Question

这类病毒一般是用特殊的 App 名称吸引用户下载，例如有一个叫做“魅影 WIFI”的 App，下载安装之后界面如图 26-1 所示。

图 26-1　引诱 APP

点击“免费激活”，出现授权界面，如图 26-2 所示。

图 26-2　授权界面

如果点击“锁定屏幕”，就被锁屏了，解锁屏幕的界面如图 26-3 所示。

图 26-3　解锁屏幕

病毒作者做了一个浮窗锁机，让用户通过 QQ 给钱。这时我们不得不看代码来找到这个密码。这个浮窗类型的锁机其实很容易解决，主要是借助 WindowManager，所以连接 adb 使用命令直接杀掉这个进程即可：am force-stop pkgname。可以用 dumpsys 命令获取其包名：

然后再强制停止 App：

停止之后，发现解锁屏幕了，但密码已经被篡改了。如果设备 root 了，直接删除/data/system/password.key 文件即可。当然需要用户本身就是个开发者，“小白”用户肯定没办法。下面就来分析 App，获取两个锁机密码。