关于人工智能:Android病毒分析实战一

48次阅读

共计 3060 个字符,预计需要花费 8 分钟才能阅读完成。

前言

最近有跑吾爱转达了一圈,看了看本人工作时写的流水账文章,那时候流行的锁机软件,当初仍然风行,那时候工作每天要遇到几十几百个锁机软件,大多数都是一位名为“彼岸花”的作者制作的,过后的锁机软件简直都是通过相似于贩卖机一样的工具批量生成或者定制化生成,而后上面的小朋友再拿着生成的锁机软件去巧取豪夺。

看了一下过后的记录,找了一下“彼岸花”作者,又再次关上了那个相熟的空间,空间工夫停滞在了 21 年 2 月,往下翻了几页看到了一张“刑满释放证”,尽然 18 年被请去吃饭了,真是天网恢恢,疏而不漏。作者在空间中也说了,本人进去后脱胎换骨,只收徒教 Android、java 开发,并且鼎力宣传抵制病毒软件。俗话说“知错能改,善莫大焉”。

感想

工夫过的很快,转眼间 5 年了,想当年葫芦娃还让我介绍他到咱们公司实习,后果因为未成年,被公司拒了,5 年后葫芦娃成了人尽皆知的大佬,本人还是那个搞平安的打工人。年老时混混度日,中年时奋斗已显著感觉乏力,五年时光昙花一现,留给咱们的只有回顾,还是不堪回首的回顾。鸡汤总是通知咱们只有本人想学,什么时候都不算晚,然而事实通知咱们,迟了总是迟了,能早做的事件肯定不要等下次。不要等下次昂,不要等下次昂,我晓得你懂我说的是什么,算了,还是明示你们吧—记得点赞、再看、转发哦。

废话说了一堆,进入正题,明天就用一款锁机软件来阐明一下病毒样本分类中的锁机软件是怎么装置到咱们手机,又怎么巧取豪夺,咱们普通人装置了之后又怎么解锁。

样本根本信息

名称:K7
MD5:D8936BE89057233CA26263CDEDCADA30
SHA1:C4D8CC330F1A59F961AEEC131FD642F46F613253
包名:com.k7.qq2856437148

大家看到这个样本名称,可能纳闷,这样一个名称是怎么流传的,为什么会有人装置。当然,这样一个名称的 app 不会间接散发到受害者,而是依附于某些插件,游戏辅助工具等一系列比拟热门的软件来流传。

锁屏次要形式

  • 利用设备管理器权限,间接用零碎提供的 api 批改
  • 利用 root 权限和锁屏明码算法间接批改零碎锁机密码文件内容

而这两种形式操作实现之后都须要重启设施失效,而对于这两种形式各有利弊,不过针对于一些游戏外挂 root 权限个别都是具备的,所以第二种是最优计划。而对于一些一般歹意利用 root 权限很少,能够利用第一种形式进行操作是最优计划。

样本剖析

前期工作

咱们拿到样本后能够依照咱们上篇文章 [[Android 病毒剖析根底(一)]] 写的步骤来疾速看看样本具体有哪些歹意行为,有哪些关键点,不便咱们后续详细分析。

从上述扫描后果能够看到样本的次要的危险行为就是增加悬浮窗口,即咱们艰深的说法“全屏弹窗锁屏”。
在线剖析报告:https://habo.qq.com/file/showdetail?pk=ADcGbl1kB2cIOFs4U2M%3D…

运行界面

代码剖析

要害文件

拿到反编译后的代码,咱们首先要看的就是 Manifest 文件,看看有什么权限,Application、MainActivity、一些 service、receiver 等。

接下来咱们进入 MainActivity,能够看到启动了 K7 类,间接看 K7。

第一层锁机

在 K7 中间接实现了全屏弹窗,即第一层锁屏界面。能够看到 k7 参数即便咱们第一层解锁的明码。咱们间接用 AS 抄一下代码后跑一下,就能拿到解锁明码。

第二层锁机

解锁后咱们进入第二层锁机界面,还是一样,咱们间接拉代码跑一下即可,然而这里要留神一下,他把锁机界面上的随机数转换成了文字,就是简略的数字和文字对应关系办法。

数字和文字对应关系:

第三层锁机

解锁后咱们进入第三层,间接上代码:

