12、恶意软件分析：从加密到功能剖析

恶意软件分析：从加密到功能剖析

1. 寻找有趣方法与字符串搜索

在分析恶意软件时，我们可以寻找一些有趣的方法，例如解密从命令与控制服务器接收通信的方法。在我们的样本中，除了良性的谷歌软件开发工具包（SDK）外，并没有明显使用 javax.crypto 中的任何应用程序编程接口（API），更多的是使用 java.util.Base64 ，包括在之前被判定为无害的混淆包 b.* 中。

当逆向工程师陷入困境时，他们可能会开始查看应用程序中使用的字符串和方法名，期望能发现有趣的线索。这种技术只需几分钟，却可能带来新的发现。例如，恶意软件开发者可能忘记移除敏感的日志字符串，或者搜索可能会揭示读取用户短信消息的API调用。

不过，如果没有精心规划，搜索字符串和方法名可能会浪费时间，因为这更多依赖运气而非专业知识。为了使搜索更有条理，可以开发一个正则表达式，返回所有能想到的有趣字符串和方法名，这可能包括短信或联系人列表API的名称，以及匹配URL或有趣内容提供者的字符串。正则表达式不一定要完美才有用，可以随着发现更多有趣的API和字符串模式逐步完善。在我们的样本中，搜索可疑字符串和API名称在之前识别的恶意包 d.* 中返回了一个URL。

2. 恶意软件的第一阶段

在分析过程中，我们多次遇到可疑包 d.* ，现在是时候对其进行分析了。这个包很简单，只有两个类 d.a 和 d.b 。有趣的是，应用程序似乎根本没有使用 d.a ，