技术人员在对近期支撑案例分析时发现某些涉诈案件中,尤其是裸聊类型APP,有一个显著的特征变化:应用在动态逆向分析时会访问一个国内的云服务器地址,如阿里云OSS等,为APP动态逆向直接获取涉案后台服务器带来困扰。
但实际上APP运行时会通过跳转多级链接后,最终发起目标网络地址请求。
通过本文,我们将从取证技术角度介绍:如何对此类多级跳转链接的涉案APP进行取证。
本文将使用到平航应用逆向解析AR200系列产品
01 / 获取动态信息
通过平航应用逆向解析软件AR200对APP进行动态分析,发现APP先请求三方云存储服务(获取到一串Base64编码的加密字符串),再去请求另外一个地址。
AR200判断第二个地址为主网站,并自动标记。
02 / Frida 动态调试
通过平航应用逆向解析软件AR200“源码调试”功能中的"加密拦截"模块对目标加密或散列方法进行拦截(AR200“加密拦截”功能支持拦截AES/DES/3DES、Base64、HASH/HMAC等加密算法,捕捉相关数据,包括加密前后的数据、使用的密钥等)。
在控制台查看输出日志,发现系统拦截到目标APP使用了AES的算法,解密后确认为APK的第二个请求地址。
03 / 静态功能分析
那如何将解密前的十六进制值跟APP请求的云存储下载的文件内容关联呢?
通过平航应用逆向解析软件AR200“静态分析”功能查看APK的原始代码,使用拦截到的算法关键字进行代码定位,分析得知APP会接收并解密一个字符串作为请求地址。
通过Python复现代码中的解密功能,确认APP会解密字符串作为实际的请求地址。
04 / 简单总结
在涉网案件中,APP通过此类技术手段延长了其存活时间。诸如此类的其他技术手段也日益增多,亟需要我们采取更有效的手段来应对这种变化。
本文将在平航取证技术简报第一期中详细拓展说明,有需求的小伙伴们可以提前订阅!
如果大家在实战过程中也有类似问题或需求,也可以联系平航官方获取更多、更高效的专业技术支持!
产品试用请联系平航区域业务人员或拨打4008-390-960
扫描下方二维码,获得不同权益!
1. 关注平航科技官方微信公众号,掌握第一手产品、技术、热点资讯!
2.添加平航科技远程技术中心企业微信,实战技术难题、产品使用问题、产品建议意见反馈,通道畅通无阻!
3. 扫码填写信息,订阅平航科技取证技术简报,每个季度的新兴技术、实战经验等,与您共享!
平航科技
官方微信公众号
平航科技
远程技术中心
平航科技
技术简报订阅
*平航取证技术简报限【公检法用户】订阅,请务必提供您的任职单位信息~ 不符合要求的订阅申请,暂不受理。
杭州平航科技有限公司
全国技术热线 : 4008-390-960
杭州总部地址:
杭州市 滨江区滨安路650号A座16层
北京办事处地址:
北京市 西城区莲花池甲5号1号楼2单元507室
广东办事处地址:
广州市 越秀区环市东路370-372号2616室
江苏办事处地址:
南京市 玄武区珠江路88号A座2110室
原文始发于微信公众号(平航科技):【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论