尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
用莘莘學子的原話:2019年9月27日這天,各大高校陸續淪陷……來,咱們先看看這戰況:
一日之內,造成如此大規模傷害的不是別的,而是APK。
APK是誰?文件啊!APK文件!
沒錯,就是這貨。
據說,如果你是安卓手機,那麼在下載這個文件之後,你的手機就會發瘋似得發出嬌喘聲,而且還會默認將音量開到最大,無法調低,無法關機。
想想吧,無論你是在課堂上、圖書館、還是食堂,這震天動地的聲響足以讓你成為全校「最靚的崽」。
一時間,這件事走紅各大院校,霸榜知乎熱搜。盡管這個APK有個好聽的名字—— 送給最好的TA ,然而收到這份厚禮的人或許會患上一種病——手機抑鬱症,就像這樣:
為此,有民間大佬對這個不正經APK進行了反編譯分析,哦嚯~於是就發現了 一個10秒的音頻 ,沒錯,兇手就是它!
另在博客上,吾愛破解也對這個整人APP進行了分析。
目錄結構
他稱,該APK文件中含有一段加載lua腳本的關鍵函數,而在加載之前肯定是要先解密的,所以只要找到解密函數,然後就可以把解密後的lua腳本dump出來。
使用IDA打開libluajava.so,經過分析找到函數luaL_loadbufferxluaL_loadbufferx的第二個參數是加密的字節數組,第三個參數是大小,第四個參數是lua文件位置。
這個函數就是加載加密lua腳本的地方,其中對腳本進行了解密操作。
根據第四個參數我們可以區分目前加載的lua腳本名稱,從而選擇性地dump(即在函數開頭下斷點,查看第四個參數內容)luaL_loadbufferx函數偽代碼如下:
首先對輸入的字節數組進行判斷,如果以1B開頭,且第二位不是0C,則進行解密操作,否則直接調用j_lua_load加載lua腳本。
在第41行下斷點即可獲取到解密後的字節數組,從而dump。
在進行動態dump調試之後,通過分析得出之所以音量會自動調大並無法關閉,是因為lua腳本將其設定為放放音頻和循環調整媒體音量的功能,並且攔截了返回鍵,禁止關機操作。
靜音樣本下載:
https://pan.baidu.com/s/1csqa3X86T8ebemZo2YXBrg
dump出來的lua:
https://pan.baidu.com/s/1X0un1jgVB6QAgPRqNu_3Wg
這件事傳的沸沸揚揚,不少學生po文聲稱自己被坑,更有人分析該APK文件可能是病毒軟件,並竊取機主的私人信息。
當然,目前為止並沒有專業人士就此事發聲,以上結論仍處在猜測階段。
-
>裝了個APK文件後 我的手機莫名發出嬌喘聲 關機都沒用