使用adb进行apk提取,判断的简单方法
apk分析:
查看AM配置文件(入口地址、權限、包名、注冊組件)
查看簽名
字符串搜索定位關鍵代碼
通過手機設置中about emulated device選項查看。方法二:通過adb工具執行命令“adb shell service call iphonesubinfo 1”獲取。確定IMEI號為“358240051111110”。
通過手機設置中about emulated device選項查看。MAC地址為“02:15:b2:00:00:00”。
通過adb工具執行命令“adb shell”、“su”,使用wireshark工具抓包,通過篩選語句“ip.addr == 78.23.12.34”監控木馬的網絡請求,捕獲到數據包的同一時間在adb shell中執行“netstat -antlp”查看網絡連接信息,找到與IP:78.23.12.34連接的對應包名為“com.lite.。
Q01.通過adb工具執行命令“adb shell dumpsys package com.lite.sysupdate”查看木馬包信息,確定其安裝時間。
Q02.通過adb工具執行命令“adb shell”、“su”、“pm path com.lite.”獲取木馬apk的路徑為:/data/app/ WCpDEVcjdRiQ==/base.apk,“exit”退出shell,執行“adb root”提權后再執行“adb pull /data/app/com.lite. ==/base.apk base.apk”提取特種木馬base.apk文件至當前目錄,使用MD5工具計算MD5值,結果為“”。
Q03.通過網絡搜索“手機短信數據存儲位置”,查詢獲得手機中包含短信記錄的數據庫文件路徑位置為:/data/data/com.android.providers.telephony/databases/mmssms.db,通過adb工具執行命令“adb pull /data/data/com.android.providers.telephony/databases/mmssms.db mmssms.db”提取mmssms.db短信數據庫文件至當前目錄,使用MD5工具計算MD5值,結果為“。
通過adb工具執行命令“adb shell”、“su”,已知瀏覽器包名為mark.via.gp,通過“cd /data/data/mark.via.gp”進入VIA瀏覽器數據存儲目錄,使用“ls”命令查看目錄結構,發現databases目錄,使用“cd”命令進入該目錄,使用“ls”查看,發現4個數據庫文件。退出shell,使用adb pull命令提取該4個文件,并使用Navicat工具分別打開查看驗證,最終確定/data/data/mark.via.gp/databases/via數據庫文件中包含瀏覽記錄。使用MD5工具計算MD5值,結果為“。
根據木馬植入時間,使用工具計算其時間戳,通過Navicta工具打開via數據庫文件,在“history”表中查詢臨近時間戳瀏覽記錄,發現“虹支付APP下載”,url為“”。
Q02.根據下載url,通過Navicta工具打開mmssms.db數據庫文件,在“sms”表中查詢,發現存在發送該鏈接的短信記錄,其發送手機號為“11”。
使用安卓反編譯工具打開兩個apk,通過逆向分析找到木馬處理數據使用的加解密算法,判斷這兩個apk數據處理方法是否相同,尋找加解密算法密鑰。2、通過查看apk簽名證書指紋信息,確認兩個apk是否同源。
所用工具:jadx,jeb
將兩個APK文件使用jadx工具打開,查看“APK signature”選項,可以看到簽名證書信息,確定其MD5指紋。
Q02.通過jadx和jeb工具對受控手機特種木馬進行逆向分析,查詢常用加密算法“AES”字符串定位到加密代碼部分,結合函數調用關系最終找出加密密鑰特征字符串“8cda61df21e4f”。
Q03.通過jadx和jeb工具對sign.apk進行逆向分析,查詢常用加密算法“AES”字符串定位到加密代碼部分,結合函數調用關系最終找出加密密鑰特征字符串“da
Q04.通過jadx和jeb工具對sign.apk進行逆向分析,根據已知回聯域名,提取特征“”進行字符串搜索,或者查找網絡接口函數,最終在“com.system.myapplication.”模塊定位到網絡連接代碼,獲得其回聯域名為“
做題方法:對木馬加密算法進行分析,研究發現其通過AES算法對原始數據進行加密,再進行base64編碼得出加密數據。根據算法分析結果,先對加密數據進行base64解碼,再使用AES算法對數據進行解密即可得出原始數據。
所用工具:jadx,jeb,密碼學工具
詳細解題步驟如下:
Q01.通過jadx或jeb等工具對提取的特種木馬進行逆向分析,發現其使用AES/CBC/PKCS5Padding算法進行加密,其代碼中提取密鑰特征字符串前16個字符作為最終加密的密鑰,并使用base64算法對加密結果進行編碼處理,根據該算法逆算法使用密碼學工具對“被竊數據.txt”文件進行解密,結果為“這
adb shell pm list packages -3 -f > apklist.txt
adb shell dumpsys> dump.log,2022-05-13 22:39:52
find /sdcard/ -name "*.apk
?
?
總結
以上是生活随笔為你收集整理的使用adb进行apk提取,判断的简单方法的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: C语言_文件篇(文件的打开,读取,写入,
- 下一篇: quartus 2操作