游客您好
免注册登录

[教程] 如何检测天猫魔盒是否安装了木马伪装后的应用

0
回复
1774
查看
[复制链接]
发表于 2017-5-19 18:25 | 显示全部楼层 |阅读模式

如何检测天猫魔盒是否安装了木马伪装后的应用


不知同学们有没有一个习惯,就是把网上那些未知的APP应用放到沙盒里测试一遍,再放到天猫魔盒或其他者设备里使用。

       有些APK应用里被植入了一种已知远程木马代码,在利用沙盒给其的行为经验记录后。(目前最新版的设备基本上都已经升级修复了,除非一些没升级的设备会在你没有ROOT的情况下 得到最高权限)  

       远程木马代码,在利用沙盒对其的行为经验记录后。得出以下行为结论:

       让设备成为其肉鸡,任意远程控制提取信息。

       获取联系人信息              对有通讯功能的设备有效
       获取通话信息                  对有通讯功能的设备有效
       获取短信信息                  对有通讯功能的设备有效
       GPS/网络定位                 对有通讯功能的设备有效
       实时监控接收短信息        对有通讯功能的设备有效
       实时获取设备状态            对有通讯功能的设备有效
       拍照                                 对有拍照功能的设备有效
       制造播放音频                   当设置处于开机或者待机状态时候,半夜突然播放一段恐怖音频,尿了吧
       摄像头实时监控               对带有摄像头功能的设备有效
       发短信                             对有通讯功能的设备有效
       自动拨号                         对有通讯功能的设备有效
       自动下载应用程序          对有功能的设备有效
       设备震动号                     对有功能的设备有效

下面就教大家一种通用的木马通讯检测方法:

抓取网络通讯数据包
1、在win系统上打开ADVsock2pipe。命令行
ADVsock2pipe.exe -pipe=wireshark -port 9000
2、在win系统上打开wireshark嗅探软件,找到caption-Options设置
Capture | Options, Interface: Local, \\.\pipe\wireshark
3、adb shell
# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.113 9000
-w:指定将监听到的数据包写入文件中保存
-nn:指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-s:指定要监听数据包的长度
本机本地IP:192.168.1.113
活动端口:9000 然后在wireshark中可以看到监控数据不停的跳动记录。
通过以上大家应该知道怎么找到可疑连接的IP地址和端口了。然后就是过滤可疑连接的IP地址和端口。
过滤语法是:ip.dst ==可疑IP
and tcp.dstport ==端口 ==可疑IP and tcp.dstport ==端口
这个语法过滤出可疑信息,在上面鼠标右键,选择follow TCPstream

tx有可能是加密的,需要解密才可以看到。
153115yumcim38u9vzmu79.jpg


案例截图:
游客,如果您要查看本帖隐藏内容请回复



科普知识:

Android应用基础

       Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机则提供了一个抽象的真实硬件,只要和操作系统的API符合程序都可以在其上运行。应用则需要Linux的用户和组来执行,所以目前所有的恶意软件都需要获得权限。

         Android应用的格式是APK,是一种包含AndroidManifest.xml的 ZIP文件,媒体类文件实际代码是classes.dex和一些其他的可选文件。XML提供Android系统的重要信息,比如用启动应用程序时需要什么权限,只有这个文件中列出的权限才提供给该应用,否则返回失败或空结果。classes.dex是Android应用程序实现的逻辑部分,是一个编译代码可由Dalvik虚拟机执行,打包成jar,从而节约移动设备上的一些空间。

分析工具有很多可以百度获取:

1、Dexter

      Dexter可以将Android应用上传做分析,提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。

2、Anubis
     Anubis也是一个WEB服务,应用在沙箱里运行,每个样品相互独立,来分析文件和网络的活动。同时也提供一些静态分析,包括权限XML在调用过程中的变化。

3、APKInspector
    Apkinspector提供了很多工具,APK加载后可以选择标签来执行其中的功能,带有一个Java反编译器JAD,能够反编译大多数类,但经常报错。

4、Dex2Jar
     可将dex 文件转成 Java 类文件的工具,即使你是经验丰富的逆向工程师,也可以考虑使用。


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

电视直播

智能电视家庭网是一个提供热门电视软件下载安装,电视台频道信息整理,智能电视机顶盒评测,热门剧集推荐的综合泛电视资讯平台。 智能电视家庭网部分内容从搜索引擎搜索整理获得,版权归原创者所有,如果侵犯了您的权益,我们会及时删除侵权内容。
Powered by Discuz!X3.4 ©2001-2013 Comsenz Inc.