XELF病毒分析-秘密花园

最新推荐文章于 2024-03-02 23:56:14 发布
最新推荐文章于 2024-03-02 23:56:14 发布
阅读量2.3k 收藏
点赞数 1
分类专栏: Android样本分 移动安全 文章标签: Android分析技 Android样本 Android病毒分 病毒分析 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011266992/article/details/70173690
版权

秘密花园

概述母包结构

当我们拿到样本的时候查看内部的代码结构,可以判定这里面被里面插入广告sdk和几个莫名其妙的so以及一些加密的文件,当然我们首先就是需要了解每个文件都是用来干嘛,哪些代码块是恶意插入需要我们重点分析的,还有apk内携带的so文件以及其他文件是用来做什么的都是需要我们能结合apk本身一步步动静结合的去分析。

    样本的主要行为,通过我们沙箱日志分析发现,样本主要是通过PopupWindows弹框广告,释放自身携带的加密so,获取系统root权限,检测模拟器,此病毒入侵手机后破坏性极强,不仅删除各种Root工具底层模块,还禁用安全软件,导致手机应用异常崩溃。甚至在获取到Root权限后卸载各种安全软件,以至于其他Root工具很难再得到权限,彻底清除病毒变得十分麻烦。

     其中恶意代码结构如下:

eu:被加密的java文件,广告加载代码和弹框关键代码部分;

sk:模拟器检测文件;

frsbr:加密的so文件,也是主要的恶意elf模块

母包中被插入的恶意代码模块:

其中母包中恶意代码块需要用到的注册清单如下:

在这份清单中我们可以清楚的看到给类服务广播的启动方式,以及注册的activity和广告商,通过清单中的这些入口我们就可以按图索骥进一步深入了解病毒的具体行为属性。

母包行为解剖

主程序入口:

com.swifty.fillcolor.controller.main.MainActivity

MainActivity启动入口

下面我先从java代码部分进行下一步,由启动入口可知SdkInitialize是个突破口。

通过分析.class public Lcom/kjiklzskyc/cn/SdkInitialize;这部分代码可以看出这里是定义恶意程序需要调用到的一些属性和方法。

这里面所有调用的路径方法名等都是被加密了

以上的代码的主要作用主要是定义一些请求的方法参数、用安装的apk信息、推广下载的apk渠道信息、监控用户的安装动作。

这段代码模块中启动了一个重要的service

ExitService.

