一.文件信息
文件名:tx.qq898507339.bzy9-1.apk
MD5:77603118E1B061374DDB8A4D1EA70CB2
SHA1:A85B9387DD598E64548F6443D4359F21E02CBC90
CRC32:FFD5907D
描述:该软件是使用了梆梆加固的恶意锁机病毒,程序安装后提示需要激活,骗取用户信任,激活后立即重置锁屏密码并锁屏。该程序对用户的使用造成了非常大的侵害。
病毒行为:重置密码
发出状态栏通知
激活设备管理器
添加悬浮窗口
运行图标:
二.病毒破解
使用DexExtractor工具进行脱壳。
- 调试启动程序
- 使用moniter监控日志
- 将dex文件dump出来
- 使用Decode.jar解码
分析dump出的dex文件,在AndroidMainfest.xml文件中得知主活动完整包名。
分析得出密码:>>>qq 898507339 bzy>>
四 .总结
梆梆加固是多进程检测反调试,我们无法使用IDA 过梆梆的反调试,但是可以使用DexExtractor工具dump出dex文件。
下载地址:https://github.com/bunnyblue/DexExtractor。其实他的原理也很简单,就是修改系统的DexFile.cpp源码,在解析dex的函数开头处加上自己的dumpdex逻辑: