很老的乙個樣本,簡單的分析下練手
一.樣本概述
樣本主要行為:
程式安裝後偽裝成移動客戶端
執行後需要啟用裝置管理器,防止被裝置管理器刪除
二.詳細分析流程
1. 程式啟動
2. 啟用裝置管理器
2. 解密配置資訊
通過des解密後寫配置資訊
key為staker
還原後**如下:
會生成乙個明文的配置檔案:
該程式的主要功能就是配置檔案的所描述的資訊
3.傳送軟體安裝成功的簡訊到遠端手機號
傳送簡訊內容:
"軟體安裝完畢\n識別碼:868331018161094\n型號:huawei u9508 \n手機:huawei \n系統版本:4.1.1" 至 13482173247 傳送簡訊內容 "62147483647"
至 13482173247
4. 啟動的郵件任務會傳送使用者的敏感資訊到指定郵箱
使用者的敏感資訊包括:
簡訊聯絡人
傳送的目標郵箱就是上面解密的郵箱
遍歷所有簡訊:
獲取所有聯絡人
傳送所有簡訊息到指定郵箱
傳送聯絡人
5. 設定情景模式為靜音
4.1版本以及以後已棄用setvibratesetting
6. 開機啟動後立即啟動服務
7. 當收到的簡訊是自己的號碼,則操作配置資訊和相關的資料庫操作
簡訊操作和之前的操作類似
資料庫相關資訊如下(這是他自己建的乙個資料庫):
建立資料庫
create table if not exists intercept_person(
\'id\' integer primary key autoincrement,
\'modified_time\' datetime default (null),
\'created_time\' datetime,
\'number\' varchar(40),
\'name\' varchar(40))"
資料庫路徑:
/data/data/com.phone.stop/databases/phone_database
病毒分析的一般流程:
1. 使用行為監控軟體進行大致行為監控
檔案操作
網路操作
資料庫.....
針對不同平台的特點有針對性的進行監控
和android相關的一些行為監控工具
zjdriod
droidbox
inspeckage 基於xpose
火眼(金山)
檔案b超(瀚海源,阿里巴巴)
virusbook
joesandbox
2.動靜態結合對樣本分析
根據上面的監控流程,有針對性的對病毒樣本進行分析
主要確定樣本的危害性
最終給出查殺方案
來自為知筆記(wiz)
乙個簡單木馬程式的實現
實現乙個簡單的木馬,一般需要客戶端和服務端,為了便於實現,就用windows自帶的telnet軟體遠端連線,服務端通過監聽某個埠提供服務,類似於telnet服務的後台程式。其服務端程式設計的基本原理如下 1 開啟一通訊通道 繫結某個埠 並告知本地主機,它在某乙個位址上接收客戶請求。利用socket和...
乙個簡單木馬程式的實現
實現乙個簡單的木馬,一般須要client和服務端。為了便於實現,就用windows自帶的telnet軟體遠端連線,服務端通過監聽某個port提供服務。類似於telnet服務的後台程式。其服務端程式設計的基本原理例如以下 1 開啟一通訊通道 繫結某個port 並告知本地主機,它在某乙個位址上接收客戶請...
乙個木馬黑客的自白
曾幾何時,在計算機技術人員眼中,黑客還被當成了天才來膜拜。即使到了中國所特有的紅客出現,也因為所謂的正義感而尚能被網民接受。但在目前這個幾乎全民皆可以做黑客的時代,黑客守則中的不惡意破壞任何系統已無人遵守,黑客精神被徹底拋棄。在赤裸裸的金錢 下,天天都有數不清的人懷著各種目的,前赴後繼踏入網路地下世...