通过一顿复制粘贴改代码,终于咱们解锁胜利,卸载并删除了这个锁机样本。

锁机软件解锁办法

第一种办法:

用另一部手机打电话给那部被锁的手机,而后呈现接电话那个界面,而后马上退出到桌面,找到锁机软件间接删了(速度要快,仅局部锁机软件无效)。

第二种办法:

长按电源键,强制重启手机,在手机重启开机胜利后马上输出明码进入手机桌面,迅速找到锁机软件马上卸载了(速度要快,仅局部锁机软件无效)。

第三种办法:不同手机不同零碎版本地位不同

教大家用 ADB 来删除明码:

1、手机连贯电脑,在充电模式下进行。

2、去百度搜寻下载 ADB.rar 解压到某目录。

3、在该目录搜寻框间接输出 cmd,顺次输出命令:

adb shell 

su

cd data/system

ls

能够看到有一个 pass.key 和一个 gesture.key 的文件, 这个就是明码的文件, 咱们就是把这个给删除就能够了!最初输出命令:rm pass.key(如果是 PIN 解锁就这个)或者 rm gesture.key(如果是手势解锁就这个)输出 reboot 或手动重启手机失效。(其实, 不必重启也能够的了, 间接解锁, 明码怎么滑都对, 最好还是重启一下.)

第四种办法:

复原出厂值。操作前留神重要数据要备份哦!(操作步骤如下:

  • 1. 敞开手机
  • 2. 按 音量上 + 开机键进入 rec 模式
  • 3. 抉择复原出厂值 wipe data/factory res
  • 4. 重启手机

第五种办法:

电脑端连贯卓巨匠,(前提是你的手机开启了 USB 调试),等装置好驱动,关上卓巨匠工具箱,外面有革除锁屏明码选项,进去期待重启。

第六种办法:

操作前留神重要数据要备份哦!

从新刷机(你能够只刷入 Recovery, 而后应用第二种办法,或者罗唆整个零碎重刷)

手机重启过程中按音量键加或者音量键和开机键不放(一些国产安卓实用)进去双 wipe,则能够革除锁屏明码,能够用卓巨匠革除。

第七种办法:

那就是找一个会逆向的大佬,帮你剖析锁屏明码了。

如何防止装置此类软件

  • 1、看该软件有多少 MB,如果 1kb~10MB 左右的大家尽量别下了,也能够看图标,看名字之类的。
  • 2、当然也有的软件或外挂辅助插件模块等。自身比拟大的几百 MB 左右的都有, 当你关上当前如果提醒你关上无障碍什么的,就须要审慎了。
  • 3、能够找一些在线杀毒的工具,查杀一下,根本都能查出来问题。
  • 4、如果不释怀,能够先用模拟器试试水(也能够用没什么重要文件的备用机试试水),尽管麻烦然而安全可靠。

总结

致富路线千万条,违法行为莫触碰
兼职小活虽赚钱,守法红线不能越

咱们从这个样本简略的理解了一下一个病毒样本的剖析流程、如何解决病毒软件、以及如何防止装置病毒软件。

锁机软件为什么在那段时间流传比拟宽泛,次要是因为一些社群肆意流传,而且一个锁机软件生成老本极低,很多小学生甚至用锁机软件赚得每月上千元的生活费。所以咱们应该从本身做起,不流传此类软件,方能从源头遏制。很多人不以为然,然而看看结尾的“开释证”,你是否能够稍作思考,不再踏上不归之路呢。

总的来说病毒软件对咱们的危害还是挺大的,不论是经济上的损失,还是精力上的折磨,这都使得咱们不得不器重病毒软件,锁机软件只是病毒软件中的冰山一角,巧取豪夺的金额也无限,然而对于一些流传宽泛的 PC 端勒索软件,重大的则会造成整个公司计算机瘫痪,所有文件加密,公司将面临微小的损失。

参考文章:
https://www.52pojie.cn/thread-701201-1-1.html
https://view.inews.qq.com/a/20220318A0BOMD00
举荐浏览:

https://mp.weixin.qq.com/s/dV2JzXfgjDdCmWRmE0glDA

https://mp.weixin.qq.com/s/an83QZOWXHqll3SGPYTL5g

正文完
 0