注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

熊猫正正的博客

熊猫正正的天空

 
 
 

日志

 
 

[Android病毒分析报告] - Chuli  

2013-08-04 17:48:26|  分类: Android开发与逆 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

 1、查看AndroidMainfest.xml文件

 \

 


             通过AndroidMainfest.xml文件可以看出,该样本共有启动方式如下:
                  (1)用户点击程序列表中该应用图标启动
                  (2)接收到屏幕开启、解锁、安装程序等系统广播后启动


        2、代码分析流程
             代码树结构如下:
                      

\
              经过对程序进入点的分析,恶意代码工作流程如下:
              1、用户点击该程序图标后,启动.turntest主Activity, .turntest启动PhoneService服务组件
                    ScreenReceiver接收到系统注册广报后,判断PhoneService是否启动,如果未启动,则启动PhoneService服务组件。

 \


                           
             2、PhoneService服务在oncreate方法中启动AlarmService服务组件,并在onstart方法中注册Timer定时间隔启动AlarmService服务组件。
             

 

\
           3、AlarmService完成了隐私窃取的主要工作。

                在AlarmService OnCreate方法中,读取用户设备及SIM卡联系人信息和设备通话记录,并通过com.google.system.receiver广播发送给sendReceiver组件, 注册位置监听器和新短信接收器alarmReceiver组件。              
      
     当位置发生变化时,位置监听器把位置信息通过com.google.system.receiver广播发送给sendReceiver组件。
        \
    当新短信到来是,alarmReceiver把新短信内容通过com.google.system.receiver广播发送给sendReceiver组件\


     在AlarmService onStart方法中,获取所有短信记录,并通过广播发送给sendReceiver组件。

 \

\
          3、sendReceiver组件负责把隐私信息通过http协议发送到服务器

 \

  评论这张
 
阅读(46)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017