|
本帖最后由 一朵奇葩花ル 于 2014-11-21 15:48 編輯
不知同學(xué)們有沒(méi)有一個(gè)習(xí)慣,就是把網(wǎng)上那些未知的APP應(yīng)用放到沙盒里測(cè)試一遍,再放到天貓魔盒或其他者設(shè)備里使用。
有些APK應(yīng)用里被植入了一種已知遠(yuǎn)程木馬代碼,在利用沙盒給其的行為經(jīng)驗(yàn)記錄后。(目前最新版的設(shè)備基本上都已經(jīng)升級(jí)修復(fù)了,除非一些沒(méi)升級(jí)的設(shè)備會(huì)在你沒(méi)有ROOT的情況下 得到最高權(quán)限)
遠(yuǎn)程木馬代碼,在利用沙盒對(duì)其的行為經(jīng)驗(yàn)記錄后。得出以下行為結(jié)論:
讓設(shè)備成為其肉雞,任意遠(yuǎn)程控制提取信息。
獲取聯(lián)系人信息 對(duì)有通訊功能的設(shè)備有效
獲取通話(huà)信息 對(duì)有通訊功能的設(shè)備有效
獲取短信信息 對(duì)有通訊功能的設(shè)備有效
GPS/網(wǎng)絡(luò)定位 對(duì)有通訊功能的設(shè)備有效
實(shí)時(shí)監(jiān)控接收短信息 對(duì)有通訊功能的設(shè)備有效
實(shí)時(shí)獲取設(shè)備狀態(tài) 對(duì)有通訊功能的設(shè)備有效
拍照 對(duì)有拍照功能的設(shè)備有效
制造播放音頻 當(dāng)設(shè)置處于開(kāi)機(jī)或者待機(jī)狀態(tài)時(shí)候,半夜突然播放一段恐怖音頻,尿了吧
攝像頭實(shí)時(shí)監(jiān)控 對(duì)帶有攝像頭功能的設(shè)備有效
發(fā)短信 對(duì)有通訊功能的設(shè)備有效
自動(dòng)撥號(hào) 對(duì)有通訊功能的設(shè)備有效
自動(dòng)下載應(yīng)用程序 對(duì)有功能的設(shè)備有效
設(shè)備震動(dòng)號(hào) 對(duì)有功能的設(shè)備有效
下面就教大家一種通用的木馬通訊檢測(cè)方法:
抓取網(wǎng)絡(luò)通訊數(shù)據(jù)包
1、在win系統(tǒng)上打開(kāi)ADVsock2pipe。命令行
ADVsock2pipe.exe -pipe=wireshark -port 9000
2、在win系統(tǒng)上打開(kāi)wireshark嗅探軟件,找到caption-Options設(shè)置
Capture | Options, Interface: Local, \\.\pipe\wireshark
3、adb shell
# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.113 9000
-w:指定將監(jiān)聽(tīng)到的數(shù)據(jù)包寫(xiě)入文件中保存
-nn:指定將每個(gè)監(jiān)聽(tīng)到的數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應(yīng)用名稱(chēng)轉(zhuǎn)換成端口號(hào)后顯示
-s:指定要監(jiān)聽(tīng)數(shù)據(jù)包的長(zhǎng)度
本機(jī)本地IP:192.168.1.113
活動(dòng)端口:9000 然后在wireshark中可以看到監(jiān)控?cái)?shù)據(jù)不停的跳動(dòng)記錄。
通過(guò)以上大家應(yīng)該知道怎么找到可疑連接的IP地址和端口了。然后就是過(guò)濾可疑連接的IP地址和端口。
過(guò)濾語(yǔ)法是:ip.dst ==可疑IP
and tcp.dstport ==端口 ==可疑IP and tcp.dstport ==端口
這個(gè)語(yǔ)法過(guò)濾出可疑信息,在上面鼠標(biāo)右鍵,選擇follow TCPstream
tx有可能是加密的,需要解密才可以看到。
8.jpg (137.4 KB, 下載次數(shù): 2)
下載附件
保存到相冊(cè)
2014-11-21 15:31 上傳
案例截圖:
9.jpg (131.59 KB, 下載次數(shù): 2)
下載附件
保存到相冊(cè)
2014-11-21 15:31 上傳
科普知識(shí):
Android應(yīng)用基礎(chǔ)
Android是google開(kāi)發(fā)基于Linux內(nèi)核的開(kāi)源的手機(jī)操作系統(tǒng),應(yīng)用程序使用JAVA語(yǔ)言編寫(xiě)并轉(zhuǎn)換成了Dalvik虛擬機(jī),而虛擬機(jī)則提供了一個(gè)抽象的真實(shí)硬件,只要和操作系統(tǒng)的API符合程序都可以在其上運(yùn)行。應(yīng)用則需要Linux的用戶(hù)和組來(lái)執(zhí)行,所以目前所有的惡意軟件都需要獲得權(quán)限。
Android應(yīng)用的格式是APK,是一種包含AndroidManifest.xml的 ZIP文件,媒體類(lèi)文件實(shí)際代碼是classes.dex和一些其他的可選文件。XML提供Android系統(tǒng)的重要信息,比如用啟動(dòng)應(yīng)用程序時(shí)需要什么權(quán)限,只有這個(gè)文件中列出的權(quán)限才提供給該應(yīng)用,否則返回失敗或空結(jié)果。classes.dex是Android應(yīng)用程序?qū)崿F(xiàn)的邏輯部分,是一個(gè)編譯代碼可由Dalvik虛擬機(jī)執(zhí)行,打包成jar,從而節(jié)約移動(dòng)設(shè)備上的一些空間。
分析工具有很多可以百度獲?。?br />
1、Dexter
Dexter可以將Android應(yīng)用上傳做分析,提供了包和應(yīng)用元數(shù)據(jù)的介紹。包的依賴(lài)關(guān)系圖顯示了所有包的關(guān)系,可以快速打開(kāi)列表顯示所有的class和功能。
2、Anubis
Anubis也是一個(gè)WEB服務(wù),應(yīng)用在沙箱里運(yùn)行,每個(gè)樣品相互獨(dú)立,來(lái)分析文件和網(wǎng)絡(luò)的活動(dòng)。同時(shí)也提供一些靜態(tài)分析,包括權(quán)限XML在調(diào)用過(guò)程中的變化。
3、APKInspector
Apkinspector提供了很多工具,APK加載后可以選擇標(biāo)簽來(lái)執(zhí)行其中的功能,帶有一個(gè)Java反編譯器JAD,能夠反編譯大多數(shù)類(lèi),但經(jīng)常報(bào)錯(cuò)。
4、Dex2Jar
可將dex 文件轉(zhuǎn)成 Java 類(lèi)文件的工具,即使你是經(jīng)驗(yàn)豐富的逆向工程師,也可以考慮使用。
|
上一篇: 解決天貓盒子ac3 dts 無(wú)聲小方法下一篇: 在1S增強(qiáng)版怎樣安裝xbmc?因?yàn)楝F(xiàn)在系統(tǒng)2.1.0,用不用ROOT?
|