[求助]分析一个恶意apk，求思路-付费问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (11)
宾阳雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	宾阳 2 楼大致就是他们用二进制工具，修改了头部数据，致使.apktool的报错，你用二进制工具修改回来就正常了 2016-3-29 22:33 0
huangyalei 雪币： 24377 活跃值： (4332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 372 粉丝 9 关注私信	huangyalei 3 楼用JEB可反编译出主要代码：上传的附件： 2016-03-30_013106.jpg （60.87kb，26次下载） 2016-3-30 01:29 0
wonfee 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wonfee 4 楼 AndroidManifest可能做了什么保护，导致apktool反编译时失败，希望哪位分析分析。 apk中的classes.dex还是可以反编译进行查看的，如使用jeb工具等。若是smali注入，应该可以修改反编译的smali文件，然后再重新打包生产apk。 apk--->unzip---->baksmali.jar <classes.dex> ----> modifiy ----> smali.jar ----->new_classes.dex ---- >zip ----> apk ---> signapk.jar ----> signed.apk 2016-3-30 10:06 0
inform 雪币： 3 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 33 粉丝 0 关注私信	inform 5 楼已反编译dex文件，在其中找到了收集信息的mail与其对应的password，有一个疑问为什么要在这种软件中内置好password呢。内置接收的mail地址可以理解，只是内置e-mail的password是为了什么呢，还请各位大神明示。登陆该e-mail后确实有很多被植入该apk的用户的信息，包括通讯录与短信 2016-3-30 19:15 0
Bean灬雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Bean灬 6 楼 mark 学习学习 2016-3-30 20:19 0
angelToms 雪币： 3040 活跃值： (1151) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 84 粉丝 155 关注私信	angelToms 2 7 楼用最新的baksmali，过去版本的有bug 2016-3-31 14:18 0
ymmy 雪币： 45 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	ymmy 8 楼你可以关闭其他应用程序，尽量保留那个程序，使用wiresshark协议过滤进行分析，观察HTTTP等协议的目的地址，followTCPstream 只要联网私自上传数据，都会有痕迹的，你挂着WIRESAHRK 和运行恶意APP，丢在在那里一天，晚上回来慢慢分析，看看源地址，目的地址。当然你也可以使用FIDDLER或者BURP直接手机截包，到时看看history，绝对会有链接。结果就是类似“链接到某个网站，POST或者GET数据", 这些数据或者可以解密，看看加密方式咯 2016-4-4 10:11 0
ymmy 雪币： 45 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	ymmy 9 楼因为静态分析，困难很多，我们就应该采用动态分析 2016-4-4 10:12 0
wangtyu 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wangtyu 10 楼学习了，收藏 2016-4-8 18:58 0
哈嘧哈嘧哈雪币： 1202 活跃值： (218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	哈嘧哈嘧哈 11 楼看看，学习学习 2017-1-8 15:33 0
大晴天雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	大晴天 12 楼发送email需要密码用来登录，内置密码是最简单的处理方式 2017-1-21 00:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (11)
宾阳雪币： 4 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	宾阳 2 楼大致就是他们用二进制工具，修改了头部数据，致使.apktool的报错，你用二进制工具修改回来就正常了 2016-3-29 22:33 0
huangyalei 雪币： 24377 活跃值： (4332) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 372 粉丝 9 关注私信	huangyalei 3 楼用JEB可反编译出主要代码：上传的附件： 2016-03-30_013106.jpg （60.87kb，26次下载） 2016-3-30 01:29 0
wonfee 雪币： 7 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wonfee 4 楼 AndroidManifest可能做了什么保护，导致apktool反编译时失败，希望哪位分析分析。 apk中的classes.dex还是可以反编译进行查看的，如使用jeb工具等。若是smali注入，应该可以修改反编译的smali文件，然后再重新打包生产apk。 apk--->unzip---->baksmali.jar <classes.dex> ----> modifiy ----> smali.jar ----->new_classes.dex ---- >zip ----> apk ---> signapk.jar ----> signed.apk 2016-3-30 10:06 0
inform 雪币： 3 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 33 粉丝 0 关注私信	inform 5 楼已反编译dex文件，在其中找到了收集信息的mail与其对应的password，有一个疑问为什么要在这种软件中内置好password呢。内置接收的mail地址可以理解，只是内置e-mail的password是为了什么呢，还请各位大神明示。登陆该e-mail后确实有很多被植入该apk的用户的信息，包括通讯录与短信 2016-3-30 19:15 0
Bean灬雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	Bean灬 6 楼 mark 学习学习 2016-3-30 20:19 0
angelToms 雪币： 3040 活跃值： (1151) 能力值： ( LV8，RANK：120 ) 在线值：发帖 12 回帖 84 粉丝 155 关注私信	angelToms 2 7 楼用最新的baksmali，过去版本的有bug 2016-3-31 14:18 0
ymmy 雪币： 45 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	ymmy 8 楼你可以关闭其他应用程序，尽量保留那个程序，使用wiresshark协议过滤进行分析，观察HTTTP等协议的目的地址，followTCPstream 只要联网私自上传数据，都会有痕迹的，你挂着WIRESAHRK 和运行恶意APP，丢在在那里一天，晚上回来慢慢分析，看看源地址，目的地址。当然你也可以使用FIDDLER或者BURP直接手机截包，到时看看history，绝对会有链接。结果就是类似“链接到某个网站，POST或者GET数据", 这些数据或者可以解密，看看加密方式咯 2016-4-4 10:11 0
ymmy 雪币： 45 活跃值： (13) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 5 粉丝 0 关注私信	ymmy 9 楼因为静态分析，困难很多，我们就应该采用动态分析 2016-4-4 10:12 0
wangtyu 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 4 粉丝 0 关注私信	wangtyu 10 楼学习了，收藏 2016-4-8 18:58 0
哈嘧哈嘧哈雪币： 1202 活跃值： (218) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 9 粉丝 0 关注私信	哈嘧哈嘧哈 11 楼看看，学习学习 2017-1-8 15:33 0
大晴天雪币： 32 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	大晴天 12 楼发送email需要密码用来登录，内置密码是最简单的处理方式 2017-1-21 00:44 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[旧帖] [求助]分析一个恶意apk，求思路 0.00雪花