今天我的小网站出问题了,只好先写到博客了。
0x00 摘要
前两天有朋友在Q群里发一个QQ悄悄话查看器.apk,因为我之前有研究过,知道查看是不可能的,肯定是骗人的软件(当然了,其实当时我想的是,如果真的可以查看,我要看看他的原理是什么,我断定不可查看是因为:链接)
后来看到有人说,是一款恶搞的软件,很多人中招。
今天周六,看网上也没人分析,就抽时间分析了下。分析后发现……原来没人分析,是因为并没有分析的价值……
0x01软件概述
0x02分析实现下载地址:从网上随便找的,本身就是假软件,应该不会再有假的了。
文件:qqqqhckq.apk
大小:580 KB(594,446 字节)
占用空间:584 KB(598,016 字节)
MD5:b1 3c 0c e0 b9 d8 a5 91 f8 79 b4 9a dd 00 20 7a
包名:com.o(这包名我也是醉了)
签名:(谷歌测试签名?)
所有者:EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=MountainView, ST=California, C=US
发布者:EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=MountainView, ST=California, C=US
序列号:936eacbe07f201df
有效期开始日期: FriFeb 29 09:33:46 CST 2008, 截止日期: Tue Jul 17 09:33:46 CST 2035
证书指纹:
MD5: E8:9B:15:8E:4B:CF:98:8E:BD:09:EB:83:F5:37:8E:87
SHA1: 61:ED:37:7E:85:D3:86:A8:DF:EE:6B:86:4B:D8:5B:0B:FA:A5:AF:81
SHA256:A4:0D:A8:0A:59:D1:70:CA:A9:50:CF:15:C1:8C:45:4D:47:A3:9B:26:98:9D:8B:64:0E:CD:74:5B:A7:1B:F5:DC
签名算法名称: SHA1withRSA
版本: 3
1,解包查看manifest
这是程序的入口,有了入口我们才能一步一步往下分析。
1.1我们看到一个e4a,猜想可能是一个类似e语言的吧,搜索后发现http://bbs.e4asoft.com/
1.2启动的StartActivity和mainActivity应该是e4a的,最后启动的是com.o.主窗口
1.3还有一个服务com.o.后台服务操作
<