【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

admin 2024年3月26日22:53:39评论13 views字数 1255阅读4分11秒阅读模式

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

技术人员在对近期支撑案例分析时发现某些涉诈案件中,尤其是裸聊类型APP,有一个显著的特征变化:应用在动态逆向分析时会访问一个国内的云服务器地址,如阿里云OSS等,为APP动态逆向直接获取涉案后台服务器带来困扰。

但实际上APP运行时会通过跳转多级链接后,最终发起目标网络地址请求。

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

通过本文,我们将从取证技术角度介绍:如何对此类多级跳转链接的涉案APP进行取证。

本文将使用到平航应用逆向解析AR200系列产品

01 / 获取动态信息

通过平航应用逆向解析软件AR200对APP进行动态分析,发现APP先请求三方云存储服务(获取到一串Base64编码的加密字符串),再去请求另外一个地址。

AR200判断第二个地址为主网站,并自动标记。

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

02 / Frida 动态调试

通过平航应用逆向解析软件AR200“源码调试”功能中的"加密拦截"模块对目标加密或散列方法进行拦截(AR200“加密拦截”功能支持拦截AES/DES/3DES、Base64、HASH/HMAC等加密算法,捕捉相关数据,包括加密前后的数据、使用的密钥等)

在控制台查看输出日志,发现系统拦截到目标APP使用了AES的算法,解密后确认为APK的第二个请求地址。

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

03 / 静态功能分析

那如何将解密前的十六进制值跟APP请求的云存储下载的文件内容关联呢?

通过平航应用逆向解析软件AR200“静态分析”功能查看APK的原始代码,使用拦截到的算法关键字进行代码定位,分析得知APP会接收并解密一个字符串作为请求地址。

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

通过Python复现代码中的解密功能,确认APP会解密字符串作为实际的请求地址。

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

04 / 简单总结

在涉网案件中,APP通过此类技术手段延长了其存活时间诸如此类的其他技术手段也日益增多,亟需要我们采取更有效的手段来应对这种变化。

本文将在平航取证技术简报第一期中详细拓展说明,有需求的小伙伴们可以提前订阅!

如果大家在实战过程中也有类似问题或需求,也可以联系平航官方获取更多、更高效的专业技术支持!

产品试用请联系平航区域业务人员或拨打4008-390-960

扫描下方二维码,获得不同权益!

1. 关注平航科技官方微信公众号,掌握第一手产品、技术、热点资讯!

2.添加平航科技远程技术中心企业微信,实战技术难题、产品使用问题、产品建议意见反馈,通道畅通无阻!

3. 扫码填写信息,订阅平航科技取证技术简报,每个季度的新兴技术、实战经验等,与您共享!

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

平航科技

官方微信公众号

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

平航科技

远程技术中心

【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

平航科技

技术简报订阅

*平航取证技术简报限【公检法用户】订阅,请务必提供您的任职单位信息~ 不符合要求的订阅申请,暂不受理。

杭州平航科技有限公司

全国技术热线 : 4008-390-960

杭州总部地址:
杭州市 滨江区滨安路650号A座16层

北京办事处地址:

北京市 西城区莲花池甲5号1号楼2单元507室

广东办事处地址:
广州市 越秀区环市东路370-372号2616室

江苏办事处地址:
南京市 玄武区珠江路88号A座2110室

原文始发于微信公众号(平航科技):【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月26日22:53:39
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【技术分享】裸聊敲诈涉案APP中多级跳转链接技术的取证分析https://cn-sec.com/archives/2606977.html

发表评论

匿名网友 填写信息