Androidmanifest文件加固和对抗

这篇具有很好参考价值的文章主要介绍了Androidmanifest文件加固和对抗。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

恶意软件为了不让我们很容易反编译一个apk,会对androidmanifest文件进行魔改加固,本文探索androidmanifest加固的常见手法以及对抗方法。这里提供一个恶意样本的androidmanifest.xml文件,我们学完之后可以动手实践。

1、Androidmanifest文件组成

这里贴一张经典图,主要描述了androidmanifest的组成

androidmanifest文件头部仅仅占了8个字节,紧跟其后的是StringPoolType字符串常量池

(为了方便我们观察分析,可以先安装一下010editor的模板,详细见2、010editor模板)

Magic Number

这个值作为头部,是经常会被魔改的,需要重点关注

StylesStart

该值一般为0,也是经常会发现魔改

StringPool

寻找一个字符串,如何计算?

1、获得字符串存放开放位置:0xac(172),此时的0xac是不带开头的8个字节

所以需要我们加上8,最终字符串在文件中的开始位置是:0xb4

2、获取第一个字符串的偏移,可以看到,偏移为0

3、计算字符串最终存储的地方: 0xb4 = 0xb4 + 0

读取字符串,以字节00结束

读取到的字符为:theme

【----帮助网安学习,以下所有学习资料免费领!加vx:dctintin,备注 “博客园” 获取!】

 ① 网安学习成长路径思维导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)

总结:

stringpool是紧跟在文件头后面的一块区域,用于存储文件所有用到的字符串

这个地方呢,也是经常发生魔改加固的,比如:将StringCount修改为0xFFFFFF无穷大

在经过我们的手动计算和分析后,我们对该区域有了更深的了解。

2、010editor模板

使用010editor工具打开,安装模板库

搜索:androidmanifest.bt

安装完成且运行之后:

会发现完整的结构,帮助我们分析

3、使用AXMLPrinter2进行的排错和修复

用法十分简单:

java -jar AXMLPrinter2.jar AndroidManifest_origin.xml

会有一系列的报错,但是不要慌张,根据这些报错来对原androidmanifest.xml进行修复

​​

意思是:出乎意料的0x80003(正常读取的数据),此时却读取到:0x80000

按照小端序,正常的数据应该是: 03 00 08

使用 010editor 打开

将其修复

保存,再次尝试运行AXMLPrinter2

好家伙还有错误,这个-71304363,不方便我们分析,将其转换为python的hex数据

NegativeArraySizeException 表示在创建数组的时候,数组的大小出现了负数。

androidmanifest加固后文件与正常的androidmanifest文件对比之后就可以发现魔改的地方。

将其修改回去

运行仍然报错,是个新错误:

再次去分析:

stringoffsets如此离谱,并且数组的大小变为了0xff

根据报错的信息,尝试把FF修改为24

再次运行

成功拿到反编译后的androidmanifest.xml文件

总结:

这个例子有三个魔改点经常出现在androidmanifest.xml加固

恶意软件通过修改这些魔改点来对抗反编译

更多网安技能的在线实操练习,请点击这里>>

  文章来源地址https://www.toymoban.com/news/detail-790792.html

到了这里,关于Androidmanifest文件加固和对抗的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • [系统安全] 五十四.恶意软件分析 (6)PE文件解析及利用Python获取样本时间戳

    您可能之前看到过我写的类似文章,为什么还要重复撰写呢?只是想更好地帮助初学者了解病毒逆向分析和系统安全,更加成体系且不破坏之前的系列。因此,我重新开设了这个专栏,准备系统整理和深入学习系统安全、逆向分析和恶意代码检测,“系统安全”系列文章会更

    2024年01月19日
    浏览(61)
  • AndroidManifest文件详解

    AndroidManifest 官方解释是应用清单(Manifest意思是货单),每个应用的根目录中都必须包含一个,并且文件名必须为AndroidManifest。这个文件中包含了APP的配置信息,系统需要根据里面的内容运行APP的代码,显示界面。 Android四大组件都需要声明才能使用,每个组件都需要在 And

