一个携带恶意ELF的样本分析

最新推荐文章于 2021-05-08 22:38:27 发布
最新推荐文章于 2021-05-08 22:38:27 发布
阅读量1.1k 收藏
点赞数 1
分类专栏: Android样本分 移动安全 文章标签: Android病毒分 逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011266992/article/details/64923683
版权 
 1.样本的主要行为
  • 样本启动后会向系统目录下面释放一个被加密的ELF文件,母包会联网下载广告图片,推送弹框广告;
  • SK文件检测模拟器和虚拟机环境,干扰沙箱检测apk文件;
  • 释放的ELF文件会获取系统权限,破坏卸载其他root工具的正常使用,导致恶意的ELF文件无法被删除;
  • ELF文件同时会从远端获取指令,静默下载安装其他其他恶意子包,且安装的系统目录下面导致无法卸载;
  • 恶意子包进一步获取从远端获取指令静默下载安装其他恶意子包; 恶意子包的行为静默安装卸载,获取用户安装的文件信息并上传到远端服务器;
  • 同时恶意的ELF文件会获取用户手机类的杀软信息伪造杀软更新或者系统更新,进而更近一步诱导用户去点击安装已经下载的应用;
 2.病毒行为流程图
  • 整个母包子包和恶意ELF行为流程如下

