大神破解木馬 APP,最后笑噴

責任編輯:editor005

2015-11-09 13:59:30

摘自:知乎

點擊之后,直接請求 Device Admin 權限:這意味著在你啟用后,就不能輕易卸載了。程序使用了混淆,并不是很容易讀源碼,不過我還是用了一兩個小時把代碼最核心的部分梳理得差不多。

大家都知道,詐騙短信的鏈接不要點,里面很可能隱藏著木馬APP,那么這些惡意APP是如何獲取你的信息的呢?有大神就成功破解了一款,而且還獲得了木馬制作者的郵箱和密碼。不過對方在代碼中留了一手,大神當時就笑噴了。事情的經(jīng)過是這樣的:有網(wǎng)友收到短信:剛收到一會兒,開頭是我名字,全名,張志珍不知道是誰不認識。

查了一下手機號是網(wǎng)絡電信運營號碼,四川的,求大神瞧瞧這是啥。

大神破解木馬 APP,結局笑噴

  然后一位知乎大神開始了破解之旅:

我在虛擬機上面下載并安裝了這個應用程序??纯矗瑱嘞藓芏喟?。(下面還有很多個權限)

點擊之后,直接請求 Device Admin 權限:這意味著在你啟用后,就不能輕易卸載了。

  你覺得我做到這里就完了?圖樣,我還把它給反編譯了。

程序使用了混淆,并不是很容易讀源碼,不過我還是用了一兩個小時把代碼最核心的部分梳理得差不多。

最主要的幾個類被我找到。這是一個通過發(fā)送郵件傳遞隱私信息的木馬,因此,應用里面肯定會有嫌疑人的聯(lián)系方式。

果不其然,在 PreferencesWrapper (我后期命名)類中,我找到了這個:

  實際對應的用戶名密碼數(shù)據(jù)是:

一看就是加密過的。不過這并沒有難倒我,在 DESEncipher 中,我找到了加密相關的代碼。

DES 加密的話,一定會有密鑰,他們使用的 Key 就在:

  這里,但是當我去用這個作為密鑰的時候卻失敗了。

啊哈!原來初始化密鑰的部分在這里:

  當我把最后的密鑰輸入解密之后:

  本來我只是好奇,就是想研究一下這個人想怎么干:結果……


  第一次反編譯病毒并且把嫌疑人聯(lián)系方式找到,好激動!

總之!提醒網(wǎng)友們安裝應用程序前要三思!盡量不要安裝來自不明網(wǎng)頁的應用程序哦!

我剛才試了一下用郵件客戶端直接登錄,看到了觸目驚心的內(nèi)容。

你所有的短信、聯(lián)系人,在中了這個木馬之后,會被全部發(fā)送到這個郵箱,如果通過社工方式獲得了你的支付寶密碼,再通過這個方法獲取驗證碼,嗯哼,自己想。

大神破解木馬APP 看到最后笑噴了

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號