Android 恶意软件逆向分析与 Frida 动态分析技术指南<\/h1>

一、背景与目标<\/h2>
本教学文档基于奇安信攻防社区的一次实战分析案例，详细讲解如何对采用 DPT-Shell 保护的 Android 恶意软件进行逆向分析、脱壳、恶意行为解析以及使用 Frida 进行动态分析和绕过检测。通过本指南，您将掌握针对复杂恶意软件的分析方法。<\/p>

二、逆向分析阶段<\/h2>

2.1 初步分析与问题识别<\/h3>

现象<\/strong>：JADX 反编译后显示的包名与运行时的进程包名不一致。<\/li>

原因<\/strong>：应用使用了 DPT-Shell<\/strong> 进行加壳保护。<\/li> <\/ul>
2.2 DPT-Shell 加壳原理分析<\/h3>
DPT-Shell 是一种开源的 Android 应用保护工具，其工作原理如下：<\/p>

壳 Dex 与原始 Dex 拼接<\/strong>：将壳 dex 文件与原始应用的 dex\/资源压缩包拼接，生成新的 classes.dex<\/code>。<\/li>
原始数据存储<\/strong>：原始数据以 ZIP 格式附加在壳 dex 之后，并在文件末尾用 4 字节记录原始数据长度。<\/li>
运行时加载<\/strong>：安装后先运行壳逻辑，在运行时解密并加载真实的应用代码。<\/li> <\/ol> 2.3 脱壳操作<\/h3> 定位资源文件<\/strong>：分析发现代码中调用： ZipUtils.<\/span>compress<\/span>(<\/span>getDexFiles(<\/span>apkDir),<\/span> getOutAssetsDir(<\/span>apkDir).<\/span>getAbsolutePath<\/span>()<\/span> +<\/span> File.<\/span>separator<\/span> +<\/span> "i111111.zip"<\/span>);<\/span> <\/span><\/span><\/code><\/pre><\/li> 获取真实 Dex<\/strong>：在 android\/code_cache<\/code> 目录中找到 i111111.zip<\/code>。<\/li> 解压后得到真实的 dex 文件，可用于后续分析。<\/li> <\/ul> <\/li> <\/ol> 三、恶意功能分析<\/h2> 3.1 远程控制与信息窃取模块<\/h3> BroadcastReceiver<\/strong>：暴露大量自定义广播指令，包括：应用管理（安装、卸载、获取列表）<\/li> 界面控制（弹窗、日志窗口、权限界面）<\/li> 敏感操作（相机、人脸识别、短信收发、身份证上传、支付页面）<\/li> 系统控制（后台运行、音量、存储读写）<\/li> <\/ul> <\/li> <\/ul> 3.2 短信窃取（SmsServiceRoom）<\/h3> 采用单例模式存储 SmsContent<\/code>。<\/li> 提供短信拦截、存储与转发功能。<\/li> <\/ul> 3.3 屏幕录制（ScreenRecordService）<\/h3> 后台持续录屏，用于监控用户操作（如网银交易）。<\/li> <\/ul> 3.4 数据泄露模块<\/h3> 媒体窃取<\/strong>：统计用户的音频、视频、图片、下载文件和联系人。<\/li> 联系人窃取<\/strong>：序列化并上传姓名、电话、邮箱等信息，用于横向移动攻击。<\/li> <\/ul> 3.5 浮窗密码窃取（BcaInputPwdWindow）<\/h3> 继承自 FloatWindow<\/code>，悬浮显示虚假输入框。<\/li> 通过 LiveString pwd<\/code> 实时捕获密码，并通过 commitData()<\/code> 上传。<\/li> <\/ul> 3.6 输入监听策略（PhoneStrategy 与 ListenMethod）<\/h3> PhoneStrategy<\/strong>：管理 PIN 或解锁策略，配合浮窗窃取密码。<\/li> ListenMethod<\/strong>：枚举监听用户操作（如密码输入）。