Android恶意样本分析——frida破解三层锁机样本

最新推荐文章于 2023-02-09 20:49:36 发布
最新推荐文章于 2023-02-09 20:49:36 发布
阅读量6.7k 收藏 17
点赞数
分类专栏: 逆向工程 文章标签: android Android安全 代码分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mozibai666/article/details/120015440
版权
本文详细介绍了如何使用Frida结合静态和动态分析技术,破解一个三层锁机的Android恶意样本。通过jadx-gui进行静态分析,定位到关键类和hook点,然后使用objection和Frida进行动态分析,逐步解锁样本的三层防护。实验总结了利用frida技术理解恶意样本的工作原理,加深了对frida的运用。
摘要由CSDN通过智能技术生成

Android 恶意样本分析——三层锁机样本破解

 

一、样本介绍

最近在吾爱上看到一个三层锁机的样本,恰好最近在学习研究Frida,通过动静态分析来彻底了解一下这个锁机样本。

二、实验环境

夜神模拟器+Kali

jadx-gui

Visual Studio Code

Android Studio

三、实验步骤

(1)静态分析

我们先通过jadx-gui打开恶意样本程序,开始静态分析:

image-20210830143432238

 我们在AndroidManifest.xml文件中可以找到样本的入口点,可以发现样本中存在三个service,这个是样本后续实现三层锁机的服务,我们进入MainActivity

image-20210830143813056

代码解释:

