文件信息
文件名称 王者内部.apk文件大小 30.99MB
MD5 328b04706999a1b290f3207fb2be9353
SHA1 b31eb68097071e7b4b33e18d4c311e70d6591252
SHA256 0889ea136e6a2858274a04886c257e0902ca816ee08f8099d27e3826e6952f0d
文件信息
文件名称 王者内部.apk证书信息
二进制文件已签名
v1 签名: True
v2 签名: True
v3 签名: True
v4 签名: False
主题: C=CN
签名算法: rsassa_pkcs1v15
有效期自: 2024-01-05 19:14:21+00:00
有效期至: 2048-12-29 19:14:21+00:00
发行人: C=CN
序列号: 0x7857541f
哈希算法: sha256
证书MD5: 8d495da4e87a40880591e0b1d9723571
证书SHA1: ef516da22c3ea81c5624559fe90e174a15e5ddc0
证书SHA256: 9bd4d3d60ea9b57a58e8d3121def7276ed8037c7f15ec1f573b385e19c78fe58
证书SHA512: 1a939bf5d4ba30a90da0abdf21d244504e0c3f93c02ac9cccd007f730e0baf8b33e67353cded9a7640a350cd80f04422e5cfe00e45ea429460a8e2ccad0f44f7
公钥算法: rsa
密钥长度: 2048
指纹: 1cc24b5de434303da175e828f6fde9725e0926b3db522b6e71bf62a7e2bf13d6
找到 1 个唯一证书
应用程序权限
权限名称 | 安全等级 | 权限内容 | 权限描述 | 关联代码 |
---|---|---|---|---|
android.permission.READ_LOGS | 危险 | 读取系统日志文件 | 允许应用程序从系统的各日志文件中读取信息。这样应用程序可以发现您的手机使用情况,这些信息还可能包含用户个人信息或保密信息,造成隐私数据泄露。 | |
android.permission.ACCESS_WIFI_STATE | 普通 | 查看Wi-Fi状态 | 允许应用程序查看有关Wi-Fi状态的信息。 | |
android.permission.ACCESS_NETWORK_STATE | 普通 | 获取网络状态 | 允许应用程序查看所有网络的状态。 | 显示文件 |
android.permission.READ_PHONE_STATE | 危险 | 读取手机状态和标识 | 允许应用程序访问设备的手机功能。有此权限的应用程序可确定此手机的号码和序列号,是否正在通话,以及对方的号码等。 | 显示文件 |
android.permission.WRITE_EXTERNAL_STORAGE | 危险 | 读取/修改/删除外部存储内容 | 允许应用程序写入外部存储。 | 显示文件 |
android.permission.READ_EXTERNAL_STORAGE | 危险 | 读取SD卡内容 | 允许应用程序从SD卡读取信息。 | 显示文件 |
android.permission.INTERNET | 危险 | 完全互联网访问 | 允许应用程序创建网络套接字。 | 显示文件 |
android.permission.UNKNOWN | 未知 | 未知权限 | 来自 android 引用的未知权限。 |
证书分析
标题 | 严重程度 | 描述信息 |
---|---|---|
已签名应用 | 信息 | 应用程序已使用代码签名证书进行签名 |
MANIFEST分析
序号 | 问题 | 严重程度 | 描述信息 | 操作 |
---|---|---|---|---|
1 |
应用程序可以安装在有漏洞的已更新 Android 版本上 Android 4.0.3-4.0.4, [minSdk=15] |
信息 | 该应用程序可以安装在具有多个未修复漏洞的旧版本 Android 上。这些设备不会从 Google 接收合理的安全更新。支持 Android 版本 => 10、API 29 以接收合理的安全更新。 | |
2 |
应用程序数据存在被泄露的风险 未设置[android:allowBackup]标志 |
警告 | 这个标志 [android:allowBackup]应该设置为false。默认情况下它被设置为true,允许任何人通过adb备份你的应用程序数据。它允许已经启用了USB调试的用户从设备上复制应用程序数据。 | |
3 |
Activity (com.androlua.Main) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。 | |
4 |
Activity (com.tencent.tauth.AuthActivity) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。 | |
5 |
Activity (com.androlua.LuaActivity) 未被保护。 存在一个intent-filter。 |
