Android版本的”Wannacry”文件加密病毒样本分析(附带锁机)
一、病毒样本分析
点击免费激活,出现授权界面:
需要设备管理器,是想修改锁机密码,我们就授权,然后分析程序找到重置的密码就好了;授权之后,就被锁屏了,解锁屏幕会出现:
病毒作者真够狠的,竟然自己弄了一个浮窗锁机,这时候我们不得不看代码了,找到这个密码了。其实该锁机很容易解决的,因为他主要是借助windowmanager搞的,所以这时候可以连接adb使用命令可以直接干掉这个进程就好了:am force-stop pkgname;我们可以用dumpsys命令获取其包名:
然后再强制停止app即可:
shell@pisces:/am force-stop com.jk.mwifi
停止后就是解锁屏幕了,当然密码已经被篡改了,所以要分析软件了,当然如果设备root了,可以直接删除/data/system/password.key文件即可。
二、破解获取解锁密码
第一、获取锁屏密码
由于大部分锁机都是利用设备管理器修改设备密码的,所以,直接用jadx打开软件,然后全局搜索:DeviceAdminReceiver
然后看看这个类里面修改代码部分逻辑:
看到了,这里直接将手机的锁机密码修改成9815了。这个就是我们待会需要解锁的密码。
第二、浮窗锁机密码
这里是自己定义的浮窗锁机,所以直接看到锁机界面文字,去Jadx全局搜索即可,这里全局搜索“输入密码”:
进入到这个类即可:
这里定义了一个Service然后用WindowManager实现,然后把权限设置为最高,用户就无法进行任何操作了。因为最终的密码输入都是在这个EditText,取密码做比较也要用到这个文本框,就看这里的this.ed在哪里取值:
这里直接比对密码,如果密码正确了,就直接干掉服务,浮窗锁机就没有了。所以这里最重要的是decrypt方法了,他是从SP中拿到key是passw的密文进行解密比对。其实到这里我们可以借助Xposed工具直接hook这个decrypt方法就能很轻易的拿到这个密码了:
然后直接运行就可以获取对应的密码了:
我们继续手动分析这个加密算法,我们看看des变量定义:
DU du2 = new DU("flower");
this.des=du;
Context context=this;
try{du=
}
Android版本的”Wannacry”文件加密病毒样本分析(附带锁机)相关推荐
- Android版本的 Wannacry 文件加密病毒样本分析 附带锁机
一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...
- Android版本的Wannacry文件加密病毒样本分析(附带锁机)
一.前言 之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...
- 无文件攻击与病毒样本分析-1-1-1-无文件攻击介绍
目录 无文件攻击与病毒样本分析-0-1-1-目录_千里ZLP的博客-CSDN博客https://wittpeng.blog.csdn.net/article/details/124712530?spm ...
- android下zip压缩文件加密解密的完美解决方案,Android之zip文件加密解压及进度条的实现...
zip文件的解压可以使用java的zip库,但是没有实现对加密文件的解压功能,这里可以使用zip4j来实现.具体可以参看该文<Android下zip压缩文件加密解密的完美解决方案 http:// ...
- 无文件攻击与病毒样本分析-1-4-2-无文件攻击之恶意脚本:WScript和CScript
目录 无文件攻击与病毒样本分析-0-1-1-目录_千里ZLP的博客-CSDN博客在一个月内,将持续研究并发布一套关于"无文件攻击技术与相关病毒样本分析"的系列文章,为便于查看,将在 ...
- incaformat蠕虫病毒样本分析及查杀防范措施
2021incaseformat蠕虫病毒 一.病毒简介 二.样本分析 三.查杀与恢复方式 四.预防措施 一.病毒简介 病毒名称:incaseformat 病毒性质:蠕虫病毒 影响范围:windows ...
- android病毒样本分析(红包助手)
目录 1.样本概况... 3 1.1 样本信息... 3 1.2 测试环境及工具... 3 1.3 分析目标... 3 2.具体分析... 4 2.1 加固情况... 4 2.2代码分析片段... 4 ...
- 火绒一面病毒样本分析
样本信息 MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1:BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1 ...
- 企业常用文档加密软件方案有哪些?企业电脑文件加密软件重要性分析【上海风奥科技】
信息技术在帮助企业快速发展的同时,也对企业的信息安全带来巨大的威胁.当前,很多企业都有文件加密需求,尤其是对公司涉及商业机密的文件,如何保护这些文件的安全,防止越权访问或泄密电脑文件的行为,就显得极为 ...
最新文章
- lnmp的编译安装mysql_LNMP环境搭建(二) 编译安装MySQL
- exit(0)和exit(1)区别
- c语言编译器app官网下载,c语言编译器
- 自动驾驶—高精度地图or人工智能or其他
- SEO外语网站批量翻译软件
- Windows键盘鼠标模拟按键类型
- Dell服务器管理工具Dell OpenManager Server Administrator的安装
- 服务器怎么增加独立显卡,dell服务器设置独立显卡(dell服务器加显卡)
- 《寂静之声》口琴版,惊艳,有链接
- SQLZOOL练习题答案和解析 第1关 SELECT name
- QNAP(威联通)联合创始人郭博达先生一行到访
- JS阻止form表单提交失败
- win10系统通过文件名称快速搜索文件的软件
- 音频格式转换(ffmpeg)
- 公链求生记:我要干外包
- ask2在线问答解惑系统网站源码
- 使用Cpolar+freekan源代码 搭建属于自己的在线视频网站
- JS30--Three CSS Variables
- “显卡巨头”英伟达跌落神坛?利润暴跌七成 芯片制造商命运发生转变
- phpstudy 安装 flarum论坛
热门文章
- matlab gist,图像GIST特征和LMGIST包的python实现(有github)
- linux怎么搞换行符,Linux上怎么进行换行符转换
- 【愚公系列】2023年02月 WMS智能仓储系统-016.库存管理和仓内作业(库存管理、仓内加工、库存移动)
- createfile 无权限_设备在非管理员权限下无法打开,createfile返回值为(0x0005)
- 2018 首届虚拟货币对冲基金峰会 (纽约) 正式拉开帷幕
- Unity内置Built-in到可编程URP函数对应整理
- 看CRM如何整合客户资源,提升销售执行力
- linux fwrite 头文件,linux c之用fwrite和fread实现文件的复制
- 仅9天拿下CVPR竞赛冠军,家里的狗狗都改了作息
- 2020-12-16redis初步学习