android样本分析(Wifi穷举神器)

2023-10-31 14:10

本文主要是介绍android样本分析(Wifi穷举神器),希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

1.样本概况... 3

1.1 样本信息... 3

1.2 测试环境及工具... 4

1.3 分析目标... 4

2.具体行为分析... 5

2.1 主要行为... 5

2.1.1 恶意程序对用户造成的危害... 5

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件... 5

2.2 恶意代码分析... 6

2.1 加固后的恶意代码树结构图(是否有加固). 6

2.2 恶意程序的代码分析片段... 6

3.解决方案(或总结). 7

3.1 提取病毒的特征,利用杀毒软件查杀... 7

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。... 8

1.样本概况

1.1 样本信息

病毒名称:5b22058c7632aa3211987b1abdd8e3d0

所属家族:未知

MD5值:5b22058c7632aa3211987b1abdd8e3d0

SHA1值:03d33383c7152661088a4f1e67408d1c011df552

CRC32:ecb06ce5

病毒行为:

1.单击启动后主界面如图所示,主要行为有返回键失效,多任务按钮失效,显示在一定时间后手机关机,主菜单建未失效,可以返回主界面,当进行其他操作时又会回到该界面。

2.清单文件中的恶意组件:

1).如下图所示,使用了服务组件

2).如下图所示,使用了广播组件

3敏感的权限:

1).android.permission.ACCESS_WIFI_STATE,该权限将允许应用程序查看wlan状态信息

  2).android.permission.CHANGE_WIFI_STATE,该权限将允许应用程序连接或关闭wlan,并允许修该wlan网络配置

        3).android.permission.RECEIVE_BOOT_COMPLETED,该权限将允许应用程序在系统开机时自动启动,并降低系统运行速度

  4).android.permission.KILL_BACKGROUND_PROCESSES,该权限将允许应用程序结束其他后台应用程序

  5).android.permission.GET_TASKS,该权限将允许应用程序检索当前任务信息

  6).android.permission.WAKE_LOCK,该权限将允许应用程序防止手机进入休眠状态

加固情况:未加固

1.2 测试环境及工具

测试环境:Android 4.4

测试工具:夜神模拟器 3.8

1.3 分析目标

程序运行后按键失效,无法进行其它操作,通过分析使系统恢复正常

2.具体行为分析

2.1 主要行为

2.1.1 恶意程序对用户造成的危害

   将会导致用户无法正常操作手机,按键全部失效,无法进入休眠状态,其他进程被结束

2.1.2 恶意程序在Androidmanifest.xml中注册的恶意组件

(1)权限相关

<uses-permission android:name="android.permission.ACCESS_WIFI_STATE"/>

<uses-permission android:name="android.permission.CHANGE_WIFI_STATE"/>

<uses-permission android:name="android.permission.RECEIVE_BOOT_COMPLETED"/>

<uses-permission android:name="android.permission.KILL_BACKGROUND_PROCESSES"/>

<uses-permission android:name="android.permission.GET_TASKS"/>

<uses-permission android:name="android.permission.WAKE_LOCK"/>

(2)服务/广播 

<receiver android:name=".BootBroadcastReceiver">

            <intent-filter>

                <action android:name="android.intent.action.BOOT_COMPLETED"/>

                <action android:name="android.intent.action.BOOT_COMPLETED"/>

                <action android:name="android.intent.ACTION_SCREEN_OFF"/>

                <action android:name="android.net.conn.CONNECTIVITY_CHANGE"/>

                <action android:name="android.net.wifi.WIFI_STATE_CHANGED"/>

                <action android:name="android.net.wifi.STATE_CHANGE"/>

                <category android:name="android.intent.category.HOME"/>

            </intent-filter>

</receiver>

<service android:name=".killpoccessserve"/>

 

2.2 恶意代码分析

2.1 加固后的恶意代码树结构图(是否有加固)

   未加固

2.2 恶意程序的代码分析片段

    1).当应用程序启动后,首先进入的是MainActivity类中的onCreate方法,创建了一个服务

在服务中会杀死所有进程,除了tk.jianmo.study,并启动tk.jianmo.study.MainActivity

其中创建了一个线程执行计时操作,当时间为0后调用stopService函数,

通过重写了onKeyDown方法实按键失效,例如下图所示,为返回键的标志,

其中对不同的按键都进行了处理,如下图所示,导致无法退出主界面

3.解决方案(总结)

