Hacker基础之工具篇 apktool

apktool

apktool是一个用于第三方封闭的二进制Android应用程序逆向工程工具

它可以将资源解码为几乎原始的形式,并在进行一些修改后重建它们;

它可以逐步调试小代码, 由于类似项目的文件结构和一些重复性任务的自动化,比如构建apk等,它还使得逆向工作变得更容易

下面是apktool的项目地址

Source: https://code.google.com/p/android-apktool/

apktool参数

详细的apktool参数在这里,也可以在kali中用apktool命令来显示

https://tools.kali.org/reverse-engineering/apktool

apktool的参数很多,所以这里就不一一列出来了,因为这样列出了排版出来不好看,我们就说几个常用的

Usage: apktool [-q OR -v] COMMAND [...]

COMMAND可以使用的是:

d[ecode] [OPTS] <file.apk> [<dir>]

首先是d参数,意思是decode,这个也是最重要的参数,用于解压.apk文件的

root@kali:~# apktool d /root/test.apk

这样就可以把这个apk解压相同目录下相同名字的一个目录中了

[OPTS]的参数可以在apktool的参数说明查到,这里就不详细说了

file.apk就是我们要逆向的文件

[<dir>]代表了我们想把解压的结果保存到那个目录中,如果没有提供,默认保存在相同目录下

下面我们通过一个例子来讲解apktool这个命令对我们分析apk木马有什么帮助

PS:这篇文章是初音两年前写的,图片找不到原图了,所以会有个我以前的公众号的水印

一、起因

事情的起因是这样的

一个同事收到了一条群发的短信,短信如下

然后作为搞安全的听说于是就要查一查这个东西是什么

网络诈骗的都搞到我们头上了

然后就开动了

二、前期分析

一开始拿到这个网址的时候,我的思路第一想到的肯定是先上御剑扫一扫

御剑扫了半分钟,一点输出都没有,感觉有点不对,然后切换到虚拟机中,用zenmap扫端口看看

果不其然,这个网站除了给你提供下载的端口之外,什么端口都没有开放

然后查whois,查域名,发现了他域名的注册邮箱

是个叫王小成的家伙,服务器中间件是iis/6.0

还找到了他的注册邮箱

但是这都没有用

三、逆向工程

既然从网址这一块没什么突破,那我们就下载他的apk做逆向分析看看

我们下载下来的东西,就是下图显示的这个

然后直接拖到Kali,用Kali工具中的apktool解压这个apk

直接在terminal中执行

apktool d lx.apk

然后就在本地目录下生产了一个叫lx的目录

然后,里面都是apktool分析的结果

解压完毕之后然后开始了分析阶段

简单的说就是:

一个一个文件的分析,一个目录一个目录的找(不服你咬我啊~

在其中的文件中,我们发现了SMSReceiver,说明这个apk可以发送和接收短信

然后我们继续找,在另一个目录下,发现这个,还是比较重要的东西

我们看见了smtp,说明在木马中,可以用mail函数中的smtp协议进行邮件的发送(不懂smtp的好好看看TCP/IP

那既然可以发送邮件,说明在木马中肯定会存在邮箱地址的密码

我们继续找

最后在/lx/smail/com/phone/stop/db目录下的a.smail的文件里面,发现他的上传数据的邮箱和密码

最后结论就是他是一个通过smtp(简单邮件传输协议),获取本机的通讯录和短信后,上传邮箱的木马

三、收割邮箱

我们顺藤摸瓜,登陆这个邮箱

里面全是中了木马的手机发送的手机通讯录

我们随便打开一个

有通讯录电话的

有短信的消息的

通过这个木马,黑客还可以读取你的短信,轻松的看到你的敏感信息

而且这个木马的感染了一个手机之后,可以通过这个手机,发送短信给通讯录的好友

通过<朋友圈>的形式传播和感染,下图中的信息就是同学录发给本机的短信

五、清理痕迹

登陆上黑客用于接受信息邮箱后,由于改邮箱密码需要黑客的手机号来接收验证码,没办法

为了终止这个病毒的扩张,我们通过设置邮箱白名单的策略

将白名单中添加一个不存在的邮箱(回头是岸@好好做人)过滤掉所有的发自感染了木马的手机的邮件

六、事后提醒

  1. 重要数据如密码,账号等不要以短信的形式保存在手机里
  2. 不要点开短信中提到的网址和安装不明网站下载的软件
  3. 通讯录中最好以全名的形式保存联系方式,不要加上爸爸,妈妈等称谓
  4. 定期手机杀毒

原文发布于微信公众号 - 玄魂工作室(xuanhun521)

原文发表时间:2018-04-13

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏ThoughtWorks

Kubernetes救援 - 教你如何从新技术的坑里爬出来(下) | TW洞见

今日洞见 文章作者/配图来自ThoughtWorks:佟达。 本文所有内容,包括文字、图片和音视频资料,版权均属ThoughtWorks公司所有,任何媒体、网站...

3728
来自专栏网站漏洞修补

如何解决网站title被恶意反复篡改

国庆假日期间我们Sine安全接到众多网站站长求助网站标题被改导致在百度搜索中百度安全中心提醒被拦截,导致网站正常用户无法浏览网站被跳转到一些菠菜du博网站,而且...

6975
来自专栏FreeBuf

“白象”APT组织近期动态

“白象”又名“Patchwork”,“摩诃草”,疑似来自南亚某国,自2012年以来持续针对中国、巴基斯坦等国进行网络攻击,长期窃取目标国家的科研、军事资料。与其...

1894
来自专栏云瓣

关于 Node.js 的认证方面的教程(很可能)是有误的

原文地址:Your Node.js authentication tutorial is (probably) wrong 我搜索了大量关于 Node.js/E...

3279
来自专栏mini188

技术笔记:Indy IdSMTP支持腾讯QQ邮箱邮件发送

1、腾讯QQ邮箱的授权码问题 因为腾讯邮箱折腾了个底朝天,其要搞什么授权码登录第三方客户端,否则会报这个错误: 'Error: 请使用授权码登录。详情请看: ...

2178
来自专栏帘卷西风的专栏

关于cocos2dx手游lua文件加密的解决方案

      很多使用cocos2dx+lua做游戏的同学,都会想到一个问题,我的游戏一旦发布,怎样才能保证的我脚本代码不被破解,不泄露代码。虽然这和开源、共享的...

1292
来自专栏上善若水

Emacs001学用Emacs之入门:关于配置文件

编辑器是我们经常要打交道的工具,工欲善其事,必先利其器。每一个领域都有专用的好的工具,比如android开发用android sduio, 我先用emacs填...

3764
来自专栏owent

整理一波软件源镜像同步工具+DevOps工具

上个月,同学的公司,格奕,突然间跪了。这个月基本属于休息+四处溜达。同时空闲的时候也想整理下之前做得一些之前的做得一些小工具们。在不泄密的情况下开源出来吧(其实...

932
来自专栏安智客

Android 新特性之文件加密对TEE的要求

昨天聊到Android新版本对于指纹开发的要求,很多朋友问我,Android新版本对于TEE有哪些具体要求,我们知道android后续版本只会更加强化安全的...

4315
来自专栏逸鹏说道

探索ASP.NET MVC5系列之~~~3.视图篇(下)---包含常用表单和暴力解猜防御

其实任何资料里面的任何知识点都无所谓,都是不重要的,重要的是学习方法,自行摸索的过程(不妥之处欢迎指正) 汇总:http://www.cnblogs.com/d...

4255

扫码关注云+社区

领取腾讯云代金券