警告 | 发现 Activity与设备上的其他应用程序共享,因此让它可以被设备上的任何其他应用程序访问。intent-filter的存在表明这个Activity是显式导出的。 | |
6 |
Service (com.androlua.LuaAccessibilityService) 受权限保护, 但是应该检查权限的保护级别。 Permission: android.permission.UNKNOWN [android:exported=true] |
警告 | 发现一个 Service被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。它受到一个在分析的应用程序中没有定义的权限的保护。因此,应该在定义它的地方检查权限的保护级别。如果它被设置为普通或危险,一个恶意应用程序可以请求并获得这个权限,并与该组件交互。如果它被设置为签名,只有使用相同证书签名的应用程序才能获得这个权限。 | |
7 |
Content Provider (android.content.FileProvider) 如果应用程序在API级别低于17的设备上运行,则不会受到保护。 [Content Provider, targetSdkVersion >= 17] |
警告 | 如果应用程序运行在一个API级别低于17的设备上,内容提供者( Content Provider)就会被导出。在这种情况下,它会被共享给了设备上的其他应用程序,因此让它可以被设备上的任何其他应用程序访问。 |
可浏览的ACTIVITIES
ACTIVITY | INTENT |
---|---|
com.androlua.Main |
Schemes:
file://,
content://,
Hosts: *, Mime Types: application/*, audio/*, video/*, text/*, */*, |
com.tencent.tauth.AuthActivity |
Schemes:
tencent222222://,
|
com.androlua.LuaActivity |
Schemes:
王者内部://,
file://,
content://,
Hosts: com.jitu.chunc, *, Mime Types: text/*, |
网络安全配置
序号 | 范围 | 严重级别 | 描述 |
---|
API调用分析
源代码分析
动态库分析
序号 | 动态库 | NX(堆栈禁止执行) | STACK CANARY(栈保护) | RELRO | RPATH(指定SO搜索路径) | RUNPATH(指定SO搜索路径) | FORTIFY(常用函数加强检查) | SYMBOLS STRIPPED(裁剪符号表) |
---|---|---|---|---|---|---|---|---|
1 | arm64-v8a/libcanvas.so | True
info 二进制文件设置了 NX 位。这标志着内存页面不可执行,使得攻击者注入的 shellcode 不可执行。 |
False
high 这个二进制文件没有在栈上添加栈哨兵值。栈哨兵是用于检测和防止攻击者覆盖返回地址的一种技术。使用选项-fstack-protector-all来启用栈哨兵。这对于Dart/Flutter库不适用,除非使用了Dart FFI |
Full RELRO
info 此共享对象已完全启用 RELRO。 RELRO 确保 GOT 不会在易受攻击的 ELF 二进制文件中被覆盖。在完整 RELRO 中,整个 GOT(.got 和 .got.plt 两者)被标记为只读。 |
None
info 二进制文件没有设置运行时搜索路径或RPATH |
None
info 二进制文件没有设置 RUNPATH |
False
warning 二进制文件没有任何加固函数。加固函数提供了针对 glibc 的常见不安全函数(如 strcpy,gets 等)的缓冲区溢出检查。使用编译选项 -D_FORTIFY_SOURCE=2 来加固函数。这个检查对于 Dart/Flutter 库不适用 |
False
warning 符号可用 |
文件分析
序号 | 问题 | 文件 |
---|
VIRUSTOTAL扫描
该文件并未在病毒库中,文件上传功能被禁用。
滥用权限
恶意软件常用权限 是被已知恶意软件广泛滥用的权限。
其它常用权限 是已知恶意软件经常滥用的权限。
IP地图
域名检测
域名 | 状态 | 中国境内 | 位置信息 | 解析 |
---|---|---|---|---|
astat.bugly.cros.wr.pvp.net |
安全 |
否 |
IP地址: 170.106.118.26 国家: 美利坚合众国 地区: 加利福尼亚 城市: 旧金山 查看: Google 地图 |
|
dzp100.dzpgrw.cn |
安全 |
是 |
IP地址: 27.155.118.96 国家: 中国 地区: 浙江 城市: 温州 查看: 高德地图 |
|
c-ssl.duitang.com |
安全 |
是 |
IP地址: 27.155.118.96 国家: 中国 地区: 江苏 城市: 苏州 查看: 高德地图 |
|
www.objectweb.org |
安全 |
否 | 没有可用的地理位置信息。 |
|
astat.bugly.qcloud.com |
