Android恶意代码分蔚啮.doc

Android恶意代码分析 之前都是在分析PE文件的，这个是找工作时的一个笔试题分析一个android恶意。用了一个星期熟悉java和android的东西然后写了这个分析有什么不对的地方还请大家见谅 1.基本信息 病毒名称：未知 病毒类型：含恶意广告 样本MD5：4360c2c29ed03898b925e07f4d648b4e 样本大小：7.43MB 2.概述 恶意代码部分先于程序启动加载自己的页面，用户只有点击“获取积分“，下载一个它提供的应用才获取积分能开始游戏，同时恶意代码获取手机的手机型号 系统版本 IMSI icd 等信息到发送到20/22。 ? 3.静态分析 恶意代码在正常应用上进行绑定，恶意代码部分主要在下图标红部分。 manifest.xml分析 ? 权限列表 ??? uses-permission android:name=android.permission.VIBRATE /允许设备振动 ??? uses-permission android:name=android.permission.WRITE_EXTERNAL_STORAGE / 操作外部存储设备 ??? uses-permission android:name=android.permission.INTERNET /允许打开网络套接字 ??? uses-permission android:name=android.permission.INSTALL_PACKAGES /允许安装程序 ??? uses-permission android:name=android.permission.ACCESS_NETWORK_STATE /允许程序访问有关GSM网络信息 ??? uses-permission android:name=android.permission.ACCESS_WIFI_STATE /允许程序访问Wi-Fi网络状态信息 ??? uses-permission android:name=android.permission.READ_PHONE_STATE /读取电话状态 uses-permission android:name=android.permission.GET_TASKS /允许一个程序获取信息有关当前或最近运行的任务，一个缩略的任务状态，是否活动等等 恶意activity ??????? activity android:name=com.androidemu.gba.gba.Mym android:configChanges=keyboardHidden|orientation / ??????? activity android:name=com.androidemu.gba.gba.LogOut / ////////////////////////////////////////////////////////////////////////////////////////////// ? 代码分析 分析程序入口 ??protected void onCreate(Bundle paramBundle) // ? { ??? this.settings = getSharedPreferences(MainActivity, 0); ??? super.onCreate(paramBundle); ??? setVolumeControlStream(3); ??? setTitle(2131165197); ??? getListView().setOnCreateContextMenuListener(this); ??? this.creatingShortcut = ent.action.CREATE_SHORTCUT.equals(getIntent().getAction()); ??? aeo(); //此函数中会开启? activity android:name=com.androidemu.gba.gba.LogOut / ? ? } ////////////////////////////////////////////////////////////////////////////////////////////////////// ? public void aeo() ? { ??? this.Captain = new Captain(this); ??? if ((this.Captain.isOpen()) (!Captain.PN.isGame)) ??? { ????? AppConnect.getInstance(a5a4c7af109259db240c3a691