從0開始做Android惡意程式分析
分析惡意程式基本要素
- Permission
- Http Requests(POST GET)
- Static Program Analysis()
環境準備
- 惡意程式樣本
- 裝置
- 封包擷取
- 逆向分析
APK架構
assets:png, 主程式載入檔
lib:用ntk寫的東西
META-INF: 簽名檔
res:icon
(smack技術)遠端遙控木法分析
smack底層是xmpp
安裝過程中會取得哪些權限
逆向會放到apk studio
隱藏icon讓使用者感受不到
攔截封包
Android Http
- HttpURLConnection
- HiipClient
- HttpProtocolParams
- OKHttp
- Volley
- AsyncHttpClient
從套件屬性了解
SO(Share object, 共享庫)
- 二進制
- 動態連結褲(類似windows, dll檔)
惡意程式分析方向
- 混淆以外的技巧
- ex:加殼要如何解殼去分析
- 分析封包內容
- ex:加密要如何擠開去看裡面的封包