安全 |
否 |
IP地址: 119.28.121.133 国家: 新加坡 地区: 新加坡 城市: 新加坡 查看: Google 地图 |
|
q2.qlogo.cn |
安全 |
是 |
IP地址: 119.28.121.133 国家: 中国 地区: 福建 城市: 福州 查看: 高德地图 |
|
手机号码
网址
网址信息 | 源码文件 |
---|---|
http://rqd.uu.qq.com/rqd/sync |
armadillo/zk.java |
http://astat.bugly.qcloud.com/rqd/async https://astat.bugly.cros.wr.pvp.net/:8180/rqd/async http://astat.bugly.cros.wr.pvp.net/:8180/rqd/async |
armadillo/bl.java |
http://dzp100.dzpgrw.cn:8080/auth/verify |
armadillo/p5.java |
http://dzp100.dzpgrw.cn:8080/apis/usersoft/getico?uuid= http://q2.qlogo.cn/headimg_dl?dst_uin= https://c-ssl.duitang.com/uploads/blog/202102/20/20210220185734_88848.jpeg |
armadillo/c6.java |
http://dzp100.dzpgrw.cn:8080/apis/usersoft/getico?uuid= |
armadillo/z3.java |
http://dzp100.dzpgrw.cn:8080/apis/usersoft/getico?uuid= https://c-ssl.duitang.com/uploads/blog/202102/20/20210220185734_88848.jpeg http://q2.qlogo.cn/headimg_dl?dst_uin= |
armadillo/VerifyActivity.java |
www.objectweb.org |
bsh/ClassGeneratorUtil.java |
FIREBASE实例
邮箱
源码文件 | |
---|---|
pat@pat.net |
bsh/Interpreter.java |
追踪器
名称 | 类别 | 网址 |
---|---|---|
Baidu Mobile Stat | Analytics | https://reports.exodus-privacy.eu.org/trackers/101 |
密钥凭证
活动列表
已显示 8 个activities
1、 com.androlua.Main
2、 com.tencent.connect.common.AssistActivity
3、 com.tencent.tauth.AuthActivity
4、 com.androlua.LuaActivity
5、 com.androlua.LuaActivityX
6、 armadillo.VerifyActivity
7、 com.nirenr.screencapture.ScreenCaptureActivity
8、 com.androlua.Welcome
服务列表
已显示 2 个services
1、 com.androlua.LuaService
2、 com.androlua.LuaAccessibilityService
广播接收者列表
内容提供者列表
已显示 1 个providers
1、 android.content.FileProvider
第三方SDK
SDK名称 | 开发者 | 描述信息 |
---|---|---|
360 加固 | 360 | 360 加固保是基于 360 核心加密技术,给安卓应用进行深度加密、加壳保护的安全技术产品,可保护应用远离恶意破解、反编译、二次打包,内存抓取等威胁。 |
AndroLua | mkottman | AndroLua 是基于 LuaJava 开发的安卓平台轻量级脚本编程语言工具,既具有 Lua 简洁优雅的特质,又支持绝大部分安卓 API,可以使你在手机上快速编写小型应用。 |
腾讯移动推送 | Tencent | 移动推送 TPNS(Tencent Push Notification Service)为您提供稳定、快速高抵达的 APP 推送服务。其接入方便快捷,拥有行业前沿的技术实力,稳定可靠的消息推送通道,独有可自选的双 Service 联合保活服务,能有效提升消息抵达率;系统每分钟可容纳1800万推送消息,消息能秒级到达(支撑王者荣耀等腾讯内应用推送工具);此外,其具备精准用户标签能力,有效助力 APP 的精细化运营。 |
腾讯开放平台 | Tencent | 腾讯核心内部服务,二十年技术沉淀,助你成就更高梦想。 |
File Provider | Android | FileProvider 是 ContentProvider 的特殊子类,它通过创建 content://Uri 代替 file:///Uri 以促进安全分享与应用程序关联的文件。 |
文件列表
AndroidManifest.xml
META-INF/CERT.RSA
META-INF/CERT.SF