1)我们可以看出入口处使用ADRTLogCatReader记录软件运行期间所产生的日志,这是大部分锁机样本都会用到的。

2)使用是startService启动服务,然后通过Class.forName隐式的跳转Activity,然后传入活动,并启动intent跳转

然后我们定位到跳转的类com.k7.qq2856437148.K7

image-20210830145804065

最低0.47元/天 解锁文章
陈子政
关注
专栏目录
多层Android锁机样本分析
a825623224的博客
04-14 1509
Android锁机软件分析作者:云在天(Harry)吾爱破解 原文地址:多层Android锁机样本分析 https://www.52pojie.cn/thread-701201-1-1.html (出处: 吾爱破解论坛) 所用工具安卓模拟器 Eclipse JEB2 Android Killer行为分析这个木马是以一个软件【刺激战场辅助盒子】为载体,释放的锁机病毒。我们直接在模
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
hgfujffg的博客
11-13 1258
Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
Android锁机样本分析
yusakul的博客
02-22 1950
样本基本信息 样本包名:Android.qun.zhu.an.zhuo.kou.kou MD5值: 36f2db49dcb62247055df771dca47bde 来源:52破解论坛某求助贴。 样本目录结构 申请权限 android.permission.SYSTEM_ALERT_WINDOW,显示系统窗口,能全局弹出对话框 android.permission.RECEIVE_BOOT_C...
android锁机如何制作教程视频教程,Android一枚简单锁机样本的测试与浅析
weixin_33046149的博客
05-28 6198
昨天看到论坛病毒样本区有一位朋友碰到了Android锁机,此前一直都是看大神们分析,这次自己来动手分析一波。首先安装锁机样本,授予root权限,然后重启设备,这里我用的mac版的xx模拟器。然后就会看到如下画面 一、准备工作这类软件通常会在系统目录中植入一个apk来执行锁机代码。我们通过对比很容易就发现,安装之后多了一个包名为com.ats.yr的软件。 利用adb命令找到该软件目录,并把它pul...
Android恶意软件样本分析工具APKinspector免费版
08-06
APKinspector是一款强大的工具,可以帮助分析人员手动分析Android恶意软件样本,GUI部分使用了PyQT。 APKinspector的主要特点如下: (1) Graph-based UI displaying control flow of the code. (2) Links from graph view to source view. (3) Function/Obj
Android病毒样本分析(4)
ireader135的博客
03-25 4290
1.基本信息 病毒名称: SD-Booster.apk 文件名称: SD-booster 文件MD5: 50836808A5FE7FEBB6CE8B2109D6C93A 文件包名: de.mehrmannd.sdbooster 危害属性: 代码捆绑、软件静默安装   2.基本行为 这个样本通过捆绑软件SD-Booster来达到感染的目的,在安装运行被感染的SD-Booste
Android 渗透测试 frida——Brida 插件加解密实战演示1
08-03
1、Brida.jar 为 Burpsuite 插件 2、bridaServicePyro 是于 Frida 适配到 burpsuite 上的 python 脚
Android应用安全实战:Frida协议分析.docx
09-13
Android 应用安全实战:Frida 协议分析 Android 应用安全是目前智能手机安全中最重要的问题之一。随着智能手机的普及,Android 应用安全问题越来越受到关注。Android 应用安全不仅关系到用户的隐私和财产安全,还...
记一次frida实战——对某视频APP的脱壳、hook破解、模拟抓包、协议分析一条龙服务1
08-03
一、前言前天看雪学院frida 是一个十分强大的工具,已经学习它有一段时间了,但也只是零零碎碎的练习与使用。最近在对一个 APP 进行分析的过程中,使用 fri
锁机源码,打开自己看
08-27
安卓锁机制作教程重启双清无效
锁机生成器
02-07
这是一款可以生成锁机的软件
终极锁机生成器
02-07
这是一款可以生成锁机的软件
一个Android通用svc跟踪以及hook方案——Frida-Seccomp.zip
最新发布
01-15
通过系统性的规划和执行,方案能够分析问题的根本原因,提供可行的解决方案,并引导实施过程,确保问题得到合理解决。 目标达成: 方案通常与明确的目标相关联,它提供了一种达成这些目标的计划。无论是企业战略、...
Android 恶意样本 md5,恶意样本分析手册——常用方法篇
weixin_33187773的博客
05-28 850
一、文件识别常见的可执行程序格式有PE,ELF,MACH-O等,不同的格式有不同的标志信息(参考理论篇),知道了目标文件的格式后才能确定对应的分析方法和分析工具。可以使用16进制解析器载入可执行程序,然后查看是哪种类型的文件。图:PE文件格式图:ELF文件格式一般二进制文件的前四个字节为文件格式的magic,可以通过从网络搜索获得文件的信息,或者使用相关的工具(PEID,file)等进行自动识别。...
2020年 Android平台恶意样本整体态势分析报告
glb111的博客
02-09 797
本文是学习而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们。
Android版本的"Wannacry"文件加密病毒样本分析(附带锁机)
omnispace的博客
08-24 1111
一、前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财。不给钱就删除。但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个病毒样本,就抽空看了一下,下面就来分析一下这个病毒样本程序。 二、病毒样本分析 首先国际惯例,这类的病毒都是用一些特殊的app名称吸引诱导用户下载,这里是一个叫做:魅影WIFI,下载安装之后界面
大神论坛 Android多层锁机样本逆向脱壳分析与解 (附样本源文件)
xiaotuge_always的博客
05-29 467
用到的工具: 1.模拟器 2.android studio(看日志和运算结果) 3.jeb或者任何可以反编译apk工具 反编译后简单看一下入口activity @Override protected void onCreate(Bundle arg14) { Class v8; LogCatBroadcaster.start(this); super.onCreate(arg14); try { v8 = Cla
安卓逆向系列教程 4.2 分析锁机软件
热门推荐
龙哥盟
01-28 4万+
安卓逆向系列教程 4.2 分析锁机软件 作者:飞龙 这个教程中我们要分析一个锁机软件。像这种软件都比较简单,完全可以顺着入口看下去,但我这里还是用关键点来定位。首先这个软件的截图是这样,进入这个界面之后,除非退出模拟器,否则没办法回到桌面。上面那个“时空先生”是个按钮,直接按下会提示“密码错了”。我们以这个词为关键词来搜索:发现字符串资源的名称是_?m@0x7f040007。我们到public.
Android渗透测试:使用Frida与Brida进行加解密实战
"本文主要介绍了如何使用Brida这一Android渗透测试工具,特别是与Frida结合进行加解密实战。Brida是一款Burpsuite的插件,它通过Python脚本bridaServicePyro与Frida协作,实现对目标应用程序的JavaScript脚本注入,...
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值