這是我的分析報告,
寫道android_faketoken.a_infected_分析報告
1. androidmanifest.xml分析
<?xml version="1.0" encoding="utf-8"?>
android:cleartaskonlaunch="true"
android:icon="@drawable/icon"
2 程式結構圖
org那些是******framework的乙個lib負責xml的一些操作,不用關注。核心是token.bot看名字這個有點像乙個手機殭屍網路程式。其中assets下面有乙個網頁資源。
這個是安裝好的圖示
開啟後生成
介面,這個實際上是乙個生成隨機數的程式
public void oncreate()
goto _l9 }
然後看下啟動mainservice的**:這部分主要是包裝了乙個putextra(「key」,」alarm」);
mainservice.start(paramcontext, paramintent, "alarm");
public static void start(context paramcontext, intent paramintent, string paramstring)
public void onstart(intent paramintent, int paramint)
while (true)
} }
http獲得response後,利用executecommands來執行控制命令。
這是對返回的serverresponse的解析與執行:
parseresponse()方法我就不細寫了,實質就是對返回的inputstream進行解析,由於是採用xml格式進的通訊的,實質就是提取http中對應元素資訊的過程。
這是解析返回的serverresponse類格式
public class serverresponse
public class smsitem
public void executecommands(serverresponse paramserverresponse)
} catch (exception localexception)
label612: return;
label613: i++; }
} 基本上http botnet部分的命令接受與控制就是這個樣子了。
其中對catchsmslist和deletesmslist的利用是在smsreciver中實現的。實質就是監聽了sms的接收,然後進了過濾
public class smsreciver extends broadcastreceiver
} public void onreceive(context paramcontext, intent paramintent)
catch (exception localexception)
} }
} 但是不幸的是,這兩個網域名稱不知道是被牆了還是掛了還是怎麼著,反正我現在解析不能,所以動態的一些分析就不做了。從這個bot程式來看,手機上botnet應該是已經起步了
惡意程式封裝
首先將惡意程式設定為隱藏模式 自解壓格式 高階自解壓選項 提取後執行 確定 生成惡意檔案 要傳送的檔案 注 放是乙個障眼法,比如壓縮包的名字可以命名為 史詩震撼 然後裡面真的放一些比較好看的,將這個隱藏的程式嵌入進去,當靶機解壓後,程式會在後台執行起來,執行的檔案也是隱藏的,那麼就達到了很好的隱藏目...
惡意程式清除經驗
其實,清除這些程式的通用方法不外乎以下幾點 防毒軟體這是最常用也是最簡單的方法。防毒軟體的選擇也是一門學問,一款好的防毒軟體會給我們帶來事半功倍的效果。多年來,我幾乎用遍了所有知名的防毒軟體,它們都有各自的優點,但個人認為整體效能表現最佳的是卡巴斯基 kaspersky 和麥咖啡 mcafee 在防...
惡意程式行為特徵總匯
惡意程式行為特徵總匯 這裡把我所見到的一些病毒行為特徵總結一下列了出來,有些搞忘了,以後記起來了,或碰到新的行為特徵的時候我再新增進來。1 看起來就很不爽的圖示。2 執行不報錯,無反應,或者直接就自刪除不見了,這類情況很可能就是你中毒了。自刪除通常是在temp目錄下生成乙個bat檔案,迴圈嘗試刪 除...