用莘莘學(xué)子的原話(huà)：2019年9月27日這天，各大高校陸續(xù)淪陷......來(lái)，咱們先看看這戰(zhàn)況：

一日之內(nèi)，造成如此大規(guī)模傷害的不是別的，而是APK。

APK是誰(shuí)？文件??！APK文件！

沒(méi)錯(cuò)，就是這貨。

據(jù)說(shuō)，如果你是安卓手機(jī)，那么在下載這個(gè)文件之后，你的手機(jī)就會(huì)發(fā)瘋似得發(fā)出嬌喘聲，而且還會(huì)默認(rèn)將音量開(kāi)到最大，無(wú)法調(diào)低，無(wú)法關(guān)機(jī)。

想想吧，無(wú)論你是在課堂上、圖書(shū)館、還是食堂，這震天動(dòng)地的聲響足以讓你成為全校“最靚的崽”。

一時(shí)間，這件事走紅各大院校，霸榜知乎熱搜。盡管這個(gè)APK有個(gè)好聽(tīng)的名字—;—;送給最好的TA，然而收到這份厚禮的人或許會(huì)患上一種病—;—;手機(jī)抑郁癥，就像這樣：

為此，有民間大佬對(duì)這個(gè)不正經(jīng)APK進(jìn)行了反編譯分析，哦嚯~于是就發(fā)現(xiàn)了一個(gè)10秒的音頻，沒(méi)錯(cuò)，兇手就是它！

另在博客上，吾愛(ài)破解也對(duì)這個(gè)整人APP進(jìn)行了分析。

目錄結(jié)構(gòu)

他稱(chēng)，該APK文件中含有一段加載lua腳本的關(guān)鍵函數(shù)，而在加載之前肯定是要先解密的，所以只要找到解密函數(shù)，然后就可以把解密后的lua腳本dump出來(lái)。

使用IDA打開(kāi)libluajava.so，經(jīng)過(guò)分析找到函數(shù)luaL_loadbufferxluaL_loadbufferx的第二個(gè)參數(shù)是加密的字節(jié)數(shù)組，第三個(gè)參數(shù)是大小，第四個(gè)參數(shù)是lua文件位置。

這個(gè)函數(shù)就是加載加密lua腳本的地方，其中對(duì)腳本進(jìn)行了解密操作。

根據(jù)第四個(gè)參數(shù)我們可以區(qū)分目前加載的lua腳本名稱(chēng)，從而選擇性地dump（即在函數(shù)開(kāi)頭下斷點(diǎn)，查看第四個(gè)參數(shù)內(nèi)容）luaL_loadbufferx函數(shù)偽代碼如下：

首先對(duì)輸入的字節(jié)數(shù)組進(jìn)行判斷，如果以1B開(kāi)頭，且第二位不是0C，則進(jìn)行解密操作，否則直接調(diào)用j_lua_load加載lua腳本。

在第41行下斷點(diǎn)即可獲取到解密后的字節(jié)數(shù)組，從而dump。

在進(jìn)行動(dòng)態(tài)dump調(diào)試之后，通過(guò)分析得出之所以音量會(huì)自動(dòng)調(diào)大并無(wú)法關(guān)閉，是因?yàn)閘ua腳本將其設(shè)定為放放音頻和循環(huán)調(diào)整媒體音量的功能，并且攔截了返回鍵，禁止關(guān)機(jī)操作。

靜音樣本下載：

https://pan.baidu.com/s/1csqa3X86T8ebemZo2YXBrg

dump出來(lái)的lua：

https://pan.baidu.com/s/1X0un1jgVB6QAgPRqNu_3Wg

這件事傳的沸沸揚(yáng)揚(yáng)，不少學(xué)生發(fā)帖聲稱(chēng)自己被坑，更有人分析該APK文件可能是病毒軟件，并竊取機(jī)主的私人信息。

當(dāng)然，目前為止并沒(méi)有專(zhuān)業(yè)人士就此事發(fā)聲，以上結(jié)論仍處在猜測(cè)階段。