当前位置:网站首页 >> 游戏

Android手機木馬病毒的基礎介紹

时间:2019-05-03 10:42:13 来源:互联网 阅读:0次

本文介紹基于Android的惡意軟件,是一個基礎性的介紹,給新入門的人提供一個分析和工具指引。要分析的木馬是一個2013年的k,這個木馬的分析能對Android惡意軟件有個大概了解。

基础:

1 Android运用基础

Android是google开发基于Linux内核的开源的操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机则提供了一个抽象的真实硬件,只要和操作系统的API符合程序都可以在其上运行。应用则需要Linux的用户和组来执行,所以目前所有的恶意软件都需要取得权限。

Android运用的格式是APK,是一种包括l的 ZIP文件,媒体类文件实际代码是x和一些其他的可选文件。XML提供Android系统的重要信息,比如用启动应用程序时需要甚么权限,只有这个文件中列出的权限才提供给该运用,否则返回失败或空结果。x是Android应用程序实现的逻辑部分,是一个编译代码可由Dalvik虚拟机执行,打包成jar,从而节约移动设备上的一些空间。

2 分析工具

2.1Dexter

Dexter可以将Android应用上传做分析,提供了包和运用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。

2.2Anubis

Anubis也是一个WEB服务,运用在沙箱里运行,每一个样品相互独立,来分析文件和络的活动。同时也提供一些静态分析,包括权限XML在调用过程中的变化。

2.3 APKInspector

Apkinspector提供了很多工具,APK加载后可以选择标签来执行其中的功能,带有一个Java反编译器JAD,能够反编译大多数类,但经常报错。

2.4 Dex2Jar

可将dex 文件转成 Java 类文件的工具,即使你是经验丰富的逆向工程师,也可以考虑使用。

3 实例分析

3.1 Anubis

Anubis的显著特点是,给出了应用所需权限的大名单:

截图上包括了运用的部分权限。INTERNET权限是常见的游戏所需,用来统计跟踪,开启共享功能或者广告。还有一些WAKE_LOCK、READ_PHONE_STATE用来读取状态,防止在游戏中锁屏。但READ_CONTACTS、READ_HISTORY_BOOKMARKS则看起来就很奇怪,不像是一个游戏该干的事情。对127.0.0.1:53471的连接看起来也很奇怪。分析链接:

3.2 Dexter

包的依赖关系图显示共有四个。可以忽视ssec,它只包含空类的默许构造函数。

ssec包括了一个叫做Amazed的游戏,比较特别的是amazedactiviy的onCreate方法,设置为每隔15秒重复闹钟。

第3个class包括的事件比较多。onBoot在启动的时候就会进行闹铃,SmsReceiver和alarmReceiver则是真正的木马,在任何一个短信到达的时候SmsReceiver会检查里面是否包含有bank,如果是则使用abortBroadcast抛弃短信。

这意味着短信在上是看不到的。u有6个CLASS,重要的一条是Runner,是实际的恶意代码。work调用alarmReceiver来检查设备是否连接互联。

如果,则调用steal()收集信息,添加到XML帮助的一个伪变量里。

根据API的调用列表,会收集信息:IMSI、SIM卡序列号、姓名、设备ID、用户字典(自动补全)、联系人、通话记录、日历、浏览器搜索记录、浏览器收藏夹、发送和接收的短信、位置信息。

3.3 Emulator

Emulator证实这个APK确实有一个关于迷宫的游戏。但在输出的日志里可以发现它其实做了很多事情,并试图发送这些内容:

还有一些额外的信息包括安卓版本、IMEI、本地时间、steal()运行总量

3.3 分析用到的站

游戏不仅仅是个游戏,检查你的游戏。

小儿轻微脑瘫的表现
脑瘫儿的诊断
脑瘫手术要多少钱

相关文章

一周热门

热点排行

热门精选

友情链接: 装修攻略
媒体合作:

Copyright (c) 2011 八零CMS 版权所有 Inc.All Rights Reserved. 备案号:京ICP0000001号

RSS订阅网站地图