如何檢測天貓魔盒是否安裝了木馬偽裝后的應(yīng)用

一朵奇葩花ル · 發(fā)表于 2014-11-21 15:38

本帖最后由一朵奇葩花ル于 2014-11-21 15:48 編輯

不知同學(xué)們有沒有一個習(xí)慣，就是把網(wǎng)上那些未知的APP應(yīng)用放到沙盒里測試一遍，再放到天貓魔盒或其他者設(shè)備里使用。

   有些APK應(yīng)用里被植入了一種已知遠(yuǎn)程木馬代碼，在利用沙盒給其的行為經(jīng)驗(yàn)記錄后。（目前最新版的設(shè)備基本上都已經(jīng)升級修復(fù)了，除非一些沒升級的設(shè)備會在你沒有ROOT的情況下得到最高權(quán)限）

   遠(yuǎn)程木馬代碼，在利用沙盒對其的行為經(jīng)驗(yàn)記錄后。得出以下行為結(jié)論：

   讓設(shè)備成為其肉雞，任意遠(yuǎn)程控制提取信息。

   獲取聯(lián)系人信息             對有通訊功能的設(shè)備有效
   獲取通話信息                對有通訊功能的設(shè)備有效
   獲取短信信息                對有通訊功能的設(shè)備有效
   GPS/網(wǎng)絡(luò)定位               對有通訊功能的設(shè)備有效
     實(shí)時監(jiān)控接收短信息       對有通訊功能的設(shè)備有效
   實(shí)時獲取設(shè)備狀態(tài)          對有通訊功能的設(shè)備有效
   拍照                            對有拍照功能的設(shè)備有效
       制造播放音頻                   當(dāng)設(shè)置處于開機(jī)或者待機(jī)狀態(tài)時候，半夜突然播放一段恐怖音頻，尿了吧
   攝像頭實(shí)時監(jiān)控            對帶有攝像頭功能的設(shè)備有效
       發(fā)短信                            對有通訊功能的設(shè)備有效
   自動撥號                        對有通訊功能的設(shè)備有效
自動下載應(yīng)用程序       對有功能的設(shè)備有效
   設(shè)備震動號                   對有功能的設(shè)備有效

下面就教大家一種通用的木馬通訊檢測方法：

抓取網(wǎng)絡(luò)通訊數(shù)據(jù)包
1、在win系統(tǒng)上打開ADVsock2pipe。命令行
ADVsock2pipe.exe -pipe=wireshark -port 9000
2、在win系統(tǒng)上打開wireshark嗅探軟件，找到caption-Options設(shè)置
Capture | Options, Interface: Local, \\.\pipe\wireshark
3、adb shell
# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.113 9000
-w：指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存
-nn：指定將每個監(jiān)聽到的數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應(yīng)用名稱轉(zhuǎn)換成端口號后顯示
-s：指定要監(jiān)聽數(shù)據(jù)包的長度
本機(jī)本地IP：192.168.1.113
活動端口：9000 然后在wireshark中可以看到監(jiān)控?cái)?shù)據(jù)不停的跳動記錄。
通過以上大家應(yīng)該知道怎么找到可疑連接的IP地址和端口了。然后就是過濾可疑連接的IP地址和端口。
過濾語法是：ip.dst ==可疑IP
and tcp.dstport ==端口 ==可疑IP and tcp.dstport ==端口
這個語法過濾出可疑信息,在上面鼠標(biāo)右鍵,選擇follow TCPstream

tx有可能是加密的，需要解密才可以看到。
如何檢測天貓魔盒是否安裝了木馬偽裝后的應(yīng)用

案例截圖：

科普知識：

Android應(yīng)用基礎(chǔ)

   Android是google開發(fā)基于Linux內(nèi)核的開源的手機(jī)操作系統(tǒng)，應(yīng)用程序使用JAVA語言編寫并轉(zhuǎn)換成了Dalvik虛擬機(jī)，而虛擬機(jī)則提供了一個抽象的真實(shí)硬件，只要和操作系統(tǒng)的API符合程序都可以在其上運(yùn)行。應(yīng)用則需要Linux的用戶和組來執(zhí)行，所以目前所有的惡意軟件都需要獲得權(quán)限。

      Android應(yīng)用的格式是APK，是一種包含AndroidManifest.xml的 ZIP文件，媒體類文件實(shí)際代碼是classes.dex和一些其他的可選文件。XML提供Android系統(tǒng)的重要信息，比如用啟動應(yīng)用程序時需要什么權(quán)限，只有這個文件中列出的權(quán)限才提供給該應(yīng)用，否則返回失敗或空結(jié)果。classes.dex是Android應(yīng)用程序?qū)崿F(xiàn)的邏輯部分，是一個編譯代碼可由Dalvik虛擬機(jī)執(zhí)行，打包成jar，從而節(jié)約移動設(shè)備上的一些空間。

分析工具有很多可以百度獲?。?br />
1、Dexter

   Dexter可以將Android應(yīng)用上傳做分析，提供了包和應(yīng)用元數(shù)據(jù)的介紹。包的依賴關(guān)系圖顯示了所有包的關(guān)系，可以快速打開列表顯示所有的class和功能。

2、Anubis
   Anubis也是一個WEB服務(wù)，應(yīng)用在沙箱里運(yùn)行，每個樣品相互獨(dú)立，來分析文件和網(wǎng)絡(luò)的活動。同時也提供一些靜態(tài)分析，包括權(quán)限XML在調(diào)用過程中的變化。

3、APKInspector
Apkinspector提供了很多工具，APK加載后可以選擇標(biāo)簽來執(zhí)行其中的功能，帶有一個Java反編譯器JAD，能夠反編譯大多數(shù)類，但經(jīng)常報(bào)錯。

4、Dex2Jar
   可將dex 文件轉(zhuǎn)成 Java 類文件的工具，即使你是經(jīng)驗(yàn)豐富的逆向工程師，也可以考慮使用。

13868337180 · 發(fā)表于 2014-11-21 16:02

看看好不好

s1024590334 · 發(fā)表于 2014-11-21 16:10

感謝分享，ZNDS有你更精彩:)

025181744 · 發(fā)表于 2014-11-21 16:42

雖不明，但覺厲！

wlludawei · 發(fā)表于 2014-11-21 18:55

精華內(nèi)容，樓主V5！

djyqs · 發(fā)表于 2014-11-21 19:26

木馬通訊檢測

djyqs · 發(fā)表于 2014-11-21 19:27

木馬通訊檢測

djyqs · 發(fā)表于 2014-11-21 19:27

木馬通訊檢測

傾世蘭心 · 發(fā)表于 2014-11-21 20:12

感謝分享，ZNDS有你更精彩:)

bnm100630 · 發(fā)表于 2014-11-21 20:35

感謝分享，ZNDS有你更精彩:)

› 智能電視盒 / 安卓TV機(jī)頂盒區(qū) › 天貓魔盒論壇

如何檢測天貓魔盒是否安裝了木馬偽裝后的應(yīng)用 ...

如何檢測天貓魔盒是否安裝了木馬偽裝后的應(yīng)用

相關(guān)帖子