Hacker基础之工具篇 apktool
apktool
apktool是一个用于第三方封闭的二进制Android应用程序逆向工程工具
它可以将资源解码为几乎原始的形式,并在进行一些修改后重建它们;
它可以逐步调试小代码, 由于类似项目的文件结构和一些重复性任务的自动化,比如构建apk等,它还使得逆向工作变得更容易
下面是apktool的项目地址
Source: https://code.google.com/p/android-apktool/
apktool参数
详细的apktool参数在这里,也可以在kali中用apktool命令来显示
https://tools.kali.org/reverse-engineering/apktool
apktool的参数很多,所以这里就不一一列出来了,因为这样列出了排版出来不好看,我们就说几个常用的
Usage: apktool [-q OR -v] COMMAND [...]
COMMAND可以使用的是:
d[ecode] [OPTS] <file.apk> [<dir>]
首先是d参数,意思是decode,这个也是最重要的参数,用于解压.apk文件的
root@kali:~# apktool d /root/test.apk
这样就可以把这个apk解压相同目录下相同名字的一个目录中了
[OPTS]的参数可以在apktool的参数说明查到,这里就不详细说了
file.apk就是我们要逆向的文件
[<dir>]代表了我们想把解压的结果保存到那个目录中,如果没有提供,默认保存在相同目录下
下面我们通过一个例子来讲解apktool这个命令对我们分析apk木马有什么帮助
PS:这篇文章是初音两年前写的,图片找不到原图了,所以会有个我以前的公众号的水印
一、起因
事情的起因是这样的
一个同事收到了一条群发的短信,短信如下
然后作为搞安全的听说于是就要查一查这个东西是什么
网络诈骗的都搞到我们头上了
然后就开动了
二、前期分析
一开始拿到这个网址的时候,我的思路第一想到的肯定是先上御剑扫一扫
御剑扫了半分钟,一点输出都没有,感觉有点不对,然后切换到虚拟机中,用zenmap扫端口看看
果不其然,这个网站除了给你提供下载的端口之外,什么端口都没有开放
然后查whois,查域名,发现了他域名的注册邮箱
是个叫王小成的家伙,服务器中间件是iis/6.0的
还找到了他的注册邮箱
但是这都没有用
三、逆向工程
既然从网址这一块没什么突破,那我们就下载他的apk做逆向分析看看
我们下载下来的东西,就是下图显示的这个
然后直接拖到Kali,用Kali工具中的apktool解压这个apk
直接在terminal中执行
apktool d lx.apk
然后就在本地目录下生产了一个叫lx的目录
然后,里面都是apktool分析的结果
解压完毕之后然后开始了分析阶段
简单的说就是:
一个一个文件的分析,一个目录一个目录的找(不服你咬我啊~)
在其中的文件中,我们发现了SMSReceiver,说明这个apk可以发送和接收短信
然后我们继续找,在另一个目录下,发现这个,还是比较重要的东西
我们看见了smtp,说明在木马中,可以用mail函数中的smtp协议进行邮件的发送(不懂smtp的好好看看TCP/IP)
那既然可以发送邮件,说明在木马中肯定会存在邮箱地址的密码
我们继续找
最后在/lx/smail/com/phone/stop/db目录下的a.smail的文件里面,发现他的上传数据的邮箱和密码
最后结论就是他是一个通过smtp(简单邮件传输协议),获取本机的通讯录和短信后,上传邮箱的木马
三、收割邮箱
我们顺藤摸瓜,登陆这个邮箱
里面全是中了木马的手机发送的手机通讯录
我们随便打开一个
有通讯录电话的
有短信的消息的
通过这个木马,黑客还可以读取你的短信,轻松的看到你的敏感信息
而且这个木马的感染了一个手机之后,可以通过这个手机,发送短信给通讯录的好友
通过<朋友圈>的形式传播和感染,下图中的信息就是同学录发给本机的短信
五、清理痕迹
登陆上黑客用于接受信息邮箱后,由于改邮箱密码需要黑客的手机号来接收验证码,没办法
为了终止这个病毒的扩张,我们通过设置邮箱白名单的策略
将白名单中添加一个不存在的邮箱(回头是岸@好好做人)过滤掉所有的发自感染了木马的手机的邮件
六、事后提醒
- 重要数据如密码,账号等不要以短信的形式保存在手机里
- 不要点开短信中提到的网址和安装不明网站下载的软件
- 通讯录中最好以全名的形式保存联系方式,不要加上爸爸,妈妈等称谓
- 定期手机杀毒