android病毒样本分析（红包助手）

目录

1．样本概况... 3

1.1 样本信息... 3

1.2 测试环境及工具... 3

1.3 分析目标... 3

2．具体分析... 4

2.1 加固情况... 4

2.2代码分析片段... 4

3．总结... 6

1．样本概况

1.1 样本信息

名称：637d46139b0c787be824feb347e852b34ddc9176

MD5值：007f3f44cc4e95c3f6846c340ad9e656

SHA1值：637d46139b0c787be824feb347e852b34ddc9176

CRC32：8f78ceb1

程序主界面：

1.2 测试环境及工具

Nexus5 + IDA pro

1.3 分析目标

病毒行为分析

2．具体分析

2.1 加固情况

2.2代码分析片段

    在JNI_OnLoad处下断点，运行程序，跟进程序正常启动，没有反调试，如下所示：

使用python脚本根据pDexOrJar遍历模块，查找cookie信息

# 遍历内存中的 pDexOrJar， 即 cookie 信息 hTable = HashTable() libdvm_base = FindModule('libdvm.so'); gDvm_addr = LocByNameEx(libdvm_base, 'gDvm'); print 'gDvm = ' + hex(gDvm_addr); useDexFiles_addr = idc.Dword(LocByName('gDvm') + 0x330); hTable.dump(useDexFiles_addr)  # 4.4.4 0x330 hTable.printf()

运行结果如下图所示：

然后对dex进行dump，重打包失败，如下图所示：

删除提示的文件，然后重打包后程序无法运行，则直接对dump.dex进行分析，首先从OnCreate开始分析，主要是启动主界面

当启动完界面后，启动助手则重置密码为4932

    解决办法，根据分析得到密码，解锁，然后卸载即可

3．总结

经过不断的调试和分析，从该样本中掌握了相关的调试方法，和调试技巧，但这只是开始，分析能力还需不断提高。