Question

这个病毒作者锁机采用了两套机制，而且浮窗锁机还用随机密码坑人。最可恨的是他竟然在 SD 中创建了那么多的空文件和空文件夹，让设备无法使用。最后他用的是 AES 算法对文件进行加解密操作。这里没有采用 RSA 加密的原因是 RSA 加密算法非常耗时且“吃内存”，手机会扛不住的。所以只好用 AES 了，但是对于解密来说只要知道密钥即可。这里解密用两种方式：一种是用 Xposed 框架进行 hook，一种是自己把他的界面代码拷贝出来写一个解密程序。当然第二种是最优的，因为那些中招的“小白”用户是没有 root 的，也没有安装 Xposed 框架的，只有写一个解密程序给他安装进行解密就好了。不过有个很大的问题，就是因为病毒还创建了很多空文件和空文件夹，导致操作的时候需要区别对待。要做一次过滤，这些病毒自己生成的文件和文件夹就不要做解密了，不然会无限制死机。

从这个病毒中我们可以了解到关于锁机策略的机制，对于设备管理器的锁机直接找到 DeviceAdminReceiver 这个类就好了，或者直接看 XML 中的定义：

快速找到修改密码的地方，找到锁机密码即可。而对于浮窗锁机，因为都是采用 Service 和 WindowManager 来实现逻辑的，所以直接使用 am 命令强制停止程序运行即可。