首頁 收藏 QQ群
 網(wǎng)站導航

ZNDS智能電視網(wǎng) 推薦當貝市場

TV應用下載 / 資源分享區(qū)

軟件下載 | 游戲 | 討論 | 電視計算器

綜合交流 / 評測 / 活動區(qū)

交流區(qū) | 測硬件 | 網(wǎng)站活動 | Z幣中心

新手入門 / 進階 / 社區(qū)互助

新手 | 你問我答 | 免費刷機救磚 | ROM固件

查看: 33630|回復: 30
上一主題 下一主題
[教程]

如何檢測天貓魔盒是否安裝了木馬偽裝后的應用

  [復制鏈接]
跳轉(zhuǎn)到指定樓層
樓主
發(fā)表于 2014-11-21 15:38 | 只看該作者 |只看大圖 回帖獎勵 |倒序瀏覽 |閱讀模式 | 來自浙江
本帖最后由 一朵奇葩花ル 于 2014-11-21 15:48 編輯

不知同學們有沒有一個習慣,就是把網(wǎng)上那些未知的APP應用放到沙盒里測試一遍,再放到天貓魔盒或其他者設備里使用。

       有些APK應用里被植入了一種已知遠程木馬代碼,在利用沙盒給其的行為經(jīng)驗記錄后。(目前最新版的設備基本上都已經(jīng)升級修復了,除非一些沒升級的設備會在你沒有ROOT的情況下 得到最高權(quán)限)  

       遠程木馬代碼,在利用沙盒對其的行為經(jīng)驗記錄后。得出以下行為結(jié)論:

       讓設備成為其肉雞,任意遠程控制提取信息。

       獲取聯(lián)系人信息              對有通訊功能的設備有效
       獲取通話信息                  對有通訊功能的設備有效
       獲取短信信息                  對有通訊功能的設備有效
       GPS/網(wǎng)絡定位                 對有通訊功能的設備有效
       實時監(jiān)控接收短信息        對有通訊功能的設備有效
       實時獲取設備狀態(tài)            對有通訊功能的設備有效
       拍照                                 對有拍照功能的設備有效
       制造播放音頻                   當設置處于開機或者待機狀態(tài)時候,半夜突然播放一段恐怖音頻,尿了吧
       攝像頭實時監(jiān)控               對帶有攝像頭功能的設備有效
       發(fā)短信                             對有通訊功能的設備有效
       自動撥號                         對有通訊功能的設備有效
       自動下載應用程序          對有功能的設備有效
       設備震動號                     對有功能的設備有效

下面就教大家一種通用的木馬通訊檢測方法:

抓取網(wǎng)絡通訊數(shù)據(jù)包
1、在win系統(tǒng)上打開ADVsock2pipe。命令行
ADVsock2pipe.exe -pipe=wireshark -port 9000
2、在win系統(tǒng)上打開wireshark嗅探軟件,找到caption-Options設置
Capture | Options, Interface: Local, \\.\pipe\wireshark
3、adb shell
# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.113 9000
-w:指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存
-nn:指定將每個監(jiān)聽到的數(shù)據(jù)包中的域名轉(zhuǎn)換成IP、端口從應用名稱轉(zhuǎn)換成端口號后顯示
-s:指定要監(jiān)聽數(shù)據(jù)包的長度
本機本地IP:192.168.1.113
活動端口:9000 然后在wireshark中可以看到監(jiān)控數(shù)據(jù)不停的跳動記錄。
通過以上大家應該知道怎么找到可疑連接的IP地址和端口了。然后就是過濾可疑連接的IP地址和端口。
過濾語法是:ip.dst ==可疑IP
and tcp.dstport ==端口 ==可疑IP and tcp.dstport ==端口
這個語法過濾出可疑信息,在上面鼠標右鍵,選擇follow TCPstream

tx有可能是加密的,需要解密才可以看到。
如何檢測天貓魔盒是否安裝了木馬偽裝后的應用

案例截圖:
如何檢測天貓魔盒是否安裝了木馬偽裝后的應用
科普知識:

