Hacker基础之工具篇 apktool


apktool


Hacker基础之工具篇 apktool


apktool是一个用于第三方封闭的二进制Android应用程序逆向工程工具


它可以将资源解码为几乎原始的形式,并在进行一些修改后重建它们;


它可以逐步调试小代码, 由于类似项目的文件结构和一些重复性任务的自动化,比如构建apk等,它还使得逆向工作变得更容易


下面是apktool的项目地址


Source: https://code.google.com/p/android-apktool/

Hacker基础之工具篇 apktool
Hacker基础之工具篇 apktool


Hacker基础之工具篇 apktool
apktool参数


详细的apktool参数在这里,也可以在kali中用apktool命令来显示


https://tools.kali.org/reverse-engineering/apktool

Hacker基础之工具篇 apktool

apktool的参数很多,所以这里就不一一列出来了,因为这样列出了排版出来不好看,我们就说几个常用的


Hacker基础之工具篇 apktool

Usage: apktool [-q OR -v] COMMAND […]


COMMAND可以使用的是:

d[ecode] [OPTS] <file.apk> [<dir>]

Hacker基础之工具篇 apktool


首先是d参数,意思是decode,这个也是最重要的参数,用于解压.apk文件的

root@kali:~# apktool d /root/test.apk 


这样就可以把这个apk解压相同目录下相同名字的一个目录中了


[OPTS]的参数可以在apktool的参数说明查到,这里就不详细说了


file.apk就是我们要逆向的文件


[<dir>]代表了我们想把解压的结果保存到那个目录中,如果没有提供,默认保存在相同目录下


下面我们通过一个例子来讲解apktool这个命令对我们分析apk木马有什么帮助


PS:这篇文章是初音两年前写的,图片找不到原图了,所以会有个我以前的公众号的水印

Hacker基础之工具篇 apktool
Hacker基础之工具篇 apktool


一、起因


事情的起因是这样的

一个同事收到了一条群发的短信,短信如下


Hacker基础之工具篇 apktool


然后作为搞安全的听说于是就要查一查这个东西是什么

网络诈骗的都搞到我们头上了


然后就开动了


Hacker基础之工具篇 apktool


二、前期分析

一开始拿到这个网址的时候,我的思路第一想到的肯定是先上御剑扫一扫


御剑扫了半分钟,一点输出都没有,感觉有点不对,然后切换到虚拟机中,用zenmap扫端口看看


果不其然,这个网站除了给你提供下载的端口之外,什么端口都没有开放


然后查whois,查域名,发现了他域名的注册邮箱


Hacker基础之工具篇 apktool


是个叫王小成的家伙,服务器中间件是iis/6.0


还找到了他的注册邮箱


但是这都没有用


Hacker基础之工具篇 apktool


三、逆向工程


既然从网址这一块没什么突破,那我们就下载他的apk做逆向分析看看


我们下载下来的东西,就是下图显示的这个


Hacker基础之工具篇 apktool


然后直接拖到Kali,用Kali工具中的apktool解压这个apk


直接在terminal中执行


apktool d lx.apk


然后就在本地目录下生产了一个叫lx的目录


然后,里面都是apktool分析的结果


Hacker基础之工具篇 apktool


Hacker基础之工具篇 apktool


解压完毕之后然后开始了分析阶段


简单的说就是:


一个一个文件的分析,一个目录一个目录的找(不服你咬我啊~


在其中的文件中,我们发现了SMSReceiver说明这个apk可以发送和接收短信


然后我们继续找,在另一个目录下,发现这个,还是比较重要的东西


Hacker基础之工具篇 apktool


我们看见了smtp,说明在木马中,可以用mail函数中的smtp协议进行邮件的发送(不懂smtp的好好看看TCP/IP


那既然可以发送邮件,说明在木马中肯定会存在邮箱地址的密码

我们继续找


最后在/lx/smail/com/phone/stop/db目录下的a.smail的文件里面,发现他的上传数据的邮箱和密码


最后结论就是他是一个通过smtp(简单邮件传输协议),获取本机的通讯录和短信后,上传邮箱的木马


Hacker基础之工具篇 apktool


Hacker基础之工具篇 apktool


三、收割邮箱

我们顺藤摸瓜,登陆这个邮箱


Hacker基础之工具篇 apktool


里面全是中了木马的手机发送的手机通讯录


我们随便打开一个


有通讯录电话的


Hacker基础之工具篇 apktool


有短信的消息的


Hacker基础之工具篇 apktool


通过这个木马,黑客还可以读取你的短信,轻松的看到你的敏感信息


Hacker基础之工具篇 apktool


而且这个木马的感染了一个手机之后,可以通过这个手机,发送短信给通讯录的好友


通过<朋友圈>的形式传播和感染,下图中的信息就是同学录发给本机的短信


Hacker基础之工具篇 apktool


Hacker基础之工具篇 apktool



五、清理痕迹

登陆上黑客用于接受信息邮箱后,由于改邮箱密码需要黑客的手机号来接收验证码,没办法


为了终止这个病毒的扩张,我们通过设置邮箱白名单的策略


将白名单中添加一个不存在的邮箱(回头是岸@好好做人)过滤掉所有的发自感染了木马的手机的邮件


Hacker基础之工具篇 apktool

Hacker基础之工具篇 apktool



六、事后提醒


  1. 重要数据如密码,账号等不要以短信的形式保存在手机里

  2. 不要点开短信中提到的网址和安装不明网站下载的软件

  3. 通讯录中最好以全名的形式保存联系方式,不要加上爸爸,妈妈等称谓

  4. 定期手机杀毒


Hacker基础之工具篇 apktool


本文完


Hacker基础之工具篇 apktool


Hacker基础之工具篇 apktool

Hacker基础之工具篇 apktool

Hacker基础之工具篇 apktool

Hacker基础之工具篇 apktool
Hacker基础之工具篇 apktool

发表评论

电子邮件地址不会被公开。 必填项已用*标注