前言
最近有跑吾爱转达了一圈,看了看自己工作时写的流水账文章,那时候盛行的锁机软件,现在依然流行,那时候工作每天要遇到几十几百个锁机软件,大多数都是一位名为“彼岸花”的作者制作的,当时的锁机软件几乎都是通过类似于贩卖机一样的工具批量生成或者定制化生成,然后下面的小朋友再拿着生成的锁机软件去敲诈勒索。
看了一下当时的记录,找了一下“彼岸花”作者,又再次打开了那个熟悉的空间,空间时间停滞在了21年2月,往下翻了几页看到了一张“刑满释放证”,尽然18年被请去吃饭了,真是天网恢恢,疏而不漏。作者在空间中也说了,自己出来后洗心革面,只收徒教Android、java开发,并且大力宣传抵制病毒软件。俗话说“知错能改,善莫大焉”。
感想
时间过的很快,转眼间5年了,想当年葫芦娃还让我介绍他到我们公司实习,结果因为未成年,被公司拒了,5年后葫芦娃成了人尽皆知的大佬,自己还是那个搞安全的打工人。年轻时混混度日,中年时奋斗已明显感觉乏力,五年时光稍纵即逝,留给我们的只有回忆,还是不堪回首的回忆。鸡汤总是告诉我们只要自己想学,什么时候都不算晚,但是现实告诉我们,迟了总是迟了,能早做的事情一定不要等下次。不要等下次昂,不要等下次昂,我知道你懂我说的是什么,算了,还是明示你们吧—记得点赞、再看、转发哦。
废话说了一堆,进入正题,今天就用一款锁机软件来说明一下病毒样本分类中的锁机软件是怎么安装到我们手机,又怎么敲诈勒索,我们普通人安装了之后又怎么解锁。
样本基本信息
名称:K7
MD5:D8936BE89057233CA26263CDEDCADA30
SHA1:C4D8CC330F1A59F961AEEC131FD642F46F613253
包名:com.k7.qq2856437148
大家看到这个样本名称,可能疑惑,这样一个名称是怎么传播的,为什么会有人安装。当然,这样一个名称的app不会直接分发到受害者,而是依附于某些插件,游戏辅助工具等一系列比较热门的软件来传播。
锁屏主要方式
-
利用设备管理器权限,直接用系统提供的api修改
-
利用root权限和锁屏密码算法直接修改系统锁机密码文件内容
而这两种方式操作完成之后都需要重启设备生效,而对于这两种方式各有利弊,不过针对于一些游戏外挂root权限一般都是具备的,所以第二种是最优方案。而对于一些普通恶意应用root权限很少,可以利用第一种方式进行操作是最优方案。
样本分析
前期工作
我们拿到样本后可以按照我们上篇文章[[Android病毒分析基础(一)]]写的步骤来快速看看样本具体有哪些恶意行为,有哪些关键点,方便我们后续详细分析。
从上述扫描结果可以看到样本的主要的危险行为就是添加悬浮窗口,即我们通俗的说法“全屏弹窗锁屏”。
在线分析报告:https://habo.qq.com/file/showdetail?pk=ADcGbl1kB2cIOFs4U2M%3D#runphoto
运行界面
代码分析
关键文件
拿到反编译后的代码,我们首先要看的就是Manifest文件,看看有什么权限,Application、MainActivity、一些service、receiver等。
接下来我们进入MainActivity,可以看到启动了K7类,直接看K7。
第一层锁机
在K7中直接实现了全屏弹窗,即第一层锁屏界面。可以看到k7参数即使我们第一层解锁的密码。我们直接用AS抄一下代码后跑一下,就能拿到解锁密码。
第二层锁机
解锁后我们进入第二层锁机界面,还是一样,我们直接拉代码跑一下即可,但是这里要注意一下,他把锁机界面上的随机数转换成了文字,就是简单的数字和文字对应关系方法。
数字和文字对应关系:
第三层锁机
