殺毒軟體反編譯

① 為什麼反編譯systemui.apk 文件為空

先保證安裝net環境和java環境，關閉殺毒軟體安裝「APK+Dex文件反編譯及回編譯工具v1.7.2正式版」

反編譯錯誤，文件夾為空

1、到對應rom的system/framework 文件夾中提取2個文件
framework-res.apk和twframework-res.apk

2、在2個文件上右鍵，選擇「**設為構架文件」

3、正常反編譯SystemUI.apk

② 怎麼做免殺越詳細越好

這樣一時半會時說不明白的，我煉緊要的說
（以下先介紹反匯編免殺）
第一步：你需要一本面紗的書如非安全出版的《反匯編揭露黑客免殺技巧》。進行基礎性了解。
第二步：了解當下殺毒軟體的查殺特點，認識雲查殺和特徵碼查殺以及行為綜合查殺等。
第三步：了解免殺技術分類：如內部免殺和外部免殺，特徵碼免殺以及文件免殺等
第四步：搭建調試環境，你需要一個虛擬機來測試你的木馬免殺效果。如果你覺得不保險，可以在安 裝冰點還原。（我的網站：google：青揚班 第一個即可）
第五步：你需要知道PE結構（這是指文件的一般格式）；輸入表和輸出表；以及什麼是程序的殼。
第六步：你需要知道什麼是匯編和反匯編（即機器語言和高級語言的區別）知道電腦內存基本的寄存器和內存80386定址原理。和各種匯編命令如jmp，je，xor等
第七步：開始免殺。認識你自己的免殺工具如OD,OC,C32等
（常見面紗方法有加花免殺，加殼免殺，等價替換指令免殺，跳轉面紗，大小寫轉換免殺，異化演算法免殺等等，如果你是玩asp馬的，還有腳本免殺）
源碼免殺介紹如下：
通過修改源代碼即可（很好面紗的）這里不說啦
如果你有什麼不明白請google：青揚班
點擊第一個網站即可，我們可以交流。

③ Android APK+Dex文件反編譯及回編譯工具的常見問題

1、被殺毒軟體攔截誤殺（安裝前，關閉殺毒軟體）
2、沒有管理員許可權（右鍵以管理員身份運行C:Apkdb安裝.exe）或者，使用兼容模式 （右鍵-屬性-兼容性-兼容模式[Windows XP SP3]）以及 特權等級 勾選「以管理員身份運行此程序」
3、UAC限制 安裝過程沒有寫入注冊表提示，直接顯示安裝完成（右鍵 我的電腦-管理-本地用戶和組-用戶-Administrator（√ 密碼永不過期）請在系統變數【path】里最前面添加 c:windows;c:windowssystem32;4、正常安裝成功，安裝過程有寫入注冊表提示，但是右鍵APK 沒有菜單（檢查是不是安裝了PC版的手機管理工具，關聯了APK文件）
5、安裝後無法編譯文件，提示JAVA 錯誤（未安裝JAVA平台，或安裝錯誤。請卸載後重啟電腦，重裝再次重啟電腦）
6、安裝成功後，編譯文件提示 「Can't create the output directory \****smali」（這是文件夾 沒有寫入許可權。檢查是否直接在硬碟分區根目錄編譯了？Apktool不能在磁碟分區。如：C盤 D盤 根目錄！如果不是根目錄，請檢查apk文件名稱是不是有問題。如，文件名結尾空格。）
7、能反編譯，但無法回編譯（可能是被舊版本的Apktool編譯過，試試用舊版的反編譯，用新版的回編譯）
8、回編譯出錯問題：(1.提示 strings.xml 最後一行錯誤，檢查是否</string>符號錯誤；(2.提示 strings.xml 最頂部含中文代碼首行錯誤，編碼格式不對，轉換成 UTF-8；(3.提示 public.xml 出錯，檢查改動過的 arrays.xml 是否代碼有錯誤的地方；(4.其他錯誤，檢查是否復制aapt.exe 文件到系統目錄如:C:WindowsSystem32aapt.exe
9、安裝過程提示 systeminfo 提示「不是內部或外部命令」請在系統變數【path】里最前面添加 c:windows;c:windowssystem32;或者手動添加這個變數，如果還是不行可能系統不完整，重裝吧)
10、如果安裝過程中，未顯示【操作成功完成】只顯示：....................請在系統變數【path】里最前面添加 c:windows;c:windowssystem32;
11、64位系統,如果JAVA出錯,建議把32位和64位的JAVA一起裝上。
12、Win8用戶 需要注意一下，如果安裝了手機助手，需要，手動關聯APK文件apk文件滑鼠右鍵，【打開方式】-【選擇默認程序】-【APK安裝器】

