Android版本的”Wannacry”文件加密病毒样本分析(附带锁机)
2017-08-31 21:08
477 查看
一、病毒样本分析
点击免费激活,出现授权界面:
![](https://img-blog.csdn.net/20170831190735674?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
需要设备管理器,是想修改锁机密码,我们就授权,然后分析程序找到重置的密码就好了;授权之后,就被锁屏了,解锁屏幕会出现:
![](https://img-blog.csdn.net/20170831190923331?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
病毒作者真够狠的,竟然自己弄了一个浮窗锁机,这时候我们不得不看代码了,找到这个密码了。其实该锁机很容易解决的,因为他主要是借助windowmanager搞的,所以这时候可以连接adb使用命令可以直接干掉这个进程就好了:am force-stop pkgname;我们可以用dumpsys命令获取其包名:
![](https://img-blog.csdn.net/20170831191450405?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
然后再强制停止app即可:
停止后就是解锁屏幕了,当然密码已经被篡改了,所以要分析软件了,当然如果设备root了,可以直接删除/data/system/password.key文件即可。
二、破解获取解锁密码
第一、获取锁屏密码
由于大部分锁机都是利用设备管理器修改设备密码的,所以,直接用jadx打开软件,然后全局搜索:DeviceAdminReceiver
![](https://img-blog.csdn.net/20170831192016013?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
然后看看这个类里面修改代码部分逻辑:
![](https://img-blog.csdn.net/20170831192937516?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
看到了,这里直接将手机的锁机密码修改成9815了。这个就是我们待会需要解锁的密码。
第二、浮窗锁机密码
这里是自己定义的浮窗锁机,所以直接看到锁机界面文字,去Jadx全局搜索即可,这里全局搜索“输入密码”:
进入到这个类即可:
![](https://img-blog.csdn.net/20170831193436739?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
这里定义了一个Service然后用WindowManager实现,然后把权限设置为最高,用户就无法进行任何操作了。因为最终的密码输入都是在这个EditText,取密码做比较也要用到这个文本框,就看这里的this.ed在哪里取值:
![](https://img-blog.csdn.net/20170831193814954?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
这里直接比对密码,如果密码正确了,就直接干掉服务,浮窗锁机就没有了。所以这里最重要的是decrypt方法了,他是从SP中拿到key是passw的密文进行解密比对。其实到这里我们可以借助Xposed工具直接hook这个decrypt方法就能很轻易的拿到这个密码了:
![](https://img-blog.csdn.net/20170831193926924?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
然后直接运行就可以获取对应的密码了:
![](https://img-blog.csdn.net/20170831194016865?watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQveGl6aXl1bnFp/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast)
我们继续手动分析这个加密算法,我们看看des变量定义:
点击免费激活,出现授权界面:
需要设备管理器,是想修改锁机密码,我们就授权,然后分析程序找到重置的密码就好了;授权之后,就被锁屏了,解锁屏幕会出现:
病毒作者真够狠的,竟然自己弄了一个浮窗锁机,这时候我们不得不看代码了,找到这个密码了。其实该锁机很容易解决的,因为他主要是借助windowmanager搞的,所以这时候可以连接adb使用命令可以直接干掉这个进程就好了:am force-stop pkgname;我们可以用dumpsys命令获取其包名:
然后再强制停止app即可:
shell@pisces:/am force-stop com.jk.mwifi
停止后就是解锁屏幕了,当然密码已经被篡改了,所以要分析软件了,当然如果设备root了,可以直接删除/data/system/password.key文件即可。
二、破解获取解锁密码
第一、获取锁屏密码
由于大部分锁机都是利用设备管理器修改设备密码的,所以,直接用jadx打开软件,然后全局搜索:DeviceAdminReceiver
然后看看这个类里面修改代码部分逻辑:
看到了,这里直接将手机的锁机密码修改成9815了。这个就是我们待会需要解锁的密码。
第二、浮窗锁机密码
这里是自己定义的浮窗锁机,所以直接看到锁机界面文字,去Jadx全局搜索即可,这里全局搜索“输入密码”:
进入到这个类即可:
这里定义了一个Service然后用WindowManager实现,然后把权限设置为最高,用户就无法进行任何操作了。因为最终的密码输入都是在这个EditText,取密码做比较也要用到这个文本框,就看这里的this.ed在哪里取值:
这里直接比对密码,如果密码正确了,就直接干掉服务,浮窗锁机就没有了。所以这里最重要的是decrypt方法了,他是从SP中拿到key是passw的密文进行解密比对。其实到这里我们可以借助Xposed工具直接hook这个decrypt方法就能很轻易的拿到这个密码了:
然后直接运行就可以获取对应的密码了:
我们继续手动分析这个加密算法,我们看看des变量定义:
DU du2 = new DU("flower"); this.des=du; Context context=this; try{ du= }
相关文章推荐
- Android版本的"Wannacry"文件加密病毒样本分析(附带锁机)
- Android版本的"Wannacry"文件加密病毒样本分析(附带锁机)
- 【转】Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)
- Android简单病毒分析(样本名:百变气泡)
- 关于android 4.2版本的sdcard文件目录分析(含修正)
- Android中修改锁屏密码和恶意锁机样本原理分析
- Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)
- Android逆向之旅---Android中如何修改锁屏密码和恶意锁机样本原理分析
- Android病毒样本分析(2)
- 关于android 4.2版本的sdcard文件目录分析(含修正)
- Android病毒样本分析(1)
- Android中的ClassLoader与dex文件加密实现分析
- Android病毒样本分析(3)
- Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)》》》原文链接
- Android中的ClassLoader与dex文件加密实现分析
- Android中的ClassLoader与dex文件加密实现分析
- 关于android 4.2版本的sdcard文件目录分析(含修正)
- 分析Android 根文件系统启动过程(init守护进程分析)
- android 文件系统分析
- 分析Android 根文件系统启动过程(init守护进程分析)