META-INF/MANIFEST.MF
assets/.jgapp
assets/OoooooOooo
assets/app_acf
assets/app_name
assets/i11111i111
assets/icon.png
assets/init.lua
assets/layout.lua
assets/libHttpDnsPlugin.so
assets/libWGRecorder.so
assets/libWGRecorderApi.so
assets/libitophttpdns.so
assets/libjiagu.so
assets/libjiagu_a64.so
assets/libjiagu_a86.so
assets/libjiagu_vip.so
assets/libjiagu_vip_mips.a
assets/libjiagu_x64.so
assets/libjiagu_x86.so
assets/libtransceiver.so
assets/libtry-alloc-lib.so
assets/libturinggame.so
assets/libxgVipSecurity.so
assets/main.lua
assets/nb.png
assets/res/init.lua
assets/setup_sdk_share_author.png
assets/setup_sdk_share_enter.png
assets/setup_sdk_share_group.png
assets/vwwwwwvwww/arm/libdpt.so
assets/vwwwwwvwww/arm64/libdpt.so
assets/vwwwwwvwww/x86/libdpt.so
assets/vwwwwwvwww/x86_64/libdpt.so
assets/格机验证.so
assets/签名验证.tsc
assets/黑砖.sig
classes.dex
lib/arm64-v8a/libcanvas.so
lib/arm64-v8a/libluajava.so
lib/armeabi-v7a/libcanvas.so
lib/armeabi-v7a/libcomplex.so
lib/armeabi-v7a/libfec.so
lib/armeabi-v7a/libjansson.so
lib/armeabi-v7a/libliquid.so
lib/armeabi-v7a/libluajava.so
lib/armeabi-v7a/libquiet-jni.so
lib/armeabi-v7a/libquiet.so
lib/armeabi-v7a/libquiet_lwip.so
lua/ALuaDefender.lua
lua/AndLua.lua
lua/DebugAssistant.lua
lua/import.lua
lua/loadbitmap.lua
lua/loadlayout.lua
lua/loadmenu.lua
lua/su.lua
res/drawable/icon.png
res/layout/xamarin_activity.xml
res/layout/xamarin_auth.xml
res/layout/xamarin_auth_ios.xml
res/layout/xamarin_blur_group.xml
res/layout/xamarin_group.xml
res/layout/xamarin_group_style_right.xml
res/layout/xamarin_login.xml
res/layout/xamarin_login_activity.xml
res/layout/xamarin_login_login.xml
res/layout/xamarin_login_pay.xml
res/layout/xamarin_login_reg.xml
res/layout/xamarin_login_unbind.xml
res/xml-v22/accessibility_service_config.xml
res/xml/accessibility_service_config.xml
res/xml/andlua_filepaths.xml
resources.arsc
污点分析
当apk较大时,代码量会很大,造成数据流图(ICFG)呈现爆炸式增长,所以该功能比较耗时,请先喝杯咖啡,耐心等待……规则名称 | 描述信息 | 操作 |
---|---|---|
病毒分析 | 使用安卓恶意软件常用的API进行污点分析 | 开始分析 |
漏洞挖掘 | 漏洞挖掘场景下的污点分析 | 开始分析 |
隐私合规 | 隐私合规场景下的污点分析:组件内污点传播、组件间污点传播、组件与库函数之间的污点传播 | 开始分析 |
密码分析 | 分析加密算法是否使用常量密钥、静态初始化的向量(IV)、加密模式是否使用ECB等 | 开始分析 |
Callback | 因为Android中系统级的Callback并不会出现显式地进行回调方法的调用,所以如果需要分析Callback方法需要在声明文件中将其声明,这里提供一份AndroidCallbacks.txt文件,里面是一些常见的原生回调接口或类,如果有特殊接口需求,可以联系管理员 | 开始分析 |