1、Android顽固木马常见手法与清理,zmworm,01,Android如何卸载应用?,Android卸载模块,init.rcservice installd /systme/bin/installd class main socket installd stream 600 systme system,installd,PackageManagerService,PackageInstaller.apkgetPackageManager().deletePackag,socket,02,Fobus,Fobus演示动画,强制注册设备管理器,注册设备管理器,接收取消设备管理器成功消息,不断弹出激
2、活管理器代码,强制注册设备管理器,监听广播,接收取消设备管理器成功消息,不断弹出激活管理器代码,阻止取消激活设备管理器,监听广播,不断Home或调用其他界面,锁屏,接收点击取消激活设备管理器消息,Fobus清除方法,Fobus清除方法,Fobus清除方法,取消系统锁屏服务,禁止锁屏,Fobus清除方法,若取消激活界面不在前台,则将此界面移到前台,Fobus清除方法,若前台界面为激活窗口,则弹出卸载界面卸载Fobus,Fobus演示动画二,阻止取消激活设备管理器,调用一个全屏的悬浮窗、并屏蔽所有按键消息,Fobus清除方法,停掉Fobus导出的服务,并杀死后台进程,03,Kaka & BankR
3、obber,Kaka演示动画,漏洞说明,DeviceAdminSettings.java,与Obad利用漏洞相同影响4.2及以下系统,KaKa行为识别,BankRobber演示动画,BankRobber行为识别,启动服务监听logcat,当进入特殊界面后返回桌面,04,Simplelocker,SimpleLocker演示动画,阻止用户卸载,每隔2秒弹出全屏窗口阻止用户操作,AES加密文档,加密以下格式文档(不用专杀怎么解密,价格多少),SimpleLocker的清除,循环判断,若前台界面为SimpleLocker界面,则调用卸载界面,SimpleLocker的清除,扫描被加密的文件(.enc后缀),SimpleLocker的清除,解密SD卡上的加密文件,05,小结,顽固木马小结,非ROOT的顽固木马主要围绕以下几点:设备管理器logcat弹窗数据,顽固木马的自动化识别,模拟卸载监控设备管理器添加行为将APP切换后台时,监控弹窗行为,顽固木马与安全软件对抗态势,APK,SELinux,安全软件,?,Android系统解决建议,设备管理器页面打开时,不响应锁屏事件SD卡中分配特定目录,只能自身应用才能读取给安全软件一定特权比如可以通过接口关闭设备管理器中的应用,Thank you!,
