国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

Tags：移動安全(560)Android(84)殺毒軟件(76)木馬查殺(5)　　

　　本人存眷移動收集安然將近3年了，寫這篇文章主如果想科普下手機(jī)木馬查殺相干的一些手藝，比來在網(wǎng)上看了騰訊移動安然嘗試室安然快訊和360手機(jī)衛(wèi)士安然播報，感觸感染移動終端的安然性一年比一年嚴(yán)重。本人這些年主如果做收集攻防，近幾年由本來的PC端轉(zhuǎn)向移動互聯(lián)終端。在APT報復(fù)打擊方面研究的同時也研究防御方面的手藝。

　　下面就分享下比來的一些研究功能。

　　這篇文章主如果淺談,所以會從簡單方面開端講起。

　　關(guān)于手機(jī)木馬查殺,有些人會說安裝手機(jī)殺毒軟件不就解決了嗎? 其實不然。因為手機(jī)和PC不一樣,手機(jī)反木馬手藝沒有PC端那么強。

　　就算你把今朝市道上的所有手機(jī)殺毒軟件都安裝到手機(jī)里，也不必然查殺出來。

　　下面就開端正式講授手工查殺的編制。

　　第一種編制：用Android Debug Bridge(簡稱adb)調(diào)試東西津貼查殺,

　　起首打開android手機(jī)的調(diào)試模式,然后到網(wǎng)上下載adb.exe,AdbWinApi.dll,AdbWinUsbApi.dll這三個文件,放在電腦磁盤肆意目次下,用數(shù)據(jù)線把手機(jī)連上電腦。然后經(jīng)由過程號令提示符用pushd或cd號令跳轉(zhuǎn)到剛才那三個文件地點目次。履行adb

　　shell號令連進(jìn)手機(jī)shell終端。以后相當(dāng)于在linux下的shell一樣把持了。假定你是弄android開辟的,安裝eclipse和android SDK后就不消往下載剛才那三個文件了,在sdk\platform-tools這個目次下就有。重點是后面,經(jīng)由過程履行netstat號令查看當(dāng)前收集連接(不需要root權(quán)限)。以下圖：

　　能看到收集連接信息,可是卻不克不及看到過程pid和過程對應(yīng)的包名。如許想要找到歹意法度或木馬法度是很堅苦的。

　　下面介紹兩個很有效的號令：

　　cat /proc/net/tcp (不需要root權(quán)限)

　　cat /proc/net/tcp6 (不需要root權(quán)限)

　　/proc/net/tcp文件，這里記實的是ipv4下所有tcp連接的環(huán)境

　　/proc/net/tcp6文件，這里記實的是ipv6下所有tcp連接的環(huán)境

　　履行cat

　　/proc/net/tcp6號令后返回的記實格局以下：

　　local_address remote_address st tx_queue rx_queue tr tm

　　->when retrnsmt uid timeout inode

　　0000000000000000FFFF00006801A8C0:8018

　　0000000000000000FFFF00007095FB3A:0050

　　08 00000000:00000001 00:00000000 00000000

　　10136 0 15335 1 d50216a0 37 4 6 5 -1

　　最首要的，就是local_address本地地址:端口、remote_address長途地址:端口、st連接狀況,這里重點看下uid信息,下面會用到。截圖以下:

　　注1：返回的IP地址端口和狀況碼都是用的16進(jìn)制，好比HTTP的80端口記實為0050。

　　注2：狀況碼對應(yīng)以下

　　00 "ERROR_STATUS",

　　01 "TCP_ESTABLISHED",

　　02 "TCP_SYN_SENT",

　　03 "TCP_SYN_RECV",

　　04 "TCP_FIN_WAIT1",

　　05 "TCP_FIN_WAIT2",

　　06 "TCP_TIME_WAIT",

　　07 "TCP_CLOSE",

　　08 "TCP_CLOSE_WAIT",

　　09 "TCP_LAST_ACK",

　　0A "TCP_LISTEN",

　　0B "TCP_CLOSING",

　　下面以騰訊手機(jī)管家為例,經(jīng)由過程履行dumpsys

　　activity|grep “10136″號令來查找uid

　　10136對應(yīng)的Pid和利用法度包名,以下圖:(注:10136是打開騰訊手機(jī)管家后從頭履行cat/proc/net/tcp6號令獲得的。)

　　看下包名com.tencent.qqpimsecure是不是是騰訊手機(jī)管家,在手機(jī)的設(shè)置->利用法度->正在運行的辦事中查找(這里以android

　　2.3.7為例),以下圖:

　　由上面的履行成果找到騰訊手機(jī)管家拜候的IP地址和端口是：

　　7095FB3A:0050 (原格局是:

　　0000000000000000FFFF00007095FB3A:0050把前面的0000000000000000FFFF0000這段刪掉落.)