    2024年02月07日
    浏览(29)
  • 恶意软件Emotet卷土重来滥用.LNK文件进行攻击,你只需要一项技术就能有效保护组织

    Emotet 被认为是目前最 普遍 、最具破坏性和修复成本最高的恶意软件 (1) 。 它主要通过包含恶意连结或受感染文 件 的网络钓鱼电子邮件进行传播。 一旦受害者下载文件或点击连接, 附加 的恶意软件就会自动下载到他们的设备上,然后在企业的网络中 不断地复制、扩散 。

    2024年02月10日
    浏览(41)
  • 软件测试---前言篇

    上面这是官话 . 在我们日常生活中 , 就有许多测试的行为 , 比如地铁站的金属检测仪 , 用于检测旅客是否携带了违禁物品 ; 再比如测谎仪 , 通过记录人在情绪变化时的各种生理变化 , 判断是否说谎了 , 等等 . 企业研发出一个产品 , 能直接上线给用户或者进行销售吗 ? 显然这不

    2024年02月11日
    浏览(37)
  • LMD-恶意软件检测工具

    LMD是Linux恶意软件扫描器,以GNU GLPv2许可发布。 官方地址:https://www.rfxn.com 下载软件包命令: wget https://www.rfxn.com/downloads/maldetect-current.tar.gz tar命令解包后进入其目录。 安装命令如下: ./install.sh 扫描命令如下: maldet --scan-all  /etc

    2024年02月10日
    浏览(47)
  • 7种常见的恶意软件类型

    在当今的数字时代,恶意软件攻击威胁持续增加。企业和消费者很难定期保护自己免受这些安全威胁。虽然恶意软件这个术语通常用于描述可以渗透和破坏计算机系统的各种恶意软件程序,但有许多类型可以对系统造成更大的破坏。 恶意软件可以在未经授权的情况下访问系统

    2024年02月03日
    浏览(60)
  • 【网安播报】GitHub上的恶意Visual Studio 项目推送 Keyzetsu 恶意软件

    1、GitHub 上的恶意 Visual Studio 项目推送 Keyzetsu 恶意软件 威胁行为者正在滥用 GitHub 自动化功能和恶意 Visual Studio 项目来推送“Keyzetsu”恶意软件的新变种并窃取加密货币付款。攻击者创建了GitHub 存储库,并使用各种方法来人为地提高其在平台上的受欢迎程度和知名度,从而在

    2024年04月13日
    浏览(41)
  • 新恶意软件使用 MSIX 软件包来感染 Windows

    人们发现,一种新的网络攻击活动正在使用 MSIX(一种 Windows 应用程序打包格式)来感染 Windows PC,并通过将隐秘的恶意软件加载程序放入受害者的 PC 中来逃避检测。 Elastic Security Labs 的研究人员发现,开发人员通常使用 MSIX 来打包、分发和安装其应用程序给 Windows 用户,并且

    2024年02月07日
    浏览(58)
  • 【安全与风险】恶意软件:概念、攻击和检测

    Malware一词是恶意软件的缩写。 恶意软件是任何以破坏设备、窃取数据为目的编写的软件,通常会造成混乱。 恶意软件通常是由黑客团队创建的: 通常,他们只是想赚钱,要么自己传播恶意软件,要么把它卖给暗网上出价最高的人。 然而,创建恶意软件也可能有其他原因——

    2024年02月16日
    浏览(42)
  • 网络防御 --- 恶意软件与反病毒详解

    恶意软件是指故意设计造成损害到计算机、服务器、客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误)。恶意软件存在各种各样的类型,包括计算机病毒、蠕虫、特洛伊木马、勒索、间谍软件、广告软件、流氓软件和恐吓软件

    2024年01月25日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包