|
|
本帖最后由 一朵奇葩花ル 于 2014-11-21 15:48 编辑
不知同学们有没有一个习惯,就是把网上那些未知的APP应用放到沙盒里测试一遍,再放到天猫魔盒或其他者设备里使用。
有些APK应用里被植入了一种已知远程木马代码,在利用沙盒给其的行为经验记录后。(目前最新版的设备基本上都已经升级修复了,除非一些没升级的设备会在你没有ROOT的情况下 得到最高权限)
远程木马代码,在利用沙盒对其的行为经验记录后。得出以下行为结论:
让设备成为其肉鸡,任意远程控制提取信息。
获取联系人信息 对有通讯功能的设备有效
获取通话信息 对有通讯功能的设备有效
获取短信信息 对有通讯功能的设备有效
GPS/网络定位 对有通讯功能的设备有效
实时监控接收短信息 对有通讯功能的设备有效
实时获取设备状态 对有通讯功能的设备有效
拍照 对有拍照功能的设备有效
制造播放音频 当设置处于开机或者待机状态时候,半夜突然播放一段恐怖音频,尿了吧
摄像头实时监控 对带有摄像头功能的设备有效
发短信 对有通讯功能的设备有效
自动拨号 对有通讯功能的设备有效
自动下载应用程序 对有功能的设备有效
设备震动号 对有功能的设备有效
下面就教大家一种通用的木马通讯检测方法:
抓取网络通讯数据包
1、在win系统上打开ADVsock2pipe。命令行
ADVsock2pipe.exe -pipe=wireshark -port 9000
2、在win系统上打开wireshark嗅探软件,找到caption-Options设置
Capture | Options, Interface: Local, \\.\pipe\wireshark
3、adb shell
# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.113 9000
-w:指定将监听到的数据包写入文件中保存
-nn:指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-s:指定要监听数据包的长度
本机本地IP:192.168.1.113
活动端口:9000 然后在wireshark中可以看到监控数据不停的跳动记录。
通过以上大家应该知道怎么找到可疑连接的IP地址和端口了。然后就是过滤可疑连接的IP地址和端口。
过滤语法是:ip.dst ==可疑IP
and tcp.dstport ==端口 ==可疑IP and tcp.dstport ==端口
这个语法过滤出可疑信息,在上面鼠标右键,选择follow TCPstream
tx有可能是加密的,需要解密才可以看到。
案例截图:
科普知识:
Android应用基础
Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机则提供了一个抽象的真实硬件,只要和操作系统的API符合程序都可以在其上运行。应用则需要Linux的用户和组来执行,所以目前所有的恶意软件都需要获得权限。
Android应用的格式是APK,是一种包含AndroidManifest.xml的 ZIP文件,媒体类文件实际代码是classes.dex和一些其他的可选文件。XML提供Android系统的重要信息,比如用启动应用程序时需要什么权限,只有这个文件中列出的权限才提供给该应用,否则返回失败或空结果。classes.dex是Android应用程序实现的逻辑部分,是一个编译代码可由Dalvik虚拟机执行,打包成jar,从而节约移动设备上的一些空间。
分析工具有很多可以百度获取:
1、Dexter
Dexter可以将Android应用上传做分析,提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。
2、Anubis
Anubis也是一个WEB服务,应用在沙箱里运行,每个样品相互独立,来分析文件和网络的活动。同时也提供一些静态分析,包括权限XML在调用过程中的变化。
3、APKInspector
Apkinspector提供了很多工具,APK加载后可以选择标签来执行其中的功能,带有一个Java反编译器JAD,能够反编译大多数类,但经常报错。
4、Dex2Jar
可将dex 文件转成 Java 类文件的工具,即使你是经验丰富的逆向工程师,也可以考虑使用。
|
上一篇: 解决天猫盒子ac3 dts 无声小方法下一篇: 在1S增强版怎样安装xbmc?因为现在系统2.1.0,用不用ROOT?
|
网站导航
[复制链接]
发表于 2014-11-21 15:38
收藏
淘帖
顶一个
踩
提升卡
置顶卡
变色卡
千斤顶
znds.com 