应用源码之击溃360手机卫士的三大防护.zip

击溃 360 手机卫士的三大防护

图/文 非虫

360 作为国内专业的安全公司，在安全界的水平是有目共睹的，我们抛开它在经营与病毒防治上的一些极端

措施，就其产品技术性而言，是广大安全爱好者应该学习的。今天我与大家探讨下在 Android 平台上 360 手机卫

士这款产品其本身的安全性，并将自己研究时的一点小成果拿出来与大家分享。Android 手持设备的私密性注定

了这是一个敏感话题，在开始本文前，我郑重声明：本文的宗旨是让大家看到 Android 平台的可能的攻击方式，

仅供技术学习交流，任何个人与组织不得用文中提到的技术手段对其它人或组织进行非法攻击，由此带来的一切

法律责任本人概不负责。

测试环境

始 360 保护功能的艰苦分析之旅吧！

短信拦截

360 手机卫士第一个强大的功能就是垃圾短信与电话的拦截，它的实现方式主要通过创建广播对信息与电话

进行拦截，然后将其阻断。

打开“AndroidManifest.xml”文件，会发现里面有一个名为“com.qihoo360.mobilesafeguard”的 provider，然

后是 N 多的 service 与 receiver，短信的拦截就用到了下面这个 receiver：

<receiver android:name=".mms.receiver.MmsReceiver">

<intent-filter android:priority="2147483647">

<action android:name="android.provider.Telephony.WAP_PUSH_RECEIVED" />

<data android:mimeType="application/vnd.wap.mms-message" />

<action android:name="android.provider.Telephony.WAP_PUSH_RECEIVED" />

<data android:mimeType="application/vnd.wap.slc" />

</intent-filter>

</receiver>

Android 的广播有无序广播与有序广播两种，静态注册的广播属于有序广播，通过设置“priority”来设置广

播优先级。系统默认设置范围是-1000~1000 之间，但 SDK 中可能没有明确的数值限定，可以看到 360 将 priority

设置为了 2147483647，也就是 32 位有符号数的最大值。也就是试图设置最高响应优先级。Android 系统会首先

响应优先级高的广播，然后响应优先级低的，另外动态注册的广播又比静态注册的广播优先级高，如果优先级相

同就响应最早安装的程序，而优先级是“adb install”高于“adb push 后安装”方式。

运 行 360 手 机 卫 士 ， 可 以 看 到 它 启 动 了 一 个 进 程 与 五 个 服 务 ， 服 务 名 分 别 为 “ NetTraficService ”、

广播，而且 360 在静态广播中创建了服务，并再次动态创建了同类型的广播接收者，所以优先级很高，要过掉它

我们就必须在它的前面注册广播接收者，或者干掉它所有的进程与服务不让它运行。显然后者动作太过于明显，

不太适合。

2．将 APK 编译成系统程序，如：加入系统进程、使用 Framework 的签名文件进行签名等等。这样可能会

优先接收到广播。不过由于时间原因，未测试此方法是否可行。

上面第一种思路是分析所得的结果，思路如下，首先，要知道 360 是何时注册的广播接收者，打开

“ smali\com\qihoo360\mobilesafe\receiver\MessageReceiver.smali ” 文 件 ， 它 就 是 短 信 接 收 者 ， 直 接 看

“onReceive(Landroid/content/Context;Landroid/content/Intent;)V”代码如下：

.method public onReceive(Landroid/content/Context;Landroid/content/Intent;)V

.locals 5

:goto_0 #MobileSafeService->c 与 cp->f 条件判断

return-void

:cond_1

const-class v0, Lcom/qihoo360/mobilesafe/service/SafeGuardMmsService;

# ☻获取 SafeGuardMmsService 类 -->> v0 = SafeGuardMmsService.class ☻

invoke-virtual {p2, p1, v0},

Landroid/content/Intent;->setClass(Landroid/content/Context;Ljava/lang/Class;)Landroid/content/Intent;

#☻ p2 为第二个参数， -->> p2.setClass(参数 1, SafeGuardMmsService.class);☻

invoke-static {}, Lawv;->a()I

move-result v0

invoke-virtual {v2, v0}, Ljava/lang/StringBuilder;->append(I)Ljava/lang/StringBuilder;

move-result-object v2

invoke-virtual {v2}, Ljava/lang/StringBuilder;->toString()Ljava/lang/String;

move-result-object v2

invoke-static {v1, v2}, Lals;->b(Ljava/lang/String;Ljava/lang/String;)V

#调用 als->b()，猜测为打 log

const/4 v1, 0x4

if-le v0, v1, :cond_2 #判断 SDK 版本是否大于 4

:try_start_0

const-class v1, Landroid/content/BroadcastReceiver;