流程图

JJXK
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ELF文件格式详解(中文)
11-28
详细介绍了ELF文件结构,基于 ELF 规范 v1.2 版本 ,作者:赵凤阳,比较详细,不可多得。
Unix ELF文件格式及病毒分析
weixin_30755709的博客
08-07 169
Unix ELF文件格式及病毒分析 ★ 介绍   本文介绍了Unix病毒机制、具体实现以及ELF文件格式。简述了Unix病毒检测和反检测技术,提供了Linux/i386架构下的一些例子。需要一些初步的Unix编程经验,能够理解Linux/i386下汇编语言,如果理解ELF本身更好。   本文没有任何实际意义上的病毒编程技术,仅仅是把病毒原理应用到Unix环境下。这里也不打算从头介绍ELF...
Linux样本——IDA调试分析ELF文件
ATree的博客
04-25 3079
主要是自己遇到了一个Linux样本,记录下从不熟悉到熟悉的过程,也可以帮助更多在逆向分析这条路上的人。 Linux平台调试工具 1、动静分析结合的跨平台工具-IDA 2、无图形界面的调试神器-GDB 3、Linux平台开源调试工具-radare2 使用IDA远程调试 1、Linux系统配置调试ELF文件环境,使用file命令查看elf文件类型,得知文件运行平台是32位 2、拷贝I...
elf101(ELF格式)
09-23
elf101,资料收集自互联网,通过一张图展示ELF格式,是学习ELF格式的好工具
ELF文件详解
qq_42308741的博客
03-10 1347
参考1:ELF文件格式解析 参考2:elf文档 1 介绍 1.1 ELF全称是Executable and Linking Format。它是对象文件格式(object file format)。对象文件为以下三类: 可重定位文件(relocatable file):包含与其他对象文件链接生成可执行文件或共享的对象文件的代码和数据。 可执行文件(executable file):是一个可执行程序。 共享对象文件(shared object file):共享对象文件包含适合在两个上下文中链接的代码和
ELF文件格式分析.pdf
06-24
ELF文件格式分析
ELF文件格式分析.pdf》与elf解析代码
03-22
7. **readelf工具**:`readelf.c`可能是一个实现`readelf`命令的源代码,这是一个标准的GNU工具,用于显示ELF文件的各种元数据,包括头信息、节、段、符号表等。通过阅读源代码,我们可以了解如何解析和解释ELF文件...
Linux系统下的ELF文件分析
08-14
每个段都有一个对应的表项,描述了段的类型、在文件中的位置、在内存中的地址、大小等属性。这使得系统知道如何将ELF文件映射到内存中并执行。 5. 节头表(Section header table) 节头表包含有关ELF文件中的各个节...
自己动手写病毒ELF文件病毒
02-01
自己动手写病毒ELF文件病毒,
ELF文件病毒分析和编写
luojiafei的专栏
01-16 6392
ELF文件病毒分析和编写   转载请注明作者信息 作者:lijiuwei 邮箱:lijiuwei0902@gmail.com   写这篇文章的目的是为了让对这方面不太熟悉而又感兴趣的朋友通过编写病毒实例让大家了 解linux下ELF文件格式和基本的病毒原理和技术等;看这篇文章和附件代码的朋友要有 Linux环境和C语言知识,并且要能看懂一点简单的汇编指令;我在写这篇文章的时候也参
XELF病毒分析-秘密花园
进击的星空
04-14 2348
秘密花园 概述母包结构 当我们拿到样本的时候查看内部的代码结构,可以判定这里面被里面插入广告sdk和几个莫名其妙的so以及一些加密的文件,当然我们首先就是需要了解每个文件都是用来干嘛,哪些代码块是恶意插入需要我们重点分析的,还有apk内携带的so文件以及其他文件是用来做什么的都是需要我们能结合apk本身一步步动静结合的去分析。     样本的主要行为,通过我们沙箱日志分析发现,样本主要是通过
病毒下载 病毒样本
热门推荐
黑色雨滴
12-03 2万+
  简介:A-Z开头病毒样本打包下载,压缩文件内约7159个文件,约3573个病毒!看看各种杀毒软件能查出几个。验证一下查杀病毒的真正能力吧。仅供研究之用! 压缩包里面全部是病毒程序,千万不要解压运行。用你的杀毒软件查这个压缩包,如果查出的病毒数少于3542个的话,你还是换换杀毒软件吧。...
恶意样本下载
catgray的博客
08-28 3475
import requests import json #GET /file/81b69bf08aa50ff8896c11bb289f3656ac1df8ba3bba7a5444fa1ef97c9d14b5.7z HTTP/1.1 headers = { "Host": "www.virusign.com", "Connection": "keep-alive", "Cache-Control":...
操作系统之文件管理:1、初识文件管理
千寻瀑
10-11 510
1、初识文件管理思维导图文件的定义关于文件系统我们要讨论的几个问题?1、文件属性2、文件内部的数据组织形式(存储结构)3、文件之间的组织形式4、操作系统向上层提供的接口(功能)5、文件如何存放在外存?(物理结构)6、其他文件管理功能 PS:本篇仅是概述,对文件系统的初步介绍,有需要请看链接博客 思维导图 文件的定义 文件:一组有意义的信息/数据的集合 关于文件系统我们要讨论的几个问题? 1、文件属性 2、文件内部的数据组织形式(存储结构) 本质上来看:文件内部数据的组织形式其实就是文件的逻
ELF文件病毒分析和编写(转)
Fangrn的专栏
08-11 564
这个文章是从网上搜来的,转来转去也不知道睡是原版的了,所以很抱歉。 最近在研究一个linux软件的破解,需要用到这些,暂且收藏之。   写这篇文章的目的是为了让对这方面不太熟悉而又感兴趣的朋友通过编写病毒实例让大家了解linux下ELF文件格式和基本的病毒原理和技术等;看这篇文章和附件代码的朋友要有Linux环境和C语言知识,并且要能看懂一点简单的汇编指令;我在写这篇文章的时候也参考了其他相...
在Mac Linux上如何快速判断一个文件是否是恶意程序?
weixin_34341229的博客
11-01 202
熟悉Mac/Linux的用户经常会使用命令行,如果遇到系统异常,如CPU使用率暴涨等,经常会使用top命令去定位到底是哪个程序出现了异常。找到相关程序后,由于许多用户自身没有安全背景或者不大懂得逆向,便无法去分析程序到底做了什么,不敢枉然kill掉程序。又如果文件夹下面无故多了非自己创建的程序,这时也不敢枉然删除。针对这一情况,本文介绍几种小技巧,让你快...
二进制安全:ELF文件深度分析Linux二进制代码审计
「鸿渐之翼」的博客
05-08 1063
1.ELF文件类型 ET_NONE 这个文件类型不确定或者意味着未被定义。 ET_REL 重定向文件。ELF类型标定为relocatable,也被称为目标文件。 可重定位目标文件通常是还未被链接到的可执行文件的一段位置独立的代码(postion independent code)。编译完成代码之后,生成.o文件这个文件包含了创建可执行文件所需要的代码与数据。 ET_EXEC 可执行文件。ELF类型为executable,表明这个文件被标记为可执行文件。 ET_DYN 共享目标文件。ELF类型为dynamic
用c语言写一个elf文件解析代码
最新发布
03-29
以下是一个简单的ELF文件解析的C语言代码示例,仅供参考: ``` #include #include #include <elf.h> int main(int argc, char **argv) { FILE *fp; Elf32_Ehdr elf_header; Elf32_Shdr section_header; if ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值