④ 如何反編譯木馬程序

木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。

RFC1244(Request for Comments:1244)中是這樣描述木馬的：「木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。」隨著互聯網的迅速發展，木馬的攻擊、危害性越來越大。木馬實質上是一個程序，必須運行後才能工作，所以會在進程表、注冊表中留下蛛絲馬跡，我們可以通過「查、堵、殺」將它「緝拿歸案」。

查

1.檢查系統進程

大部分木馬運行後會顯示在進程管理器中，所以對系統進程列表進行分析和過濾，可以發現可疑程序。特別是利用與正常進程的CPU資源佔用率和句柄數的比較，發現異常現象。

2.檢查注冊表、ini文件和服務

木馬為了能夠在開機後自動運行，往往在注冊表如下選項中添加註冊表項：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木馬亦可在Win.ini和System.ini的「run=」、「load=」、「shell=」後面載入，如果在這些選項後面載入程序是你不認識的，就有可能是木馬。木馬最慣用的伎倆就是把「Explorer」變成自己的程序名，只需稍稍改「Explorer」的字母「l」改為數字「1」，或者把其中的「o」改為數字「0」，這些改變如果不仔細觀察是很難被發現。

在Windwos NT/2000中，木馬會將自己作為服務添加到系統中，甚至隨機替換系統沒有啟動的服務程序來實現自動載入，檢測時要對操作系統的常規服務有所了解。

3.檢查開放埠

遠程式控制制型木馬以及輸出Shell型的木馬，大都會在系統中監聽某個埠，接收從控制端發來的命令，並執行。通過檢查系統上開啟的一些「奇怪」的埠，從而發現木馬的蹤跡。在命令行中輸入Netstat na，可以清楚地看到系統打開的埠和連接。也可從www.foundstone.com下載Fport軟體，運行該軟體後，可以知道打開埠的進程名，進程號和程序的路徑，這樣為查找「木馬」提供了方便之門。

4.監視網路通訊

對於一些利用ICMP數據通訊的木馬，被控端沒有打開任何監聽埠，無需反向連接，不會建立連接，採用第三種方法檢查開放埠的方法就行不通。可以關閉所有網路行為的進程，然後打開Sniffer軟體進行監聽，如此時仍有大量的數據，則基本可以確定後台正運行著木馬。

堵

1.堵住控制通路

如果你的網路連接處於禁用狀態後或取消撥號連接，反復啟動、打開窗口等不正常現象消失，那麼可以判斷你的電腦中了木馬。通過禁用網路連接或拔掉網線，就可以完全避免遠端計算機通過網路對你的控制。當然，亦可以通過防火牆關閉或過濾UDP、TCP、ICMP埠。

2.殺掉可疑進程

如通過Pslist查看可疑進程，用Pskill殺掉可疑進程後，如果計算機正常，說明這個可疑進程通過網路被遠端控制，從而使計算機不正常。

殺

1.手工刪除

對於一些可疑文件，不能立即刪除，有可能由於誤刪系統文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件裡面的明文字元對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟體對可疑文件進行靜態分析，查看文件的導入函數列表和數據段部分，初步了解程序的主要功能。最後，刪除木馬文件及注冊表中的鍵值。

2.軟體殺毒

由於木馬編寫技術的不斷進步，很多木馬有了自我保護機制。普通用戶最好通過專業的殺毒軟體如瑞星、金山毒霸等軟體進行殺毒，對於殺毒軟體，一定要及時更新，並通過病毒公告及時了解新木馬的預防和查殺絕技，或者通過下載專用的殺毒軟體進行殺毒(如近期的沖擊波病毒各大公司都開發了查殺工具)。