Android逆向之分析某锁机恶意软件

最近贴吧里冒出了一批以免流为名的锁机软件，吧友深受其害，连夜反编译分析了一个。

首先反编译APK，找到程序入口一般是onCreate；找到发现很简单，点击按钮执行d方法；

找到d方法发现也很简单，就是把ijm-x86.so复制到SD卡下；

很明显如果ljm-x86.so确实是so文件的话是不符合逻辑的，因为这样锁机软件只能运行在X86平台下。思考了一下全局搜搜索了zhihao.l

不出所料,果然就是apk而已，复制到system/app下相当于成了系统应用。接着好办了，反编译imj-x86.apk(改名)。

最后发现输对了密码卵用也没

锁机原理也很简单，就是在屏幕上面盖一个视图而已，就是那种悬浮窗，不过是全屏那种。杀掉这个service就破了 删掉system/app/zhihao.apk搞定