首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. Android安全
    3. 发新帖
[求助]在乌云上看到对一个恶意Android APP的分析,但有段代码实在是不太明白是干什么用的,请大家指点下,谢谢
发表于: 2015-12-11 09:14 7236

[求助]在乌云上看到对一个恶意Android APP的分析,但有段代码实在是不太明白是干什么用的,请大家指点下,谢谢

追风燕子 活跃值
1
2015-12-11 09:14
7236
【求助】在乌云上看到对一个恶意Android APP的分析,但有段代码实在是不太明白是干什么用的,请大家指点下,谢谢

代码如下:
这中间有段像base64加密的字符串到底是什么意思,在网上查也查不到,还望指教

suc f0h5zguZ9aJXbCZExMaN2kDhh6V0Uw== /system/bin/sh psneuter.js
suc al1s7jBFNtn9faBmC0Jb9A9Ns1GZSg== /system/bin/sh psneuter.js
suc HygZRm2IHTKWpp7Hll/sS0uY66xdcw== /system/bin/sh psneuter.js

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

收藏
免费 0
支持
分享
最新回复 (7)
无名诸葛
雪    币: 110
活跃值: (254)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
2
传参啊 suc一看就是自己写的su 用root权限执行后面的代码 这三个base64是传参 具体意思 你要去分析源码

qq交流群:456853837
2015-12-11 11:17
0
追风燕子
雪    币: 234
活跃值: (837)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
3
我也是这样理解的,可这个base64解密出来又是乱码,是不是经过了多次加密?
2015-12-11 11:47
0
CrackLife
雪    币: 250
活跃值: (65)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
4
楼主有样本能共享一个么
2015-12-11 14:15
0
追风燕子
雪    币: 234
活跃值: (837)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
5
乌云上的分析文章在此
2015-12-11 15:00
0
无名诸葛
雪    币: 110
活跃值: (254)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
6
应为就是不可见的字符 所以才转成base64的字符串进行传参 方便这样传参数呀 不然你怎么穿不可见字符 甚至是包含0x00的字符呢
2015-12-11 15:26
0
CrackLife
雪    币: 250
活跃值: (65)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
7
唉,原文也没给样本,没有样本是分析不出来这个字符串的,我之前遇到过一个ELF文件,执行的命令和这个类似,遇到的那个这个字符串只是一个用来做校验的字符串,没有其他用处
2015-12-11 16:47
0
追风燕子
雪    币: 234
活跃值: (837)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
8
受教了,谢谢抽时间回答
2015-12-11 16:51
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//