Android應用基礎

       Android是google開發(fā)基于Linux內(nèi)核的開源的手機操作系統(tǒng),應用程序使用JAVA語言編寫并轉(zhuǎn)換成了Dalvik虛擬機,而虛擬機則提供了一個抽象的真實硬件,只要和操作系統(tǒng)的API符合程序都可以在其上運行。應用則需要Linux的用戶和組來執(zhí)行,所以目前所有的惡意軟件都需要獲得權(quán)限。

         Android應用的格式是APK,是一種包含AndroidManifest.xml的 ZIP文件,媒體類文件實際代碼是classes.dex和一些其他的可選文件。XML提供Android系統(tǒng)的重要信息,比如用啟動應用程序時需要什么權(quán)限,只有這個文件中列出的權(quán)限才提供給該應用,否則返回失敗或空結(jié)果。classes.dex是Android應用程序?qū)崿F(xiàn)的邏輯部分,是一個編譯代碼可由Dalvik虛擬機執(zhí)行,打包成jar,從而節(jié)約移動設備上的一些空間。

分析工具有很多可以百度獲取:

1、Dexter

      Dexter可以將Android應用上傳做分析,提供了包和應用元數(shù)據(jù)的介紹。包的依賴關系圖顯示了所有包的關系,可以快速打開列表顯示所有的class和功能。

2、Anubis
     Anubis也是一個WEB服務,應用在沙箱里運行,每個樣品相互獨立,來分析文件和網(wǎng)絡的活動。同時也提供一些靜態(tài)分析,包括權(quán)限XML在調(diào)用過程中的變化。

3、APKInspector
    Apkinspector提供了很多工具,APK加載后可以選擇標簽來執(zhí)行其中的功能,帶有一個Java反編譯器JAD,能夠反編譯大多數(shù)類,但經(jīng)常報錯。

4、Dex2Jar
     可將dex 文件轉(zhuǎn)成 Java 類文件的工具,即使你是經(jīng)驗豐富的逆向工程師,也可以考慮使用。


上一篇:解決天貓盒子ac3 dts 無聲小方法
下一篇:在1S增強版怎樣安裝xbmc?因為現(xiàn)在系統(tǒng)2.1.0,用不用ROOT?
沙發(fā)
發(fā)表于 2014-11-21 16:02 | 只看該作者 | 來自浙江
看看好不好
回復 支持 反對

使用道具 舉報

板凳
發(fā)表于 2014-11-21 16:10 | 只看該作者 | 來自北京
感謝分享,ZNDS有你更精彩:)
回復 支持 反對

使用道具 舉報

地板
發(fā)表于 2014-11-21 16:42 | 只看該作者 | 來自江蘇
雖不明,但覺厲!
回復 支持 反對

使用道具 舉報

5#
發(fā)表于 2014-11-21 18:55 | 只看該作者 | 來自天津
精華內(nèi)容,樓主V5!
回復 支持 反對

使用道具 舉報

6#
發(fā)表于 2014-11-21 19:26 | 只看該作者 | 來自重慶
木馬通訊檢測
回復 支持 反對

使用道具 舉報

7#
發(fā)表于 2014-11-21 19:27 | 只看該作者 | 來自重慶
木馬通訊檢測
回復 支持 反對

使用道具 舉報

8#
發(fā)表于 2014-11-21 19:27 | 只看該作者 | 來自重慶
木馬通訊檢測
回復 支持 反對

使用道具 舉報

9#
發(fā)表于 2014-11-21 20:12 | 只看該作者 | 來自山東
感謝分享,ZNDS有你更精彩:)
回復 支持 反對

使用道具 舉報

10#
發(fā)表于 2014-11-21 20:35 | 只看該作者 | 來自上海
感謝分享,ZNDS有你更精彩:)
回復 支持 反對

使用道具 舉報

您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規(guī)則

Archiver|新帖|標簽|軟件|Sitemap|ZNDS智能電視網(wǎng) ( 蘇ICP備2023012627號 )

網(wǎng)絡信息服務信用承諾書 | 增值電信業(yè)務經(jīng)營許可證:蘇B2-20221768 丨 蘇公網(wǎng)安備 32011402011373號

GMT+8, 2024-11-17 14:52 , Processed in 0.072391 second(s), 13 queries , Redis On.

Powered by Discuz!

監(jiān)督舉報:report#znds.com (請將#替換為@)

© 2007-2024 ZNDS.Com

快速回復 返回頂部 返回列表