我的问题是处理一种恶意软件.apk文件。 .apk被打包到一个名为虚拟应用程序的插件框架中。因此,当您运行.apk时,它将首先在其资产中解压缩另一个加密的.apk文件。它使用AES来解密,但密钥生成是混淆的。为了方便起见,我想在PC模拟器上运行它并尝试查找其解压缩的.apk文件,有没有办法做到这一点?
解密资产内部文件的代码是:
localObject2 = paramActivity.getFilesDir().getAbsolutePath();
assertsToSd((String)localObject2, paramActivity);
localObject3 = (String)localObject2 + File.separator + aname;
localObject1 = localObject3;
String str1 = (String)localObject2 + File.separator + 0 + aname;
localObject2 = (String)localObject2 + File.separator + (0 + 1) + aname;
String str2 = create(paramActivity).substring(0, 16);
if (i == 0)
{
Catalog.decFile((String)localObject3, str1, str2);
new File((String)localObject3).delete();
Tools.downloadFile(new File(str1), new File((String)localObject2));
new File(str1).delete();
}
解密文件功能:
public static boolean decFile(String sourceFile, String destFile, String speed) {
File s = new File(sourceFile);
File d = new File(destFile);
if (!s.exists()) {
return false;
}
if (d.exists()) {
d.delete();
}
try {
d.createNewFile();
return c.decrypt(speed, s, d);
} catch (Exception ex) {
ex.printStackTrace();
return false;
}
}
在像apk这样的另一个容器中运行apk的目的是它的实际代码可以被加密并跳过被反病毒软件检测到,而且它可以远程安装任何其他apk而无需用户通知。
答案 0 :(得分:0)
最后我通过安装android x86虚拟机解决了这个问题,并在其中运行app。然后我在Linux中挂载vmdk文件并复制提取的.apk文件。
顺便说一句,原始的.apk通过AES解密其资产.apk文件,生成密钥时使用前16个字节的包签名,并使用自定义的md5生成AES密钥,并在解密后运行它在virtualapp框架内。
此外,如果您多次从网站下载.apk,它将为您提供具有不同签名的不同.apk文件。这绕过了病毒扫描。