|
不知同學(xué)們有沒有一個習慣,就是把網(wǎng)上那些未知的APP應(yīng)用放到沙盒里測試一遍,再放到天貓魔盒或其他者設(shè)備里使用。
有些APK應(yīng)用里被植入了一種已知遠程木馬代碼,在利用沙盒給其的行為經(jīng)驗記錄后。(目前最新版的設(shè)備基本上都已經(jīng)升級修復(fù)了,除非一些沒升級的設(shè)備會在你沒有ROOT的情況下 得到最高權(quán)限)
遠程木馬代碼,在利用沙盒對其的行為經(jīng)驗記錄后。得出以下行為結(jié)論:
讓設(shè)備成為其肉雞,任意遠程控制提取信息。
獲取聯(lián)系人信息 對有通訊功能的設(shè)備有效
獲取通話信息 對有通訊功能的設(shè)備有效
獲取短信信息 對有通訊功能的設(shè)備有效
GPS/網(wǎng)絡(luò)定位 對有通訊功能的設(shè)備有效
實時監(jiān)控接收短信息 對有通訊功能的設(shè)備有效
實時獲取設(shè)備狀態(tài) 對有通訊功能的設(shè)備有效
拍照 對有拍照功能的設(shè)備有效
制造播放音頻 當設(shè)置處于開機或者待機狀態(tài)時候,半夜突然播放一段恐怖音頻,尿了吧
攝像頭實時監(jiān)控 對帶有攝像頭功能的設(shè)備有效
發(fā)短信 對有通訊功能的設(shè)備有效
自動撥號 對有通訊功能的設(shè)備有效
自動下載應(yīng)用程序 對有功能的設(shè)備有效
設(shè)備震動號 對有功能的設(shè)備有效
下面就教大家一種通用的木馬通訊檢測方法:
[hide]抓取網(wǎng)絡(luò)通訊數(shù)據(jù)包
1、在win系統(tǒng)上打開ADVsock2pipe。命令行
ADVsock2pipe.exe -pipe=wireshark -port 9000
2、在win系統(tǒng)上打開wireshark嗅探軟件,找到caption-Options設(shè)置
Capture | Options, Interface: Local, \.pipewireshark
3、adb shell
# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.113 9000
-w:指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存
-nn:指定將每個監(jiān)聽到的數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應(yīng)用名稱轉(zhuǎn)換成端口號后顯示
-s:指定要監(jiān)聽數(shù)據(jù)包的長度
本機本地IP:192.168.1.113
活動端口:9000 然后在wireshark中可以看到監(jiān)控數(shù)據(jù)不停的跳動記錄。
通過以上大家應(yīng)該知道怎么找到可疑連接的IP地址和端口了。然后就是過濾可疑連接的IP地址和端口。
過濾語法是:ip.dst ==可疑IP
and tcp.dstport ==端口 ==可疑IP and tcp.dstport ==端口
這個語法過濾出可疑信息,在上面鼠標右鍵,選擇follow TCPstream
tx有可能是加密的,需要解密才可以看到。
153115yumcim38u9vzmu79.jpg (137.53 KB, 下載次數(shù): 2)
下載附件
保存到相冊
2016-4-18 21:07 上傳
案例截圖:
153116u3ws9hh9sv7zz97v.jpg (131.21 KB, 下載次數(shù): 3)
下載附件
保存到相冊
2016-4-18 21:07 上傳
科普知識:
Android應(yīng)用基礎(chǔ)
Android是google開發(fā)基于Linux內(nèi)核的開源的手機操作系統(tǒng),應(yīng)用程序使用JAVA語言編寫并轉(zhuǎn)換成了Dalvik虛擬機,而虛擬機則提供了一個抽象的真實硬件,只要和操作系統(tǒng)的API符合程序都可以在其上運行。應(yīng)用則需要Linux的用戶和組來執(zhí)行,所以目前所有的惡意軟件都需要獲得權(quán)限。
Android應(yīng)用的格式是APK,是一種包含AndroidManifest.xml的 ZIP文件,媒體類文件實際代碼是classes.dex和一些其他的可選文件。XML提供Android系統(tǒng)的重要信息,比如用啟動應(yīng)用程序時需要什么權(quán)限,只有這個文件中列出的權(quán)限才提供給該應(yīng)用,否則返回失敗或空結(jié)果。classes.dex是Android應(yīng)用程序?qū)崿F(xiàn)的邏輯部分,是一個編譯代碼可由Dalvik虛擬機執(zhí)行,打包成jar,從而節(jié)約移動設(shè)備上的一些空間。
分析工具有很多可以百度獲?。?/font>
1、Dexter
Dexter可以將Android應(yīng)用上傳做分析,提供了包和應(yīng)用元數(shù)據(jù)的介紹。包的依賴關(guān)系圖顯示了所有包的關(guān)系,可以快速打開列表顯示所有的class和功能。
2、Anubis
Anubis也是一個WEB服務(wù),應(yīng)用在沙箱里運行,每個樣品相互獨立,來分析文件和網(wǎng)絡(luò)的活動。同時也提供一些靜態(tài)分析,包括權(quán)限XML在調(diào)用過程中的變化。
3、APKInspector
Apkinspector提供了很多工具,APK加載后可以選擇標簽來執(zhí)行其中的功能,帶有一個Java反編譯器JAD,能夠反編譯大多數(shù)類,但經(jīng)常報錯。
4、Dex2Jar
可將dex 文件轉(zhuǎn)成 Java 類文件的工具,即使你是經(jīng)驗豐富的逆向工程師,[/hide
|
上一篇: 怎樣防止魔盒誤操作扣費?下一篇: 天貓魔盒TMB200F/M10_f怎么玩游戲?
|