备 反编译工具 1、apktool 2、jeb 3、jadx 4、GDA 样本获取网站 koodous appscan 在线查杀检测工具 FileLine 静态代码检测:火线 | FireLine | 静态代码检测 腾讯移动安全实验室:在线查毒-安全实验室-腾讯手机管家官方网站 deguar
Android病毒样本分析(1)
ireader135的博客
03-23 1952
1.基本信息 病毒名称: 1.apk 文件名称: 建设控件 文件MD5: 5B22058C7632AA3211987B1ABDD8E3D0 文件包名: tk.jianmo.study 数字签名:O=1_sign.apk   2.基本行为 程序启动后直接进入锁屏界面,开机自启动,按键无响应 3.详细分析 1.  通过改写onKeyDown方法,屏蔽
恶意软件检测正常apk样本整理
qq_44976743的博客
07-10 1547
恶意软件检测正常apk样本整理说明 说明 本学期因一门课的原因做了恶意软件检测的项目,做的是安卓的软件方面的,然后通过老师跟研究生学长要了恶意apk的样本,恶意软件就先不分享了,正常样本的话,自己用别人爬虫好的大量网址,遍历下载整理了大量的正常apk样本,然后也有直接从国外的网站下下来的,整理如下: Normal1:400个 Normal2:500个 Normal3:220个 Normal4:99个 !!!注意先保存再下载,也不要在线解压!!! Normal1的百度网盘链接:normal1的百度网盘链接
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
hgfujffg的博客
11-13 1193
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
Android中focusableInTouchMode会导致第一次点击事件失效
Ung8023
05-31 72
我们很多时候会对某些View设置点击事件,但是,当对这个View同时设置了。,在Activity代码中对View设置点击事件。会被消费为为此View获取焦点。创建一个View,并同时指定了。
详解 QtAndroid::requestPermissionsSync
github_37290846的博客
05-27 304
在这个示例中,我们首先创建了一个包含所需权限的字符串列表,然后使用 QtAndroid::requestPermissionsSync 函数同步请求这些权限。根据用户的响应,我们可以决定是继续执行需要权限的操作,还是处理权限被拒绝的情况。然而,QtAndroid::requestPermissionsSync 提供了一个简单的同步解决方案,特别适用于某些需要立即获取权限的场景。最后,由于 Qt 和 Android 平台的不断更新,建议查阅最新的 Qt 文档以获取最准确和最新的信息。
android recyclerView緩存數量 recycleview的缓存
hcgeng的专栏
05-31 179
1.上下滑动,底部和顶部的Item会添加,这时会先根据viewHolder的position,从二级缓存中查找,存在,直接使用,不用重新绑定数据,直接将ViewHolder放入一级缓存。2.根据二级缓存数(不做设置,默认2),如果小于缓存数,直接放入二级缓存,否则,将二级缓存中最先放入的item,移出放入四级缓存,再将其放入二级缓存。第一次加载,1、2、4级缓存均无数据,所以会创建适配器,并从中绑定数据,再根据界面需显示的数据项,并将其viewholder设置到一级缓存中。并由内部类Recycle来管理。
Android USB调试模式下自动上下滑动(Go实现)
听我一言的博客
05-28 463
Golang实现通过ADB控制手机自动上下滑动
Unity 之 Android 【获取设备的序列号 (Serial Number)/Android_ID】功能的简单封装
仙魁XAN
05-28 1046
Unity 是一个功能强大的跨平台游戏引擎,广泛用于开发视频游戏和其他实时3D互动内容,如模拟器和虚拟现实应用。Unity 进阶开发涉及更复杂的技术和更深入的知识,以创建高性能、复杂和专业的游戏和应用程序。
Android】点击图片获取点击位置在图片中的位置
每天不是在写bug就是在写bug的路上
05-31 190
android图片点击获取位置
3.location的写法
u010198709的博客
05-28 293
让服务器接收到请求后,根据需求改写地址,以改写的地址给客户端响应。优先级: =, ^~, ~, ~*, location /nginx通过fastCGI机制调用PHP,处理动态资源。php以fpm的方式运行,有自己独立的进程、服务。将httpd换为nginx,高并发、高性能。作用: 匹配客户端响应。
深入分析 Android Activity (五)
结合项目案例,记录点点滴滴,自己回顾,分享他人o__o
05-27 691
深入理解和掌握Activity的各个方面,包括其生命周期、内存管理、进程和线程模型、配置变化处理、调试和测试,对于开发高效、稳定和用户友好的 Android 应用程序至关重要。通过不断学习和实践,可以提升应用程序的性能和用户体验,满足不断变化的用户需求。
Android输入法IME(二)
最新发布
薛文旺
05-31 270
【代码】Android输入法IME(二)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值