特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 病毒知識(shí) > install-recovery.sh流氓插件腳本

install-recovery.sh流氓插件腳本

時(shí)間: 權(quán)威724 分享

install-recovery.sh流氓插件腳本

  你們聽(tīng)過(guò)install-recovery.sh流氓插件腳本嗎?近期,AVL移動(dòng)安全團(tuán)隊(duì)截獲一款會(huì)篡改手機(jī)啟動(dòng)腳本的流氓插件,該插件一旦被加載運(yùn)行,首先嘗試請(qǐng)求超級(jí)用戶(hù)權(quán)限,進(jìn)而惡意篡改手機(jī)啟動(dòng)腳本,釋放特定重打包應(yīng)用(應(yīng)用商店類(lèi))到系統(tǒng)應(yīng)用目錄。下面是學(xué)習(xí)啦小編整理的一些關(guān)于install-recovery.sh流氓插件腳本的相關(guān)資料,供你參考。

  install-recovery.sh流氓插件腳本:

  install-recovery.sh流氓插件一、行為及危害

  該插件依靠應(yīng)用主體運(yùn)行,被加載啟動(dòng)后會(huì)嘗試請(qǐng)求超級(jí)用戶(hù)權(quán)限

  篡改手機(jī)啟動(dòng)腳本,釋放特定重打包的應(yīng)用商店類(lèi)應(yīng)用到系統(tǒng)應(yīng)用目錄下

  后臺(tái)上傳設(shè)備Rom自帶的應(yīng)用相關(guān)信息到遠(yuǎn)程服務(wù)器

  install-recovery.sh流氓插件二、插件結(jié)構(gòu)

  該插件安裝后無(wú)圖標(biāo),并偽裝成“skype”在后臺(tái)加載運(yùn)行。如圖1所示:

  圖1 插件運(yùn)行情況

  插件的包結(jié)構(gòu)相對(duì)簡(jiǎn)單,assets目錄下包含很多ELF可執(zhí)行文件和經(jīng)過(guò)加密的資源文件。如圖2所示:

  圖2 插件包結(jié)構(gòu)

  install-recovery.sh流氓插件三、詳細(xì)分析

  1、插件被加載運(yùn)行后,嘗試申請(qǐng)超級(jí)用戶(hù)權(quán)限

  該插件常見(jiàn)為依賴(lài)主體應(yīng)用直接進(jìn)入用戶(hù)設(shè)備中,也出現(xiàn)過(guò)通過(guò)某應(yīng)用彈出的插件下載提示,由用戶(hù)自行下載該插件。插件一旦進(jìn)入用戶(hù)設(shè)備中,將依靠主體應(yīng)用加載運(yùn)行,首先會(huì)申請(qǐng)超級(jí)用戶(hù)權(quán)限。

  2、篡改腳本并釋放應(yīng)用到系統(tǒng)應(yīng)用目錄

  當(dāng)插件獲取超級(jí)用戶(hù)權(quán)限后,后臺(tái)服務(wù)QService啟動(dòng),并在/data/data/com.q.t/目錄下生成.f的隱藏目錄,將資源文件a,b,c,da,db,dc,dd,de讀取后存放在該隱藏目錄下,并解密文件43bin和ntf,在.f隱藏目錄下生成insqn的腳本。

  創(chuàng)建腳本:

  生成的腳本如下圖所示:

  腳本被執(zhí)行后,將隱藏目錄當(dāng)中的文件替換系統(tǒng)的配置文件,包括apn,install-recovery.sh。

  除此之外,程序運(yùn)行時(shí),還會(huì)后臺(tái)監(jiān)控腳本是否執(zhí)行成功,并將相關(guān)的狀態(tài)信息上傳到遠(yuǎn)程服務(wù)器。一旦執(zhí)行成功,便立即刪除插件程序以及插件程序?qū)?yīng)的數(shù)據(jù)目錄文件。

  資源文件釋放位置對(duì)應(yīng)關(guān)系表:

  替換系統(tǒng)啟動(dòng)腳本后,手機(jī)會(huì)在啟動(dòng)后傳入“—auto-daemon”參數(shù)以守護(hù)進(jìn)程形式運(yùn)行update模塊,載入正常的啟動(dòng)腳本。而后在系統(tǒng)目錄中安裝一款名為“應(yīng)用商店”的應(yīng)用。

  經(jīng)過(guò)分析發(fā)現(xiàn),“應(yīng)用商店”重打包了一款知名的市場(chǎng)類(lèi)應(yīng)用,如下圖所示,與官方版本相比,重打包后的應(yīng)用在原官方應(yīng)用基礎(chǔ)上增加了com.ally和com.fun這樣的包結(jié)構(gòu)。

  在程序清單文件當(dāng)中也發(fā)現(xiàn)重打包應(yīng)用當(dāng)中增加了相應(yīng)的Receiver和Service。

  3、后臺(tái)上傳用戶(hù)手機(jī)Rom相關(guān)信息到遠(yuǎn)程服務(wù)器

  在重打包應(yīng)用增加的com.ally包結(jié)構(gòu)當(dāng)中,其通過(guò)調(diào)用native層方法來(lái)獲取用戶(hù)設(shè)備和Rom內(nèi)置應(yīng)用相關(guān)信息。

  通過(guò)該方法獲取的用戶(hù)信息包含以下兩類(lèi):

  1)設(shè)備相關(guān)信息

  包含用戶(hù)手機(jī)IMEI,IMSI,手機(jī)品牌,型號(hào),SDK版本,當(dāng)前應(yīng)用程序包名,wifi mac地址,網(wǎng)絡(luò)聯(lián)網(wǎng)狀態(tài)。

  2)用戶(hù)安裝的應(yīng)用信息

  主要是用戶(hù)安裝的應(yīng)用信息、Rom自帶的應(yīng)用信息,含/system/framwork以及/system/app目錄下的應(yīng)用。

  獲取用戶(hù)應(yīng)用信息后,通過(guò)回調(diào)接口將獲取的用戶(hù)隱私信息上傳到遠(yuǎn)程服務(wù)器。

  通過(guò)分析,發(fā)現(xiàn)如下遠(yuǎn)程服務(wù)器:

  xxpl.mehadoop.com

  103.17.42.195

  flashapi.5dong.com.cn

  通過(guò)對(duì)域名反查發(fā)現(xiàn),這些域名都是通過(guò)阿里云注冊(cè)的,部分域名是由國(guó)內(nèi)做rom推廣的廠(chǎng)商所擁有,而部分已失效。

  看過(guò)文章“install-recovery.sh流氓插件腳本”的人還看了:

  1.如何遠(yuǎn)離惡意網(wǎng)站

  2.教你的電腦運(yùn)行如飛的小技巧

  3.Win8給IE添加Flash插件的方法

  4.內(nèi)存不能為read或written的解決方法

  5.清除流氓軟件的詳細(xì)步驟

  6.開(kāi)機(jī)反應(yīng)慢是什么原因

  7.教你如何修復(fù)瀏覽器

  8.如何讓網(wǎng)絡(luò)穩(wěn)定

  9.QQ空間打不開(kāi)怎么辦 為什么打不開(kāi)

  10.內(nèi)存不能為read修復(fù)工具

556968