3.1 提取病毒的特征,利用杀毒软件查杀

特征包括:

在线程中进行计时操作

杀死进程的类名:tk.jianmo.study.killpoccessserve

主界面类名:tk.jianmo.study.MainActivity

包名:tk.jianmo.study

3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。

手工查杀,通过adb结束进程并卸载,或者回到主界面然后进入多任务界面进行结束进程,再卸载程序

命令如下:adb uninstall 包名

工具查杀,通过获取包名执行命令结束进程

这篇关于android样本分析(Wifi穷举神器)的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/315891

相关文章

Redis主从复制实现原理分析

《Redis主从复制实现原理分析》Redis主从复制通过Sync和CommandPropagate阶段实现数据同步,2.8版本后引入Psync指令,根据复制偏移量进行全量或部分同步,优化了数据传输效率... 目录Redis主DodMIK从复制实现原理实现原理Psync: 2.8版本后总结Redis主从复制实

锐捷和腾达哪个好? 两个品牌路由器对比分析

《锐捷和腾达哪个好?两个品牌路由器对比分析》在选择路由器时,Tenda和锐捷都是备受关注的品牌,各自有独特的产品特点和市场定位,选择哪个品牌的路由器更合适,实际上取决于你的具体需求和使用场景,我们从... 在选购路由器时,锐捷和腾达都是市场上备受关注的品牌,但它们的定位和特点却有所不同。锐捷更偏向企业级和专

Android数据库Room的实际使用过程总结

《Android数据库Room的实际使用过程总结》这篇文章主要给大家介绍了关于Android数据库Room的实际使用过程,详细介绍了如何创建实体类、数据访问对象(DAO)和数据库抽象类,需要的朋友可以... 目录前言一、Room的基本使用1.项目配置2.创建实体类(Entity)3.创建数据访问对象(DAO

IDEA中的Kafka管理神器详解

《IDEA中的Kafka管理神器详解》这款基于IDEA插件实现的Kafka管理工具,能够在本地IDE环境中直接运行,简化了设置流程,为开发者提供了更加紧密集成、高效且直观的Kafka操作体验... 目录免安装:IDEA中的Kafka管理神器!简介安装必要的插件创建 Kafka 连接第一步:创建连接第二步:选

Spring中Bean有关NullPointerException异常的原因分析

《Spring中Bean有关NullPointerException异常的原因分析》在Spring中使用@Autowired注解注入的bean不能在静态上下文中访问,否则会导致NullPointerE... 目录Spring中Bean有关NullPointerException异常的原因问题描述解决方案总结

python中的与时间相关的模块应用场景分析

《python中的与时间相关的模块应用场景分析》本文介绍了Python中与时间相关的几个重要模块:`time`、`datetime`、`calendar`、`timeit`、`pytz`和`dateu... 目录1. time 模块2. datetime 模块3. calendar 模块4. timeit

python-nmap实现python利用nmap进行扫描分析

《python-nmap实现python利用nmap进行扫描分析》Nmap是一个非常用的网络/端口扫描工具,如果想将nmap集成进你的工具里,可以使用python-nmap这个python库,它提供了... 目录前言python-nmap的基本使用PortScanner扫描PortScannerAsync异

Android WebView的加载超时处理方案

《AndroidWebView的加载超时处理方案》在Android开发中,WebView是一个常用的组件,用于在应用中嵌入网页,然而,当网络状况不佳或页面加载过慢时,用户可能会遇到加载超时的问题,本... 目录引言一、WebView加载超时的原因二、加载超时处理方案1. 使用Handler和Timer进行超

Oracle数据库执行计划的查看与分析技巧

《Oracle数据库执行计划的查看与分析技巧》在Oracle数据库中,执行计划能够帮助我们深入了解SQL语句在数据库内部的执行细节,进而优化查询性能、提升系统效率,执行计划是Oracle数据库优化器为... 目录一、什么是执行计划二、查看执行计划的方法(一)使用 EXPLAIN PLAN 命令(二)通过 S

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置