最低0.47元/天 解锁文章
JJXK
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Unix/ELF文件格式及病毒分析
hem的专栏
06-06 1079
Unix/ELF文件格式及病毒分析作者:Silvio Cesare 整理:小四 出处:http://www.isbase.com 主页:http://www.isbase.com 日期:2000-6-8      ★ 介绍本文介绍了Unix病毒机制、具体实现以及ELF文件格式。简述了Unix病毒检测和反检测术,提供了Linux/i386架构下的一些例子。需要一些初步的Unix编程经验,能
自己动手写病毒ELF文件病毒
luojiafei的专栏
02-01 5425
author:luojiafei blog:  http://blog.csdn.net/luojiafei e-mail:    1196722167@qq.com data:  2012/1/5                                                 自己动手写病毒ELF文件病毒     对病毒的兴趣由来已久,所以在空闲的时间来很多
ELF文件病毒分析和编写
luojiafei的专栏
01-16 6392
ELF文件病毒分析和编写   转载请注明作者信息 作者:lijiuwei 邮箱:lijiuwei0902@gmail.com   写这篇文章的目的是为了让对这方面不太熟悉而又感兴趣的朋友通过编写病毒实例让大家了 解linux下ELF文件格式和基本的病毒原理和术等;看这篇文章和附件代码的朋友要有 Linux环境和C语言知识,并且要能看懂一点简单的汇编指令;我在写这篇文章的时候也参
ELF文件格式与病毒感染分析
06-11
ELF文件格式分析病毒感染,降低资源
Linux elf文件分析工具,linux下的ELF文件分析
weixin_35437202的博客
05-06 226
from:http://www.dzjs.net/html/qianrushixitong/2008/0509/3125.html1 引言ELF(Executable and Linkable Format)即可执行连接文件格式,是Linux,SVR4和Solaris2.0默认的目标文件格式,目前标准接口委员会TIS已将ELF标准化为一种可移植的目标文件格式,运行于32-bit Intel体系微机...
linux下强大的ELF文件分析工具 -- nm
chenzhjlf的专栏
05-08 730
什么是nm nm命令是linux下自带的特定文件分析工具,一般用来检查分析二进制文件、库文件、可执行文件中的符号表,返回二进制文件中各段的信息。 目标文件、库文件、可执行文件 首先,提到这三种文件,我们不得不提的就是gcc的编译流程:预编译,编译,汇编,链接。 目标文件:常说的目标文件是我们的程序文件(.c/.cpp,.h)经过预编译,编译,汇编过程生成的二进制文件,不经过链接过程,编译生成指令为: gcc(g++) -c file.c(file.cpp) 将生成对应的file.o文件,.
【嵌入式】ELF格式文件分析工具汇总
最新发布
科技改变人类,技术成就未来
03-02 1899
ELF是一种常见的二进制文件格式,Linux系统所有的可执行程序和共享库都是ELF格式。在Linux下,分析ELF(Executable and Linkable Format)文件的主要工具有很多种。下面是一些常用的ELF文件分析工具。
elf_parse解析工具
07-26
elf
linux中ELF对象文件分析工具readelf小结
@_囚徒-2018_的家园
10-02 2069
1.readelf命令         readelf命令是Linux下的分析ELF文件的命令,这个命令在分析ELF文件格式时非常有用。                 readelf使用方法:         readelf option elffilename readelf常用的选项:         -a  显示elf详细信息         -h  显示elf文件头
XELFViewer:适用于Windows,Linux和MacOS的ELF文件查看器
03-28
适用于Windows,Linux和MacOS的ELF文件查看器/编辑器。 如何在Linux上构建 安装Qt 5.15.2: : 克隆项目:git clone --recursive 编辑build_lin64.bat(检查QT_PATH变量) 运行build_lin64.bat 如何在OSX上构建 安装Qt 5.15.2: : 克隆项目:git clone --recursive 编辑build_mac.bat(检查QT_PATH变量) 运行build_mac.bat 如何在Windows上构建(7-10) 安装Visual Studio 2019: : 为VS2017安装Qt 5.15.2: : 安装7-Zip: : 克隆项目:git clone --recursive 编辑build_win32.bat(检查VS_PATH,SEVENZI
ELF文件解析器
K1052176873的博客
02-11 4257
前言 最近选了Linux内核原理的选修课,虽然因为课时比较短涉及到的内容只能涵盖Linux知识的一小部,但是老师的水平确实很高,讲的知识也很深入,这次布置的小作业是编写Linux平台下的C语言程序实现如下功能: 模仿实现Linux下readelf工具的部功能,能够对ELF可执行文件进行简单分析。(至少支持readelf工具的-h、-S、-s三个命令选项功能) 关于原理部自认为没有能力和大佬们讲得一样透彻清楚,所以参考文章链接贴在了文章的末尾,看了一定就会明白的。 1.ELF文件介绍 在 Linux 系
一个携带恶意ELF样本分析
进击的星空
03-22 1159
1.样本的主要行为样本启动后会向系统目录下面释放一个被加密的ELF文件,母包会联网下载广告图片,推送弹框广告; SK文件检测模拟器和虚拟机环境,干扰沙箱检测apk文件; 释放的ELF文件会获取系统权限,破坏卸载其他root工具的正常使用,导致恶意的ELF文件无法被删除; ELF文件同时会从远端获取指令,静默下载安装其他其他恶意子包,且安装的系统目录下面导致无法卸载; 恶意子包进一步获取从远端获取指令
ELF可执行格式文件转换成a.out格式分析工具
绿林的专栏
08-08 1944
elftoaout: 分析工具: hexdump 首先当属hexdump,这是一个强大工具,它可以把可执行文件或目标文件转换成16进制数打印出来。 例如: lzel@lzel-laptop:~/works/ASM/3/elftoaout$ hexdump -s 0 -n 52 -C e_elf 00000000  7f 45 4c 46 01 01 01 00  00 00 00 00
Linux之ELF分析工具XELFViewer
Android系统攻城狮
11-17 928
下载地址
Unix ELF文件格式及病毒分析
weixin_30755709的博客
08-07 169
Unix ELF文件格式及病毒分析 ★ 介绍   本文介绍了Unix病毒机制、具体实现以及ELF文件格式。简述了Unix病毒检测和反检测术,提供了Linux/i386架构下的一些例子。需要一些初步的Unix编程经验,能够理解Linux/i386下汇编语言,如果理解ELF本身更好。   本文没有任何实际意义上的病毒编程术,仅仅是把病毒原理应用到Unix环境下。这里也不打算从头介绍ELF...
不用CSDN
weixin_45750394的博客
10-20 274
CSDN广告太多,已转博客园 欢迎
【BDWP不限速小妙招】真测有效
weixin_43479154的博客
03-27 2876
最近浏览各大论坛发现有个特别好用的下载BDWP内容,不限速,真的要感谢伟大的博主,希望大家能够怀有感恩的心,在这里给大家享一下 先附上链接:bddownload.zip - 蓝奏云 这个软件可以实现你的任何问题,解析网盘的链接,随时随地获取文件的列表。我选择的是直接登录,支持多线程下载,解压就能能够使用。个人觉得页面特别简洁,明了。 我们来测一下实际下载速度 ...
Linux环境下可传播的病毒,Linux环境下病毒类型总结
weixin_36261487的博客
05-05 739
虽然目前来说,Linux环境下的病毒少之又少,但是还是有的,掌握一定的知识对我们来说只有好处!1.感染ELF格式文件的病毒这类病毒ELF格式的文件为主要感染目标,通过汇编或者C语言可以写出能感染ELF文件的病毒。Lindose病毒就是一种能感染ELF文件的病毒,当它发现一个ELF文件时,将检查被感染的机器类型。如果查找到匹配的类型,则查找该文件中是否有一部大于2784字节(或十六进制AEO),...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值