本测验IDA的使用
使用环境:IDA version 6.6.141224
open文件的时候 可能会出现
强行打开后 发现
这种情况 查看函数本身内容可以看到,但函数本身的命名已经无法阅读了
这种情况只有经过砸壳才能处理
open还会出现
这个时候表面IDA无法识别这样的二进制文件。
出现这种情况的原因 可能是因为之前的选择文件处 未能正确选择
如MD5是:2D987244AE37F66B4C54592853B5D2D6。这个文件无法识别 打开如下
发现里面都是资源文件 这个时候需要对其解压,找到其中的plist文件,plist文件里对有效的app文件有说明
如图
简单能判断MultiCall为它的执行文件,将这个文件拖入IDA,即能识别
有些只需要简单识别,和文件名保持一致的即可识别打开
如MD5为02EA5313EBFFACDA1700E4FE44BE97D7
下面开始正式分析一个样本 样本列表如下图
解压完层层tar文件
解压过程为:
1:将文件改为.deb后缀
2:终端 tar xvf .deb
这个时候有无插件的解压结果是分情况的,下面是无插件的解压结果
并无外挂插件,在外挂层面上这个样本没有恶意行为。
接下来主要分析私有API的使用。
plist文件如下
因目前暂无iphone,无法动态运行该样本,放入IDA中如下
app的入口函数为 TwangAppDelegate applicationDidFinishLaunching,其他几个都是里面的函数 c伪码为
这个函数里简单分析如下
1:获取本例的audiosession会话,调用AVAudioSessionCategoryPlayback:这个类别会静止其他应用的音频回放。可以使用AVAudioPlayer的prepareToPlay和play方法,在应用中播放声音。主UI界面会照常工作。这时,即使屏幕被锁定或者设备为静音模式,音频回放都会继续。
2:获取sharedApplication本例application句柄,将状态栏方向设置为3(暂不管3为什么方向) setStatusBarOrientation
3:初始化TwangViewController并将其添加在主windows上,并使主window可见。
好,接下来分析TwangViewController里面的东西
这个类里面粗略一看
-[TwangViewController shouldAutorotateToInterfaceOrientation:]:这个函数意思很简单 该界面是否自动化支持界面旋转
-[TwangViewController viewDidUnload]:这个函数也很简单,是指界面在消失,即类的实例在析构的时候,界面的指针要设置成nil避免成为野指针
-[TwangViewController dealloc]:这个函数同上
-[TwangViewController didReceiveMemoryWarning] :这个函数是指app使用内存超标的时候发出的警告
-[TwangViewController pickerView:widthForComponent:]
-[TwangViewController pickerView:rowHeightForComponent:]
-[TwangViewController pickerView:numberOfRowsInComponent:]
-[TwangViewController pickerView:didSelectRow:inComponent:]
-[TwangViewController pickerView:viewForRow:forComponent:reusingView:]
-[TwangViewController pickerFrameWithLandscapeSize:]
-[TwangViewController numberOfComponentsInPickerView:] 这几个函数是控件pickerView的datasource和delegate,简单的说就是提供pickerview的component间距有多宽,每一行高度是多少,有多少个component,每个component有多少个rows,点击了会怎样等等。
重点来看一下-[TwangViewController viewDidLoad] 这个函数 如下
分析如下:
1:初始化一个glView,并将其添加到view上(当然并不清楚glView是什么东西),对这个glView添加一个观察者对象,它的响应函数是flippedEvent,触发条件是 Flipped
2:又添加一个观察者对象,这次的观察动作是 UIApplicationWillResignActiveNotification,响应函数是regignactive。简单点说,就是程序从后台切换到前台被激活的时候,触发这个函数。
3:又添加一个观察者对象 这次的动作是UIApplicationDidBeacomeActiveNotification,响应函数是becameActive。
4:触发glView的startAnimation动作
分别来看这几个函数是干嘛的
flippedEvent:
点击这个事件,则方向转为1方向,并设置这一动画的时间和角度,获取glView,触发playSwivelSound函数
resignactive:
glView调用停止播放,停止动画的函数
becameActive:
glView调用开始播放,开始动画的函数
如果就这样按照顺序去分析 分析恶意代码的耗时时间太长了
在无插件的情况下 分析恶意代码从四个内容入手
1:funtion。IDA提供代码中使用funtion列表,从function列表从浏览可能的恶意API的使用,如果有,进入实现处进行分析。
2:imports。IDA提供导入头文件,导入的framework,浏览这个列表也能发现可疑行为。
3:strings。从代码文件中抽离strings进行浏览,发现可疑行为。
4:names。从代码文件中抽离names进行浏览,发现可疑行为。
本样本未能发现恶意代码···
但是在样本MD5 = 2B98489938AAFA0D4DEB281239B913F6中 import里发现了AddressBook的框架调用
这个时候需要定位到此处去查看addressBook是否有未经用户允许擅自查询通讯录的行为
定位代码处为
有三处
+[ABAddressHelper getPersonNote:] 为
分析如下:
+[ABAddressHelper getPersonURL:] 代码为
+[ABAddressHelper getServerURL] 处代码为
其中ABAddressBookCopyPeopleWithName这个函数并未在ABAddressBook的数据源里实现,而仅仅在取得用户同意的基础之上才能在数据源里实现这个函数,
在别处使用这个函数都将是不合法的。
所以此处使用了私有API,属于恶意代码。
网友评论