HackTeam分析.docx

立即下载 作者: 纾潆锦袖迷子
上传时间: 2025-02-21
关键词: 文件 进程 目录 函数 存放 代码 程序 路径 用于 功能
大小 33.9 KB
描述
针对泄露的HackingTeam RCS以及相关程序文件中的Android类程序进行了分析和编译
core-android-audiocapture-master
该文件夹内存放的是主要是与用于音频窃听相关的linux程序
hacking-team-android\core-android-audiocapture-master\dbi_release下存放的是整个该应用的各种源码（下面所述文件路径均以该路径为根路径）
\crashme：目录下存放的是一个简单的C程序栈溢出程序，在函数间变量赋值时造成了数组溢出。判断是用于调试和测试使用，主要代码存在于crashme\jni\hijack.c文件中。
2.\decoder：该目录下的所有文件夹\hangouts \palchat \skype \tmp \viber \wechat \whatsappp \zeno中存放的是各类社交软件或系统应用的测试录音和一些音频监听模块的生成日志
该目录下最核心的两个文件是两个Python脚本 old_decoder.py和decoder.py两个脚本功能基本相似，知识代码功能略有差异。该脚本的功能是针对音频窃听捕获的dump文件进行解码。从程序中可以分析出dump文件的格式为
# epoch : streamType : sampleRate : blockLen（每个头部4 bytes）：audioRaw
3.\gdb：目录下是些用于调试和打印的命令
4.\hijack: 该目录下是用于进程注入的代码，主要方式使用通过使用ptrace函数将一个so链接库文件注入到指定的进程里面，进而达到控制或监听某进程的功能，是整个监听的核心控制部分。这个部分代码非常类似于android hook框架adbi项目的源代码。
核心代码在\hijack\jni\hijack.c中,634行main函数起解析了命令行参数-p –l –f –d 分别代表
-p PID -l LIBNAME -f DUMP_FOLDER -d (debug on) 然后就使用了adbi框架本身的一些函数进行ptrace进程注入，具体流程如下：
1. /proc/<进程号>/maps读取并解析完宿主进程的内存映射信息
2. 查找库的具体存放路径，并使用mprotect函数把内存段属性修改为可写
3.加载并解析
目录
文件/进程/目录/函数/存放/代码/程序/路径/用于/功能/ 文件/进程/目录/函数/存放/代码/程序/路径/用于/功能/