1．样本概况

1.1 样本信息

名称：637d46139b0c787be824feb347e852b34ddc9176

MD5值：007f3f44cc4e95c3f6846c340ad9e656

SHA1值：637d46139b0c787be824feb347e852b34ddc9176

CRC32：8f78ceb1

程序主界面：

1.2 测试环境及工具

Nexus5 + IDA pro

1.3 分析目标

病毒行为分析

2．具体分析

2.1 加固情况

2.2代码分析片段

在JNI_OnLoad处下断点，运行程序，跟进程序正常启动，没有反调试，如下所示：

使用python脚本根据pDexOrJar遍历模块，查找cookie信息

# 遍历内存中的 pDexOrJar，即 cookie 信息

hTable = HashTable()

libdvm_base = FindModule('libdvm.so');

gDvm_addr = LocByNameEx(libdvm_base, 'gDvm');

print 'gDvm = ' + hex(gDvm_addr);

useDexFiles_addr = idc.Dword(LocByName('gDvm') + 0x330);

hTable.dump(useDexFiles_addr) # 4.4.4 0x330

hTable.printf()

运行结果如下图所示：

然后对dex进行dump，重打包失败，如下图所示：

删除提示的文件，然后重打包后程序无法运行，则直接对dump.dex进行分析，首先从OnCreate开始分析，主要是启动主界面

当启动完界面后，启动助手则重置密码为4932

解决办法，根据分析得到密码，解锁，然后卸载即可

3．总结

经过不断的调试和分析，从该样本中掌握了相关的调试方法，和调试技巧，但这只是开始，分析能力还需不断提高。

android病毒样本分析（红包助手）相关推荐

Android病毒样本分析(4)
1.基本信息病毒名称: SD-Booster.apk 文件名称: SD-booster 文件MD5: 50836808A5FE7FEBB6CE8B2109D6C93A 文件包名: de.mehrma ...
Android病毒样本分析(1)
1.基本信息病毒名称: 1.apk 文件名称: 建设控件文件MD5: 5B22058C7632AA3211987B1ABDD8E3D0 文件包名: tk.jianmo.study 数字签名:O=1 ...
Android版本的 Wannacry 文件加密病毒样本分析附带锁机
一.前言之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...
Android版本的Wannacry文件加密病毒样本分析(附带锁机)
一.前言之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...
Android版本的”Wannacry”文件加密病毒样本分析(附带锁机)
一.病毒样本分析点击免费激活,出现授权界面: 需要设备管理器,是想修改锁机密码,我们就授权,然后分析程序找到重置的密码就好了:授权之后,就被锁屏了,解锁屏幕会出现: 病毒作者真够狠的,竟然自己弄了一 ...
无文件攻击与病毒样本分析-1-1-1-无文件攻击介绍
目录无文件攻击与病毒样本分析-0-1-1-目录_千里ZLP的博客-CSDN博客https://wittpeng.blog.csdn.net/article/details/124712530?spm ...
无文件攻击与病毒样本分析-1-4-2-无文件攻击之恶意脚本：WScript和CScript
目录无文件攻击与病毒样本分析-0-1-1-目录_千里ZLP的博客-CSDN博客在一个月内,将持续研究并发布一套关于"无文件攻击技术与相关病毒样本分析"的系列文章,为便于查看,将在 ...
incaformat蠕虫病毒样本分析及查杀防范措施
2021incaseformat蠕虫病毒一.病毒简介二.样本分析三.查杀与恢复方式四.预防措施一.病毒简介病毒名称:incaseformat 病毒性质:蠕虫病毒影响范围:windows ...
火绒一面病毒样本分析
样本信息 MD5: 6E4B0A001C493F0FCF8C5E9020958F38 SHA1:BEA213F1C932455AEE8FF6FDE346B1D1960D57FF CRC32: 1 ...

android病毒样本分析（红包助手）