由3.99MB天眼查询系统病毒 引出的文件MD5学习、病毒盘点、锁机样本分析

声明

以下内容仅为技术科普，从未隐讳任何个人、群体、公司。非文学作品，请勿用于阅读理解的练习。

预告

本文包含多种内容，希望你坚持看到最后！

• 天眼查询系统病毒
• 锁机代码分析
• 病毒研究进阶
• 文件MD5知识科普
• 实例：如何修改一个抖音视频的MD5

天眼查询系统病毒

这个病毒到底是什么呢？现在市面上有很多衍生版本，功能包括但不限于：

• 打开之后空间会被篡改；
• 调用QQ群转发的功能，进行恶意传播。
• 打开软件后系统被锁机
• 打开软件后手机变得巨卡无比

您可以参考下面的视频分析

锁机代码分析

之前我们专门出了两期视频教程，教大家如何通过电脑或者手机分析锁机软件的密码

一些锁机源码分享，这里防止被恶意盗用，我们设置了小小的门槛（本内容由热心网友投稿）

后面我们还会给大家准备一些针对APP加固过的逆向教程，敬请期待

更多病毒研究

我之前还总结了一部分最新的病毒样本，如果您是做网络安全的或者病毒检测相关的爱好者，可以了解

当然，您也可以移步到卡巴斯基粉丝论坛，寻找相关的样本

[病毒样本] 【持续更新】盘点一些著名的病毒名称及样本分享（1.6更新Alliance，Birthday宏病毒）

如果，您不确定自己下载的软件或者程序是否含有病毒，您可以上传到云沙箱进行检测

• 大圣沙箱 https://sandbox.freebuf.com/
• 微步在线沙箱 https://s.threatbook.cn/

当然，如果您想自己捣鼓一个沙箱，可以学习一下布谷鸟Cuckoo沙箱的部署方法

沙箱之所以提供多个引擎，就是怕出现反逃逸的情况。

有一些比较厉害的病毒开发者，会在沙箱环境下自动隐藏病毒行为，而在真机上才能触发，因此，沙箱结果仅作为参考，实际情况如果你不放心还是要到模拟器里跑一下的！

文件MD5知识科普

这里，要引出我们今天讨论的重点问题了！文件MD5是什么？到底有什么用？

之前很多办案机关，例如网警，在调查取证时，会保存证据电子数据信息，并生成MD5然后拷贝走！

为了防止，在拷贝走的过程中文件被篡改，或者有人恶意破坏证据，因此会使用到MD5值作为校验。

当然，我们如果经常看病毒包告，会发现他们的大致格式如下

就拿天眼查询系统1.0.apk病毒报告为例

类型: 木马
名称: UDS:Trojan.AndroidOS.Piom.ajra
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: 天眼查询系统.apk
MD5: 80A9BEB6746531CA5DAAAE7C6AC2CADE

一般文件后面都有一个MD5值，而且很多软件在下载时，都会附上MD5值

所以，这个MD5值到底是干什么用的呢？

其实，它是可以帮助我们判断，这个软件是否被第三方经过加工处理、篡改过，因此，我们确认文件是否完整只需要验证MD5就好了。

如何查询并比对一个程序的MD5

这里还以天眼查询系统.apk为例，我们收到了群友分享的这个文件，但我们想看下这个和网上疯传的是否为同一个。

那我们这时可以通过windows电脑的CMD，输入下面命令进行验证

certutil -hashfile 天眼查询系统.apk MD5

我们这里看到哈希值与上面的80A9BEB6746531CA5DAAAE7C6AC2CADE不同，因此可以判断是被人篡改后的文件！

所以文件的MD5值，可以很好的校验文件的完整性。如果你不会用命令行，我们在下方评论区附了一个链接，你可以在链接里在线查看文件的MD5值

延申：抖音视频中的MD5如何修改

之前很多做抖音视频搬运的小伙伴们，都了解抖音的视频上传检测中，存在MD5比对，相当于你如果不是第一个发这个视频的人，你的视频就会被认定为可能是抄袭的，因此不会获得很高的流量，那么如何修改文件的MD5呢？

修改代码

• 源文件名称
• 记事本
• 新文件名称

记事本需要在里面随便填写一些内容

copy /b 原文件名称+记事本.txt 新文件名称

修改案例：如何修改一个抖音视频的MD5

视频教程

图文教程

比如我们把某个抖音视频先通过抖音在线去水印的工具下载下来，这里是猪头烧香.mp4

然后新建一个FancyPig.txt，里面内容可以随便写一些（不会影响结果）

那我们的命令则是

copy /b 猪头烧香.mp4+FancyPig.txt 猪头烧香2.mp4

然后生成好了

我们可以验证，看到MD5值已经被修改了

当然，抖音的机制并不只是检测MD5，MD5只是最初级的检测，抖音平台为了更好的评价这些没有营养的内容的原创性，还会进行关键帧抽取比对、人工智能算法等各种检验，因此，我们给出的教程也只是帮大家涨涨知识，真正要想在抖音上火还是要做原创内容！