文章关键词:电子数据取证、手机取证、介质取证、逆向分析
一、前言
随着智能手机和互联网技术的发展,各种终端应用软件应运而生。本文研究了APK结构、提取方式、逆向分析工具等,并通过实际案例,按照电子数据取证流程从静态分析和动态分析两方面研究了手机APK的取证方法。
二、案件背景
Android平台因其开放性和高效性的特点,深受用户青睐,成为各种恶意应用和手机病毒主要攻击对象,各种安卓安装包(APK)给用户带来便利的同时,也给移动网络安全带来很大隐患,为犯罪分子提供了可乘之机。
Android手机在使用一段时间后,会莫名多出一些APK件,运行速度也越来越慢,有些恶意手机木马会将用户手机上的通讯录等信息进行上传,泄露用户隐私,有些扣费木马会通过发送短信进行自动扣费,有些木马会拦截用户短信从而窃取银行卡密码等。
三、APK逆向分析
Android APK的逆向分析是指将APK程序用反编译工具进行反汇编,通过分析反汇编的代码来理解应用程序的功能,该技术是目前对恶意代码类案件进行检验的重要手段。
3.1APK的提取方式
提取Android手机应用(APK)的方法主要分为三种:
1. 网络提取:通过网络链接获取APK,比如从百度网盘下载或者通过短信中的链接下载。这种方式依赖于应用的在线存储和传输,可以在用户主动下载应用时进行提取。
2. 手机内提取:从手机内部获取APK,可以通过直接查找安装文件进行提取。使用ADB命令也是一种有效的方式,通过连接手机进行文件提取。即使应用被删除,专用数据恢复软件可以在手机镜像中进行恢复提取。如果从网盘获悉某可疑APK的下载信息,但链接失效,可以通过全盘镜像搜索,查找用户是否曾安装过该应用并留存在镜像中。
3. 第三方工具提取:利用第三方工具如360手机助手等软件,连接电脑和手机后,从手机中找到目标文件,然后导出成APK格式的文件。这种方式相对简便,适合不具备专业技术背景的用户。
这三种提取方式各有优势和适用场景,具体选择取决于调查者的需求、条件和技术能力。
3.2逆向分析工具
APK反编译有四种方法,一是在JAVA环境下可以用Apktool、dex2jar、jd-gui等工具将APK文件进行反编译。其中Apktool工具,能查看res文件下xml文件、AndroidManifest.xml和图片;dex2jar工具将APK反编译成Java源码(classes.dex转化成jar文件);jd-gui工具作用是查看APK中classes.dex转化成的jar文件,即源码文件。这是一种比较传统的反编译方法,用此办法反编译得到的源码结构清晰,可读性好,适合有一定反编译基础的取证人员使用。
二是使用jadx-gui bat工具(前提是配置好JAVA环境),该工具操作非常简单,反编译能力强,代码结构友好,只要将需要反编译的APK文件拖到工具界面中即可反编译,它将APK的XML资源也一并反编译,jadx能让我们在找到关键代码的同时,找到在哪些地方调用或者引用了它,还能一键导出Gradle工程,搜索功能也非常方便,而且支持多平台操作。虽然大于50M的文件出现卡顿现象,但可以满足大部分取证工作中反编译的需求。
三是使用Android killer工具,它是一款免费可视化安卓反编译软件箱,其实是对第一种方法提到的操作进行一系列的封装,功能强大,使用起来简单方便,能快速分析出一个复杂的APP执行的流程,也可以进行搜索,但只能在windows平台下使用。Android killer也是电子取证工作中的一种常用工具。
四是使用IDA pro工具,它是一款世界顶级的交互式反汇编工具,是一款收费软件,不存在任何注册机、注册码和破解码,具有更好的反汇编、深层分析的能力。
3.3获取的权限
对安卓应用程序来说,AndroidManifest.xml是最重要的信息源,同时也是侦查破案工作中分析的重点,Manifest中包含有该APK能够获取的权限等信息,一个恶意木马APK往往会拥有许多权限[9]。如果拥有短信权限(编辑短信、发送短信、读写短信、拦截短信)、手机权限(获取手机号码、搜集用户IMEI号、系统版本号、拨打电话、拦截电话)、通讯录权限(读取通讯录、删除通讯录)、相机权限、位置权限(获取位置、发送位置)、访问网络等过于隐私的权限,应该对此APK文件进行重点分析。
3.4逆向工具分析APK文件(以Jadx-gui工具为例)
首先在win11操作系统电脑上配置安装好JDK8环境,启动Jadx-gui工具。加载APK应用程序,如图1所示,加载后可以看到源代码、资源文件、证书三大类。双击证书可以查看证书内容,证书中包含我们需要关注的公钥信息、签名信息等。双击资源文件里的AndroidManifest.xml可以对AndroidManifest.xml进行查看分析,看到AndroidManifest.xml的获取权限如图1所示。
