[原创]一款恶意锁屏软件的逆向分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

lfyyy

2020-8-18 11:40

8081

在逛v2ex论坛时，发现了有坛友中招，又是和谐图又是声音的很是刺激，v2ex原贴：https://www.v2ex.com/t/698656#reply85

根据帖子的要求下载到了apk,直接拖到jeb中，发现是经过了一个百度的加固：
图片描述
所以第一步要想静态分析直接脱壳：

通过自己的脱壳so,简单的脱了一下壳，脱出来如下几个文件：
图片描述

针对脱出来的壳，进行分析发现里面没有想要的锁屏恶意代码，倒是发现里面有一个动态加载的框架：
图片描述

所以这里猜测恶意插件是联网下发的，所以这里就动态运行，网络抓包去找其下发的插件。

最后于 2020-8-18 11:40 被lfyyy编辑，原因：

上传的附件：

收藏・2

免费・5

支持

最新回复 (3)
sherrydl 雪币： 98 活跃值： (364) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 82 粉丝 15 关注私信	sherrydl 1 2 楼 666 2020-8-25 12:19 0
nbrblich 雪币： 100 活跃值： (625) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 1 关注私信	nbrblich 3 楼编程思路很好，学习了！ 2020-8-25 16:29 0
lfyyy 雪币： 268 活跃值： (630) 能力值： ( LV3，RANK：35 ) 在线值：发帖 2 回帖 25 粉丝 14 关注私信	lfyyy 4 楼 sherrydl 666[em_86] 2020-8-26 09:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

lfyyy

发帖

回帖

RANK

他的文章

看雪公众号

专注于PC、移动、智能设备安全研究及逆向工程的开发者社区

最新回复 (3)
sherrydl 雪币： 98 活跃值： (364) 能力值： ( LV5，RANK：70 ) 在线值：发帖 12 回帖 82 粉丝 15 关注私信	sherrydl 1 2 楼 666 2020-8-25 12:19 0
nbrblich 雪币： 100 活跃值： (625) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 1 关注私信	nbrblich 3 楼编程思路很好，学习了！ 2020-8-25 16:29 0
lfyyy 雪币： 268 活跃值： (630) 能力值： ( LV3，RANK：35 ) 在线值：发帖 2 回帖 25 粉丝 14 关注私信	lfyyy 4 楼 sherrydl 666[em_86] 2020-8-26 09:51 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复