仿冒GG修改器的Android锁机软件

今天有看到一款锁机软件，简单看了下，和之前分析的差不太多。

样本分析

通过对比，可以轻易发现除了正常的catch_.me1.if_.you_.can_应用外，额外安装一个包名为“com.tyh.app”的应用。

通过adb命令，可以看到往系统目录植入了一个Android.apk的应用。

bogon:~ johnhao$ adb shell pm path com.tyh.app
package:/system/priv-app/Android.apk

简单看一apk信息，还伪装成了SIM卡应用。

名字太长了，用脚本或者人工处理一下。

处理之后即可食用了，代码逻辑清晰、简单。

代码分析

接下来是分析过程，该锁机一共有4层，第一层和第四层解法一样，第二层和第三层解法一样。

第一层:
中奖号码:946805632145 +（三位的随机整数）

第二层:
中奖号码:86523587580 +（三位的随机整数）

第三层:
中奖号码:36850664453 +（三位的随机整数）

第四层:
中奖号码:5866525853 +（三位的随机整数）

解法主要是利用每层的随机3位整数进行“计算”

第一层和第四层解法

直接了当的调用了一个字符的转换类，将随机的整数转换为字符转。

例如随机值是819，那么解锁密码就是CZGJN

第二层和第三层解法

作者给了一个固定的md5值，反推出来能得到数字 -> 944。
所以第二和第三层解锁密码是：944 + 随机整数的md5值的去字母的数字串

例如：随机数是672
那么随机整数的md5值的去字母的数字串 = 261456400115421334
解锁密码 = 944261456400115421334

删除软件

通过adb命令，直接移除该锁机软件即可。同时删除原仿冒软件，重启即可。

$ adb shell rm /system/priv-app/Android.apk