Wifikillpro.apk——锁机软件，现在Android恶意程序包括远控、锁机、恶意读取通信录信息等，其中锁机是最常见的恶意样本之一，往往通过使用root将应用设置为系统应用或直接安装锁机等来实现。

锁机样本的工作原理如下图 所示：

我们在虚拟机上搭建的win7环境，如下图所示：（这里我们使用的是吾爱的win7系统）

我们使用奇安信情报系统作为沙箱，将APK拖入沙箱中进行分析（如下图所示）：

我们可以得出软件是恶意的，其恶意行为包括锁住电源，获取手机的基本信息，这仅仅是一个初步的判断。

我们使用Mobsf框架对恶意样本进行了一个初步的静态分析（如下图所示）：

我们将软件运行起来，并分别未授权root(如图1所示)和授权root(如图2所示)

我们发现程序没有进行加壳处理，我们直接找到入口点进行分析

我们看到主代码端，然后开始对代码段进行分析（如图所示）:

我们通过静态分析，可以知道恶意样本就是从data.jar中读取恶意程序，然后释放。与此同时，通过申请root权限，将系统应用挂载，然后将释放的cia.apk存放到恶意应用中，完成一个开机锁屏的情况。

经过我们上面的分析，从程序的入口点开始分析，我们现在想通过字符串进行定位，但是发现搜索不到，我们则推断关键的字符串混淆严重，或放在so层。

我们将so文件拖入IDA中，找入口点:静态注册（java_）和动态注册（jni_）

此时我们发现错误，经过分析应该是程序没有开启调试开关或存在反调试策略，我们将调试开关打开。我们在AndroidManifest.xml文件中加入debuggable=true，然后重打包。但是遇到一些有重打包检测的apk,我们可以尝试用mprop模块去设置ro.debuggable的值，我们也可以通过定制android源码的方式，不过这个就比较复杂了。

我们分析可能程序存在反Android Studio调试，我们将使用JEB继续动态调试。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课