一、病毒样本分析
点击免费激活,出现授权界面:
需要设备管理器,是想修改锁机密码,我们就授权,然后分析程序找到重置的密码就好了;授权之后,就被锁屏了,解锁屏幕会出现:
病毒作者真够狠的,竟然自己弄了一个浮窗锁机,这时候我们不得不看代码了,找到这个密码了。其实该锁机很容易解决的,因为他主要是借助windowmanager搞的,所以这时候可以连接adb使用命令可以直接干掉这个进程就好了:am force-stop pkgname;我们可以用dumpsys命令获取其包名:
然后再强制停止app即可:
shell@pisces:/am force-stop com.jk.mwifi停止后就是解锁屏幕了,当然密码已经被篡改了,所以要分析软件了,当然如果设备root了,可以直接删除/data/system/password.key文件即可。
二、破解获取解锁密码
第一、获取锁屏密码
由于大部分锁机都是利用设备管理器修改设备密码的,所以,直接用jadx打开软件,然后全局搜索:DeviceAdminReceiver
然后看看这个类里面修改代码部分逻辑:
看到了,这里直接将手机的锁机密码修改成9815了。这个就是我们待会需要解锁的密码。
第二、浮窗锁机密码
这里是自己定义的浮窗锁机,所以直接看到锁机界面文字,去Jadx全局搜索即可,这里全局搜索“输入密码”:
进入到这个类即可:
这里定义了一个Service然后用WindowManager实现,然后把权限设置为最高,用户就无法进行任何操作了。因为最终的密码输入都是在这个EditText,取密码做比较也要用到这个文本框,就看这里的this.ed在哪里取值:
这里直接比对密码,如果密码正确了,就直接干掉服务,浮窗锁机就没有了。所以这里最重要的是decrypt方法了,他是从SP中拿到key是passw的密文进行解密比对。其实到这里我们可以借助Xposed工具直接hook这个decrypt方法就能很轻易的拿到这个密码了:
然后直接运行就可以获取对应的密码了:
我们继续手动分析这个加密算法,我们看看des变量定义:
DU du2 = new DU("flower");
this.des=du;
Context context=this;
try{
du=
}
8376
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