<\/li> 策略数据存储<\/strong>：部分策略数据存储在 Native Lib（SO 文件）中，需使用 Ghidra 进行逆向分析。<\/li> <\/ul> 3.7 人脸识别视频录制（FaceRecognition）<\/h3> 通过前置\/后置摄像头采集用户面部图像或视频。<\/li> 用于绕过手机银行的人脸验证。<\/li> <\/ul> 3.8 恶意利用链路总结<\/h3> 诱导用户安装恶意应用。<\/li> 在用户使用目标应用（如银行 App）时触发恶意模块。<\/li> 通过浮窗覆盖、输入监听、录屏、人脸采集等方式窃取敏感信息。<\/li> 数据加密后上传至远程服务器。<\/li> <\/ol> 四、动态分析阶段<\/h2> 4.1 流量拦截与加密问题<\/h3> 使用 BurpSuite 拦截流量，但报文为加密格式。<\/li> 代码中查找密钥失败，无法直接解密。<\/li> <\/ul> 4.2 Frida 动态解密尝试<\/h3> 目标：在加密前（发起请求）和解密后（服务器响应）注入代码。<\/li> 问题<\/strong>：首次尝试时出现 Null<\/code> 指针异常，原因为 DPT-Shell 内置 Frida 检测。<\/li> <\/ul> 4.3 Frida 检测与绕过<\/h3> 检测机制<\/strong>：DPT-Shell 通过 pthread<\/code> 创建新线程运行 Frida 检测代码。<\/li> 触发崩溃<\/strong>：检测到 Frida-server 后执行 mov lr, #0<\/code>，导致程序返回时崩溃。<\/li> 绕过方法<\/strong>：Hook pthread_create<\/code> 函数，在特定条件下返回错误，阻止检测线程启动。<\/li> <\/ul> 4.4 动态分析结果<\/h3> 成功拦截明文登录数据，包括用户名、密码、银行卡号、设备 ID 等敏感字段。<\/li> 发现定期 Ping 操作，用于向攻击者同步设备状态。<\/li> <\/ul> 五、总结与防护建议<\/h2> 5.1 恶意软件特征<\/h3> 高风险行为：后台位置跟踪、文件上传、数据窃取。<\/li> 敏感权限：精确位置、联系人、短信、摄像头、麦克风、存储访问。<\/li> 利用方式：诱导下载、权限滥用、远程控制、数据泄露。<\/li> <\/ul> 5.2 防护建议<\/h3> 用户侧<\/strong>：仅从官方渠道下载应用。<\/li> 严格管理应用权限，禁止不必要的授权。<\/li> 安装移动安全防护软件。<\/li> <\/ul> <\/li> 开发与安全分析侧<\/strong>：加强对加壳应用的分析能力。<\/li> 使用 Frida 等工具时注意对抗检测机制。<\/li> 监控应用网络流量及系统行为。<\/li> <\/ul> <\/li> <\/ol> 六、附录：常用工具列表<\/h2> 工具名称<\/th> 用途<\/th> <\/tr> <\/thead> JADX<\/td> Android 应用反编译<\/td> <\/tr> Ghidra<\/td> SO 文件逆向分析<\/td> <\/tr> Frida<\/td> 动态插桩与行为分析<\/td> <\/tr> BurpSuite<\/td> 网络流量拦截与分析<\/td> <\/tr> Android Simulator<\/td> 运行环境模拟<\/td> <\/tr> <\/tbody> <\/table> 通过本教学文档，您应该已经掌握了针对复杂 Android 恶意软件的完整分析流程。如有疑问，可进一步查阅相关工具文档或技术社区资料。<\/p>

工具名称<\/th>	用途<\/th> <\/tr> <\/thead>
JADX<\/td>	Android 应用反编译<\/td> <\/tr>
Ghidra<\/td>	SO 文件逆向分析<\/td> <\/tr>
Frida<\/td>	动态插桩与行为分析<\/td> <\/tr>
BurpSuite<\/td>	网络流量拦截与分析<\/td> <\/tr>
Android Simulator<\/td>	运行环境模拟<\/td> <\/tr> <\/tbody> <\/table> 通过本教学文档，您应该已经掌握了针对复杂 Android 恶意软件的完整分析流程。如有疑问，可进一步查阅相关工具文档或技术社区资料。<\/p>