　　轉(zhuǎn)換成十進(jìn)制就是: 58.251.149.112:80

　　和履行netstat號令獲得的IP地址是一樣的,以下圖：

　　這里清算下思路:經(jīng)由過程履行cat/proc/net/tcp6或cat /proc/net/tcp找到聯(lián)網(wǎng)法度的uid,然后經(jīng)由過程uid找到對應(yīng)的利用法度pid和包名,最后鑒定利用是不是是可疑,假定可疑就卸載掉落。

　　如上面的騰訊手機(jī)治理是不成疑的,所以接著查找下一個,順次類推,直到找到歹意法度或木馬法度為止。在查找過程中不要報酬打開聯(lián)網(wǎng)利用法度(如UC瀏覽器,QQ瀏覽器等等。),如許會增加手工查殺的難度。并且歹意法度或病毒法度是開機(jī)主動打開的,當(dāng)然也有少部門是跟著其他利用啟動以后才觸發(fā)的。

　　假定想獲得利用對應(yīng)的安裝路徑等具體信息,可以履行下面的號令獲得。

　　adb shell dumpsys meminfo $package_name or $pid //利用法度的包名或過程id

　　當(dāng)然在這里還得具體申明下,剛才經(jīng)由過程可疑收集聯(lián)接找到對應(yīng)的利用法度包名,然后如何鑒定法度是不是可疑呢?因為良多法度都要聯(lián)網(wǎng)的,大年夜家可以如許做,找到包名后,可以到設(shè)置->利用法度->治理利用法度,在列表里找到對應(yīng)的利用,然后點擊進(jìn)往查看利用的權(quán)限列表。

　　經(jīng)由過程權(quán)限就可以鑒定利用的可疑性了。下面截一張圖,大年夜家可以參考下。

　　第二種編制:經(jīng)由過程耗電統(tǒng)計,找到耗電比較高的利用,然后查看利用的權(quán)限列表,進(jìn)而鑒定法度是不是可疑,這類編制比較簡單,我就不具體介紹了。

　　第三種編制：經(jīng)由過程查看logcat日記找到可疑利用法度。我不保舉用adb shell logcat來查看,因為里面的信息太多,并且查到可疑日記不方面。這里保舉大年夜家安裝一款第三方利用,叫做系統(tǒng)系統(tǒng)。打開系統(tǒng)信息這款利用,在根基信息下面點擊查看日記,這時候彈出選擇對話框,選擇logcat選項點擊進(jìn)往便可以查看logcat日記了。以下面:

　　里面可以找到利用的辦事名,和對應(yīng)的過程ID。這里出格是寄望紅色部門的警告信息。

　　大年夜大都手機(jī)木馬城市要求收集連接,在要求的同時會拋出異常,因為木馬客戶端其實不是及時處于監(jiān)聽狀況,這時候辦事端反彈連接會拋出異常。經(jīng)由過程異常信息就可以找到木馬法度的過程ID,進(jìn)而找到法度的安裝路徑,并卸載掉落。

　　假定想獲得利用對應(yīng)的安裝路徑等具體信息,可以履行下面的號令獲得。

　　adb shell dumpsys meminfo $package_name or $pid //利用法度的包名或過程id

　　第四種編制:經(jīng)由過程抓取收集通信數(shù)據(jù)包闡發(fā)手機(jī)利用到底做了甚么。前面的三種編制其實不克不及100%的鑒定某個利用是不是是歹意法度或木馬。