解锁后我们进入第三层,直接上代码:
通过一顿复制粘贴改代码,终于我们解锁成功,卸载并删除了这个锁机样本。
锁机软件解锁方法
第一种方法:
用另一部手机打电话给那部被锁的手机,然后出现接电话那个界面,然后马上退出到桌面,找到锁机软件直接删了(速度要快,仅部分锁机软件有效)。
第二种方法:
长按电源键,强制重启手机,在手机重启开机成功后马上输入密码进入手机桌面,迅速找到锁机软件马上卸载了(速度要快,仅部分锁机软件有效)。
第三种方法:不同手机不同系统版本位置不同
教大家用ADB来删除密码:
1、手机连接电脑,在充电模式下进行。
2、去百度搜索下载ADB.rar 解压到某目录。
3、在该目录搜索框直接输入cmd, 依次输入命令:
adb shell
su
cd data/system
ls
可以看到有一个pass*.key和一个gesture.key的文件,这个就是密码的文件,我们就是把这个给删除就可以了! 最后输入命令: rm pass*.key(如果是PIN解锁就这个) 或者rm gesture.key(如果是手势解锁就这个) 输入reboot或手动重启手机生效。(其实,不用重启也可以的了,直接解锁,密码怎么滑都对,最好还是重启一下.)
第四种方法:
恢复出厂值。操作前注意重要数据要备份哦!( 操作步骤如下:
- 1.关闭手机
- 2.按 音量上+开机键进入rec模式
- 3.选择恢复出厂值wipe data/factory res
- 4.重启手机
第五种方法:
电脑端连接卓大师,(前提是你的手机开启了USB调试),等安装好驱动,打开卓大师工具箱,里面有清除锁屏密码选项,进去等待重启。
第六种方法:
操作前注意重要数据要备份哦!
重新刷机(你可以只刷入Recovery,然后使用第二种方法,或者干脆整个系统重刷)
手机重启过程中按音量键加或者音量键和开机键不放(一些国产安卓适用)进去双wipe,则可以清除锁屏密码,可以用卓大师清除。
第七种方法:
那就是找一个会逆向的大佬,帮你分析锁屏密码了。
如何避免安装此类软件
-
1、看该软件有多少MB,如果1kb~10MB左右的大家尽量别下了,也可以看图标,看名字之类的。
-
2、当然也有的软件或外挂辅助插件模块等。本身比较大的几百MB左右的都有,当你打开以后如果提示你打开无障碍什么的,就需要谨慎了。
-
3、可以找一些在线杀毒的工具,查杀一下,基本都能查出来问题。
-
4、如果不放心,可以先用模拟器试试水(也可以用没什么重要文件的备用机试试水),虽然麻烦但是安全可靠。
总结
致富道路千万条,违法行为莫触碰
兼职小活虽赚钱,违法红线不能越
我们从这个样本简单的了解了一下一个病毒样本的分析流程、如何处理病毒软件、以及如何避免安装病毒软件。
锁机软件为什么在那段时间传播比较广泛,主要是因为一些社群肆意传播,而且一个锁机软件生成成本极低,很多小学生甚至用锁机软件赚得每月上千元的生活费。所以我们应该从自身做起,不传播此类软件,方能从源头遏制。很多人不以为然,但是看看开头的“释放证”,你是否可以稍作思考,不再踏上不归之路呢。
总的来说病毒软件对我们的危害还是挺大的,不管是经济上的损失,还是精神上的折磨,这都使得我们不得不重视病毒软件,锁机软件只是病毒软件中的冰山一角,敲诈勒索的金额也有限,但是对于一些传播广泛的PC端勒索软件,严重的则会造成整个公司计算机瘫痪,所有文件加密,公司将面临巨大的损失。
参考文章:
https://www.52pojie.cn/thread-701201-1-1.html
https://view.inews.qq.com/a/20220318A0BOMD00