Android恶意代码静态分析.ppt

3 使用IDA Pro分析Android恶意代码 例子：同上 步骤 （1）使用ZIP工具解压缩APK文件 （2）使用IDA Pro打开DEX文件 （3）修改DEX文件 （4）重新修复与签名 3 使用IDA Pro分析Android恶意代码 使用IDA Pro打开DEX文件 按照上一个例子的分析方法，在IDA Pro中查找0x7f05000b 然后找到“if-nez v0, :cond_0”位置，点击IDA Pro主界面上的“Hex View-A”选项卡，发现这行代码的指令为“39 00 0f 00”，第一个字节39为if-nez指令的Opcode，我们需要将其改为if-eqz指令的Opcode(38) 使用Uedit打开DEX文件并进行修改 3 使用IDA Pro分析Android恶意代码 文件修复与签名 使用DexFixer对Dex文件进行修复 将修复后的Dex文件重新放回crackme02.APK文件中，然后删除APK中的META-INF文件夹 重新进行签名 4 阅读反编译的Java代码 由于Android程序是采用Java语言开发的，因此传统意义上的Java反汇编工具依然能够用上。 （1） 使用dex2jar生成jar文件 （2） 使用jd-gui查看jar文件的源码 4 阅读反编译的Java代码 （1）使用dex2jar生成jar文件 Dex2jar的官网/p/dex2jar，并将戒烟后的文件夹添加到PATH变量中 使用方法 d2j-dex2jar XXX.apk 4 阅读反编译的Java代码 （2） 使用jd-gui查看jar文件的源码 jd-gui是一款用C++开发的Java反编译工具，该工具可以直接以源码的形式显示jar文件中的内容 例子：crackme02 5 DroidKongFu病毒分析 DroidKongFu是Android平台上一款十分活跃的病毒。早在2011年，这款病毒就出现了。 DroidKongFu病毒的主体是一个Android原生程序，通常它被捆绑到正常的Android软件中，用户只要安装遭到捆绑的软件就会感染该病毒。 本章分析的病毒捆绑在一款名为“Cut The Rope Unlock”的游戏解锁软件中。 5 DroidKongFu病毒分析 当用户安装游戏软件并运行后，软件中被植入的Java代码就会执行Native层的病毒主体，病毒主体进而感染手机系统、篡改系统文件，连接远程的CC（Command Control），服务器并接受控制指令。 DroidKongFu变种病毒执行流程图 5 DroidKongFu病毒分析 Java层启动代码分析 首先反编译样本virus.apk apktool d virus.apk dex2jar virus.apk 查看virus目录下的AndroidManifest.xml文件，能得到什么信息？ 使用jd-gui工具打开jar文件，定位到MainActivity的OnCreate（）方法，分析这个函数做了哪三件事情？并找到相应的代码？ 病毒在MainActivity初始化时，做了一下三件事 （1）启动广告接收线程 （2）启动全局定时器 （3）启动恶意服务 * 此页列出学习本课程需要达到的目标。 此页胶片仅在授课时使用，胶片＋注释中有单独的文字说明课程目标，不需要再使用该页胶片。 （Cabir.S）病毒分析 手机功能表中有一个应用程序图标（在不同的机器上，图标会有所不同），手机自动寻找蓝牙设备，并向搜索到的蓝牙设备发送有毒sis文件。电池电量消耗迅速。?Cabir系列病毒是一个使用蓝牙传播的蠕虫，运行于支持60系列平台的Symbian手机。?Cabir通过蓝牙连接复制，将包含蠕虫的caribe.sis文件传到其他手机的收信箱。当用户点击caribe.sis并选择安装Caribe.sis文件时，蠕虫激活并开始通过蓝牙寻找新的手机感染。?当Cabir蠕虫发现另一台蓝牙手机时，它将开始向其发送感染SIS文件，并锁定这个手机，以至于即使目标离开范围时它也不会寻找其他手机。? * Redbrowser.A 是基于 Java 的 J2ME 开发的 Midlet （移动信息设备小程序），向高收费的号码发送 SMS 消息。 ????????Redbrowser 伪装成一个 WAP 浏览器，通过免费的 SMS 消息来发送 WAP 页面内容来提供免费的 WAP 浏览。但 Redbrowser 实际做的是向收费昂贵的号码发送 SMS 消息，因此导致用户的手机费用损失。 * Android恶意代码静态分析 学习目标 掌握恶意代码静态分析的方法 能够熟练使用APKTool、IDA Pro等工具分析恶意代码 * 移动终端恶意软件简介