本文详细介绍了对一个安卓病毒锁屏apk的分析过程,包括使用androidKiller反编译,发现该apk可能为一个下载器,实际锁屏功能由下载的crutte.apk实现。在crutte.apk中找到关键逻辑,并尝试通过Log注入获取密码,但因apk可能更新导致log未打印。最终通过动态调试和分析,揭示了病毒锁屏的运作机制和真实密码。
样本:sjrj.apk
安装到手机上 运行 提示 要root权限 获取root权限后 出来 获取网络框 然后 就重启
重启后 被锁屏了
提示 这里输入密码
分析
一:
androidKiller 反编译 sjrj.apk 搜索 关键字 这里输入密码 没结果
unicode编码 搜索 也没
搜索 qq关键字也没
这时就想 咋会没关键字了,正常来说 搜索关键字 会有的啊 关键字哪去了呢?
然后联想到 之前打开的时候 有个获取网络的窗口
就想到了 会不会是 下载了一个真正的锁屏apk,这个只是个安装器;
对入口点下 oncreate进行分析 还真是 先检测是否有wifi网络 然后installer 类去下载 真正的锁屏apk
那么我们如何知道是不是 真正的下载了 下载到哪了呢?
看到界面提示是 root锁 apk内部是 设置了 系统权限的apk
cmd 命令
adb shell
su
cd /system/app
ls -l
ls -la |grep 09-20 //cmd里 打印出来 09-20 安装的文件 里面有一个 crutte.apk 很可疑
我们提取出来
adb pull /system/app/crutte.apk //提取到当前的cmd目录
二:
反编译 crutte.apk
搜索 关键字 这里输入密码 没搜索到
搜索unicode编码
这时就搜索到了 在 s.smali文件里
public void onClick(View paramAnonymousView)
{
String str = M.getsss(BAH.getString(s.this.getResources().openRawResource(2131099649)
最低0.47元/天 解锁文章
扫一扫
480
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