在Jadx-gui工具下,利用Jadx-gui的搜索功能,能更快捷地找到线索。如通过搜索关键词“@”,查找APK的回传邮箱,搜索关键词“http”,查找APK中链接或者回传网络地址,搜索"Password”“sms”“cnontact”等关键词,可以在代码中查找有关的短信、联系人的代码函数,如图2所示。
图二 利用搜索关键词获取信息
然后再具体分析源代码,找到功能函数,进一步分析出APK文件的功能,找到回传地址和手机号。
四、实战分析取证
案例情况:在某开发区,一家企业老板收到一条陌生短信,内容包含一个链接。好奇心驱使下,老板点击了链接进行查看。几天后,老板在手机上接到一条似乎来自熟人的短信,内容是请求借款,金额高达30余万元。出于信任,老板迅速完成了汇款,但事后发现自己被骗。为了调查此事件,取证人员在老板的手机中发现了一个疑似APK文件,决定对其进行详细分析。
4.1静态分析
使用Apktool工具对APK文件进行反编译,在生成的文件中,对AndroidManifest.xml进行查看分析,然后使用jd-gui工具打开classes-dex2jar.Jar查看具体代码。
AndroidManifest.xml的权限主要有:android.permission.READ_CONTACTS:允许应用访问联系人通讯录信息;
android.permission.READ_SMS:读取短信内容;android.permission.WRITE_EXTERNAL_STORAGE:允许程序写入外部存储,如SD卡上写文件;
android.permission.INTERNET:访问网络连接,可能产生GPRS流量。
可以看出AndroidManifest.xml主要有接收、读取、写入、回传等功能。通过阅读分析主要函数的代码,找到了getMail()、getNber()、getPass()这三个函数以及回传邮箱函数代码如图3所示。
图三 获取回传邮箱代码
通过分析:邮箱函数返回值pkeyc+pkeye+pkeyl+pkeyk+pkeyg为:shi* * 449@yeah.net;电话号码返回值pkeyh+pkeya+pkeyi+pkeyf为:131526* * 121;密码函数返回值pkeyb+pkeyi+pkeyd为:sish* * *。由此通过取证得到攻击者手机号为131526* * 121(归属地为广西南宁市),回传邮箱地址为shi* * 449@yeah.net,密码为sish* * *。我们登录此邮箱进行验证,发现收件箱有受害者发送的邮件,验证了此邮箱的确为嫌疑人回传邮箱。
仔细分析源代码,发现程序通过getTelNum()函数来获取手机号码,以及手机的型号、版本等信息,通过getSmsInPhone()获取手机里的短信,通过getPeopleNameFromPerson()获取个人通讯录等,然后将获取到的短信等信息发送到指定邮箱,并将短信、通讯录回传至木马携带的手机号。也可以从DuanXinReceiver()这个类入手,它实现接收信息并广播发送给接收者,最终将获取到的信息通过smsAndMail()函数、SendDXMail()等函数发送至指定邮箱。SendDXMail()调用了getMail()和getPass()函数,如图4所示,右击查看函数引用,同样能获取到回传邮件地址和密码。
图四 函数代码截图
经代码分析,得知该APK文件主要功能为获取用户的通讯录、短信,将数据回传至木马携带的邮箱地址,实时拦截短信,并将短信回传至木马携带的手机号。此次取证分析及时有效,有力地为案件侦查提供了线索,从而使案件得以快速侦破。
4.2动态仿真模拟
1.安卓模拟器模拟
下载安卓模拟器-逍遥模拟器,将APK文件在逍遥模拟器中进行安装。安装完毕,可以看到此APK图标为word格式图标,大小1.84MB,同时查看其权限,如图5所示:这些权限跟AndroidManifest.xml里的权限是一致的。
2.采用Fiddler抓包测试
通过运行Fiddler软件,对该APK进行抓包测试。首先打开Fiddler软件,对逍遥模拟器进行设置代理,对安装好APK软件的逍遥模拟器进行激发,触发此木马APK的行为,从而进行抓包获取其网络行为。通过此办法测试出涉案APK多次对邮箱进行登录,并发送通讯录、短信等信息。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