　　所以第四種編制來了。第四種編制是最復(fù)雜的,其實不合適所有人,只合適手機(jī)安然發(fā)騷友。

　　抓取手機(jī)收集通信數(shù)據(jù)包分三步走：

　　第一步：在PC上運行ADVsock2pipe，輸進(jìn)以下號令

　　ADVsock2pipe.exe -pipe=wireshark -port 9000

　　第二步：在PC上運行wireshark，設(shè)置caption-Options

　　Capture | Options, Inte***ce: Local, \\.\pipe\wireshark

　　第三步：adb shell

　　# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.101 9000

　　-w：指定將監(jiān)聽到的數(shù)據(jù)包寫進(jìn)文件中保留-nn：指定將每個監(jiān)聽到的數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從利用名稱轉(zhuǎn)換成端標(biāo)語后顯示-s：指定要監(jiān)聽數(shù)據(jù)包的長度

　　192.168.1.101 這個IP地址是你本機(jī)的IP。

　　至于這個9000端口可以隨便改,只要不被系統(tǒng)占用便可以。

　　還有一個首要前提前提是手機(jī)需要root權(quán)限。

　　以后在wireshark上面便可以看到通信數(shù)據(jù)在不斷的增加了。

　　經(jīng)由過程上面的第一種手工查殺編制,大年夜家應(yīng)當(dāng)知道如何找到可疑連接的IP地址和端口了。

　　然后就是過濾可疑連接的IP地址和端口。

　　過濾語法是：ip.dst ==可疑IP

　　and tcp.dstport ==端口

　　這里跟大年夜家介紹一種和第三種編制達(dá)到異曲同工之妙的語法。

　　tcp.flags.syn == 0×02 顯示包含TCP

　　SYN標(biāo)記的封包。

　　TCP收集連接要完成三次握手,這個地球人都知道的,是吧。

　　過濾出TCP SYN標(biāo)記的封包后,在wireshark上面就可以找到可疑連接的IP地址了。

　　連絡(luò)第一種編制就可以找到可疑IP地址對應(yīng)的利用法度ID和包名。然后就是查看權(quán)限列表進(jìn)一步鑒定,以后就是選擇是不是卸載利用了。

　　最后再來回答上面提到的抓包闡發(fā)手機(jī)利用到底做了甚么的標(biāo)題問題。

　　編制很簡單,剛才用ip.dst

　　==可疑IP and tcp.dstport ==端口

　　這個語法過濾出可疑信息,在上面鼠標(biāo)右鍵,選擇follow

　　TCP stream

　　便可以跟蹤指定TCP流的包。以下圖：

　　數(shù)據(jù)包是加密的。如何往解密就留給大年夜家做課后操練了。

　　最后再來彌補申明下手機(jī)安然軟件為甚么查殺不了,非得要手工查殺不成呢?

　　看下下面的闡發(fā)就知道啟事了。

　　假定你的手機(jī)不謹(jǐn)慎被植進(jìn)了一款手機(jī)木馬法度。這個時辰你安裝了一款手機(jī)安然軟件,好比騰訊手機(jī)管家,360手機(jī)衛(wèi)士,LBE安然大年夜師,金山手機(jī)衛(wèi)士等等等。

　　然后你每天更新手機(jī)殺軟病毒庫并掃描?？墒悄?每次的成果都是您的手機(jī)很安然,可以安心利用。以下圖：

　　所以殺軟都是最新版本最新病毒庫。

　　經(jīng)由過程幾款安然軟件的掃描查殺并沒有找到真實的木馬法度。而經(jīng)由過程剛才的四種手工查殺,真實的手機(jī)木馬其實已不難找到了。

　　最后的最后讓大年夜家賞識下這款手機(jī)遠(yuǎn)控的廬山真臉孔：

　　我在這里不是黃婆賣瓜自賣自夸。只是想讓所有人進(jìn)步安然意識,此刻的安然情勢有多嚴(yán)重,不言而喻。

　　我們經(jīng)由過程上面的闡發(fā)還可以得出一個結(jié)論:

　　就是市道上的主流手機(jī)安然軟件其實不靠譜，全中國還有多少手機(jī)木馬，甚么杜蕾斯手機(jī)遠(yuǎn)控，爵士輔佐機(jī)遠(yuǎn)控，都還沒有浮出水面，是吧?元芳,你如何看?