claudeexist/inoi-a75-firmware-analysis

GitHub: claudeexist/inoi-a75-firmware-analysis

该项目通过静态分析INOI A75固件,记录疑似预装恶意软件的指标,为安全研究提供可复现证据。

Stars: 0 | Forks: 0

# INOI A75 固件分析 INOI A75 Elegance 固件的安全研究文档。 本仓库记录了对 INOI A75 Elegance 固件备份中发现的疑似预装恶意软件指标的静态分析。其目的是保存可复现的证据,准确解释发现,并提供可供其他研究人员审阅或向厂商/服务中心报告的材料。 ## 当前状态 初步分析已完成。更深入的分析仍在进行中。 当前的发现应被视为静态分析证据,而非对设备供应链中每个可能组件的完整法证结论。 ## 迄今为止的关键发现 静态分析在这些系统库中发现了嵌入式载荷的强烈证据: - `/system/lib/libandroid_runtime.so` - `/system/lib64/libandroid_runtime.so` 两个文件都包含一个嵌入的 ZIP/DEX 载荷。该载荷包含使用 `DexClassLoader` 的动态加载行为,引用了可疑的类名如 `com.system.framework.media.services`,以及与一个分阶段 Android 系统级加载器一致的字符串/逻辑。 在提取的固件分区内搜索了相同的独特指标。在此分析中,匹配的独特指标仅在两个 `libandroid_runtime.so` 文件和包含 `/system` 分区的容器镜像 `super.img` 中找到。 静态分析现已解码出几个嵌入的网络端点字符串。这些作为静态指标记录;在没有动态验证的情况下,不主张其在线操作和所有权。Ghidra 原生分析也确认,在 Java 载荷加载之前,可执行的原生加载器逻辑使用了包名表;参见 [Ghidra 原生加载器分析](docs/10-ghidra-native-loader-analysis.md)。 ## 重要范围说明 本仓库目前不声称每个分区、引导组件或固件二进制文件都已被完全逆向工程。 本仓库目前记录: - 固件提取和分区挂载 - 静态字符串和指标搜索 - 嵌入式载荷提取 - DEX/smali 检查 - 哈希值和可复现指标 完整的分析可能仍需要: - 使用更新后的签名数据库进行 AV 扫描 - 与干净的 AOSP/厂商构建版本进行比较 - 对原生代码进行更深入的逆向工程 - 在隔离实验室中进行动态网络监控 - 厂商确认 ## 仓库结构 ``` . ├── README.md ├── DISCLAIMER.md ├── SECURITY.md ├── docs/ ├── evidence/ └── scripts/ ``` ## 当前文档 - [摘要](docs/01-summary.md) - [可复现分析计划](docs/02-reproducible-analysis-plan.md) - [固件获取](docs/03-firmware-acquisition.md) - [深度分析路线图](docs/04-deep-analysis-roadmap.md) - [libandroid_runtime.so 分析](docs/05-libandroid-runtime-analysis.md) - [JADX 恶意软件代码分析](docs/06-jadx-malware-code-analysis.md) - [防病毒检测证据](docs/07-antivirus-detection-evidence.md) - [恶意软件执行流程](docs/08-malware-execution-flow.md) - [社交应用滥用调查](docs/09-social-app-abuse-investigation.md) - [Ghidra 原生加载器分析](docs/10-ghidra-native-loader-analysis.md) - [选定的 JADX 反编译源代码证据](evidence/jadx_sources/README.md) - [原生社交包符号映射](evidence/native_analysis/social-package-symbol-map.md) - [Ghidra 原生加载器证据](evidence/native_analysis/ghidra-native-loader-evidence.md) - [防病毒扫描截图](evidence/av_scans/README.md) ## 固件处理 该固件映像可能包含恶意代码。请勿在个人或生产机器上刷入、执行、以读写模式挂载或进行分析。 如果后续共享固件文件,应附带加密哈希值并作为潜在恶意样本处理。 ## 免责声明 这是一项独立的安全研究。并非来自 INOI、Google、Kaspersky、Dr.Web 或任何其他厂商的官方声明。 安全及法律注意事项请参阅 [DISCLAIMER.md](DISCLAIMER.md)。
标签:Android安全, DAST, DEX文件, Ghidra, INOI A75, ZIP文件, 云安全监控, 云资产清单, 加载器行为, 动态加载, 固件分析, 域名枚举, 嵌入式代码, 恶意软件分析, 指标提取, 目录枚举, 移动安全, 类名可疑, 系统库分析, 网络端点分析, 证据文档, 逆向工具, 逆向工程, 静态分析