move-result-object v1

const/4 v0, 0x0

check-cast v0, [Ljava/lang/Object; #0 类型转换为 Object

invoke-virtual {v1, p0, v0},

Ljava/lang/reflect/Method;->invoke(Ljava/lang/Object;[Ljava/lang/Object;)Ljava/lang/Object; #调用判断方法

move-result-object v0

check-cast v0, Ljava/lang/Boolean;

invoke-virtual {v0}, Ljava/lang/Boolean;->booleanValue()Z #结果转换为 Boolean 值

:try_end_0

.catch Ljava/lang/Exception; {:try_start_0 .. :try_end_0} :catch_0

move-result v0

:goto_1

goto :goto_0 #返回

move-exception v0

const-string v1, "MessageReceiver"

invoke-direct {v2}, Ljava/lang/StringBuilder;-><init>()V

invoke-virtual {v2, v3}, Ljava/lang/StringBuilder;->append(Ljava/lang/String;)Ljava/lang/StringBuilder;

move-result-object v2

invoke-virtual {v0}, Ljava/lang/Exception;->toString()Ljava/lang/String;

invoke-static {v1, v0}, Lals;->b(Ljava/lang/String;Ljava/lang/String;)V #这里打 log 显示

move v0, v4

goto :goto_1

:cond_2

move v0, v4

goto :goto_1

:cond_3

invoke-virtual {p1, p2},

Landroid/content/Context;->startService(Landroid/content/Intent;)Landroid/content/ComponentName;

#☻ 启用了 SafeGuardMmsService 服务（开启舒肤佳短信服务*^_^*）☻

goto :goto_2

.end method

在 onReceive（）收到广播后，对消息进行判断，对是否为有序广播执行了 a()与开启舒肤佳服务的两个分支，

.method public onCreate()V

.locals 4

invoke-super {p0}, Lcom/qihoo360/mobilesafe/service/MobileSafeService;->onCreate()V

const-string v0, "SafeGuardMmsService"

const-string v1, "onCreate"

invoke-static {v0, v1}, Lals;->b(Ljava/lang/String;Ljava/lang/String;)V #这里打 LOG

invoke-direct {v0, p0}, Lhl;-><init>(Lcom/qihoo360/mobilesafe/service/SafeGuardMmsService;)V

sput-object v0,

invoke-virtual {p0},

move-result-object v0

Landroid/content/ContentResolver;->registerContentObserver(Landroid/net/Uri;ZLandroid/database/ContentObserver;)

V #注册短信数据库监视器对短信数据库变化进行监听

const/4 v0, 0x0

sput-boolean v0, Lac;->a:Z

new-instance v0, Landroid/content/IntentFilter;

const-string v1, "android.provider.Telephony.SMS_RECEIVED" #这个太熟悉了，用来注册短信广播接收者

invoke-direct {v0, v1}, Landroid/content/IntentFilter;-><init>(Ljava/lang/String;)V

const v1, 0x7fffffff

invoke-virtual {v0, v1}, Landroid/content/IntentFilter;->setPriority(I)V #设置最高的优先级

new-instance v1, Lcom/qihoo360/mobilesafe/receiver/MessageReceiver;

invoke-direct {v1}, Lcom/qihoo360/mobilesafe/receiver/MessageReceiver;-><init>()V

Lcom/qihoo360/mobilesafe/service/SafeGuardMmsService;->h:Lcom/qihoo360/mobilesafe/receiver/MessageReceiver;

Lcom/qihoo360/mobilesafe/service/SafeGuardMmsService;->h:Lcom/qihoo360/mobilesafe/receiver/MessageReceiver;

Lcom/qihoo360/mobilesafe/service/SafeGuardMmsService;->registerReceiver(Landroid/content/BroadcastReceiver;Lan

droid/content/IntentFilter;)Landroid/content/Intent; # ☻动态注册短信广播接收者☻

return-void

.end method

看看，有没有？有没有？在静态广播中创建一个服务，在服务中又动态创建一个广播，真可谓是用心良苦啊！

那这个 MessageReceiver 何时收到？服务何时启动呢？我没有再深入了，不过它不是在开机启动广播中启动的，

这为我们下一步的成功照亮了方向啊，下面是证据：

sput-wide v0, Lcom/qihoo360/mobilesafe/ui/index/MobileSafeApplication;->c:J

return-void

.end method

对 om-a()方法继续跟踪：（找到 om.smali 文件打开之）

.method public static a(Landroid/content/Context;)V

.locals 3

const/4 v2, 0x1

new-instance v0, Lafc;

invoke-direct {v0, p0}, Lafc;-><init>(Landroid/content/Context;)V

invoke-virtual {v0}, Lafc;->i()Z

move-result v0

if-eqz v0, :cond_0

new-instance v0, Landroid/content/Intent;