本文主要是介绍android样本分析(Wifi穷举神器),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
目录
1.样本概况... 3
1.1 样本信息... 3
1.2 测试环境及工具... 4
1.3 分析目标... 4
2.具体行为分析... 5
2.1 主要行为... 5
2.1.1 恶意程序对用户造成的危害... 5
2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件... 5
2.2 恶意代码分析... 6
2.1 加固后的恶意代码树结构图(是否有加固). 6
2.2 恶意程序的代码分析片段... 6
3.解决方案(或总结). 7
3.1 提取病毒的特征,利用杀毒软件查杀... 7
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。... 8
1.样本概况
1.1 样本信息
病毒名称:5b22058c7632aa3211987b1abdd8e3d0
所属家族:未知
MD5值:5b22058c7632aa3211987b1abdd8e3d0
SHA1值:03d33383c7152661088a4f1e67408d1c011df552
CRC32:ecb06ce5
病毒行为:
1.单击启动后主界面如图所示,主要行为有返回键失效,多任务按钮失效,显示在一定时间后手机关机,主菜单建未失效,可以返回主界面,当进行其他操作时又会回到该界面。
2.清单文件中的恶意组件:
1).如下图所示,使用了服务组件
2).如下图所示,使用了广播组件
3敏感的权限:
1).android.permission.ACCESS_WIFI_STATE,该权限将允许应用程序查看wlan状态信息
2).android.permission.CHANGE_WIFI_STATE,该权限将允许应用程序连接或关闭wlan,并允许修该wlan网络配置
3).android.permission.RECEIVE_BOOT_COMPLETED,该权限将允许应用程序在系统开机时自动启动,并降低系统运行速度
4).android.permission.KILL_BACKGROUND_PROCESSES,该权限将允许应用程序结束其他后台应用程序
5).android.permission.GET_TASKS,该权限将允许应用程序检索当前任务信息
6).android.permission.WAKE_LOCK,该权限将允许应用程序防止手机进入休眠状态
加固情况:未加固
1.2 测试环境及工具
测试环境:Android 4.4
测试工具:夜神模拟器 3.8
1.3 分析目标
程序运行后按键失效,无法进行其它操作,通过分析使系统恢复正常
2.具体行为分析
2.1 主要行为
2.1.1 恶意程序对用户造成的危害
将会导致用户无法正常操作手机,按键全部失效,无法进入休眠状态,其他进程被结束
2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件
(1)权限相关
<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>
<uses-permission android:name="android.permission.CHANGE_WIFI_STATE"/>
<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>
<uses-permission android:name="android.permission.KILL_BACKGROUND_PROCESSES"/>
<uses-permission android:name="android.permission.GET_TASKS"/>
<uses-permission android:name="android.permission.WAKE_LOCK"/>
(2)服务/广播
<receiver android:name=".BootBroadcastReceiver"> <intent-filter> <action android:name="android.intent.action.BOOT_COMPLETED"/> <action android:name="android.intent.action.BOOT_COMPLETED"/> <action android:name="android.intent.ACTION_SCREEN_OFF"/> <action android:name="android.net.conn.CONNECTIVITY_CHANGE"/> <action android:name="android.net.wifi.WIFI_STATE_CHANGED"/> <action android:name="android.net.wifi.STATE_CHANGE"/> <category android:name="android.intent.category.HOME"/> </intent-filter> </receiver> <service android:name=".killpoccessserve"/> |
2.2 恶意代码分析
2.1 加固后的恶意代码树结构图(是否有加固)
未加固
2.2 恶意程序的代码分析片段
1).当应用程序启动后,首先进入的是MainActivity类中的onCreate方法,创建了一个服务
在服务中会杀死所有进程,除了tk.jianmo.study,并启动tk.jianmo.study.MainActivity
其中创建了一个线程执行计时操作,当时间为0后调用stopService函数,
通过重写了onKeyDown方法实按键失效,例如下图所示,为返回键的标志,
其中对不同的按键都进行了处理,如下图所示,导致无法退出主界面
3.解决方案(总结)
3.1 提取病毒的特征,利用杀毒软件查杀
特征包括:
在线程中进行计时操作
杀死进程的类名:tk.jianmo.study.killpoccessserve
主界面类名:tk.jianmo.study.MainActivity
包名:tk.jianmo.study
3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。
手工查杀,通过adb结束进程并卸载,或者回到主界面然后进入多任务界面进行结束进程,再卸载程序
命令如下:adb uninstall 包名
工具查杀,通过获取包名执行命令结束进程
这篇关于android样本分析(Wifi穷举神器)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!