ZNDS智能電視網 推薦當貝市場

TV應用下載 / 資源分享區(qū)

軟件下載 | 游戲 | 討論 | 電視計算器

綜合交流 / 評測 / 活動區(qū)

交流區(qū) | 測硬件 | 網站活動 | Z幣中心

新手入門 / 進階 / 社區(qū)互助

新手 | 你問我答 | 免費刷機救磚 | ROM固件

查看: 33354|回復: 30
上一主題 下一主題
[教程]

如何檢測天貓魔盒是否安裝了木馬偽裝后的應用

  [復制鏈接]
跳轉到指定樓層
樓主
發(fā)表于 2014-11-21 15:38 | 只看該作者 |只看大圖 回帖獎勵 |倒序瀏覽 |閱讀模式 | 來自浙江
本帖最后由 一朵奇葩花ル 于 2014-11-21 15:48 編輯

不知同學們有沒有一個習慣,就是把網上那些未知的APP應用放到沙盒里測試一遍,再放到天貓魔盒或其他者設備里使用。

       有些APK應用里被植入了一種已知遠程木馬代碼,在利用沙盒給其的行為經驗記錄后。(目前最新版的設備基本上都已經升級修復了,除非一些沒升級的設備會在你沒有ROOT的情況下 得到最高權限)  

       遠程木馬代碼,在利用沙盒對其的行為經驗記錄后。得出以下行為結論:

       讓設備成為其肉雞,任意遠程控制提取信息。

       獲取聯系人信息              對有通訊功能的設備有效
       獲取通話信息                  對有通訊功能的設備有效
       獲取短信信息                  對有通訊功能的設備有效
       GPS/網絡定位                 對有通訊功能的設備有效
       實時監(jiān)控接收短信息        對有通訊功能的設備有效
       實時獲取設備狀態(tài)            對有通訊功能的設備有效
       拍照                                 對有拍照功能的設備有效
       制造播放音頻                   當設置處于開機或者待機狀態(tài)時候,半夜突然播放一段恐怖音頻,尿了吧
       攝像頭實時監(jiān)控               對帶有攝像頭功能的設備有效
       發(fā)短信                             對有通訊功能的設備有效
       自動撥號                         對有通訊功能的設備有效
       自動下載應用程序          對有功能的設備有效
       設備震動號                     對有功能的設備有效

下面就教大家一種通用的木馬通訊檢測方法:

抓取網絡通訊數據包
1、在win系統上打開ADVsock2pipe。命令行
ADVsock2pipe.exe -pipe=wireshark -port 9000
2、在win系統上打開wireshark嗅探軟件,找到caption-Options設置
Capture | Options, Interface: Local, \\.\pipe\wireshark
3、adb shell
# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.113 9000
-w:指定將監(jiān)聽到的數據包寫入文件中保存
-nn:指定將每個監(jiān)聽到的數據包中的域名轉換成IP、端口從應用名稱轉換成端口號后顯示
-s:指定要監(jiān)聽數據包的長度
本機本地IP:192.168.1.113
活動端口:9000 然后在wireshark中可以看到監(jiān)控數據不停的跳動記錄。
通過以上大家應該知道怎么找到可疑連接的IP地址和端口了。然后就是過濾可疑連接的IP地址和端口。
過濾語法是:ip.dst ==可疑IP
and tcp.dstport ==端口 ==可疑IP and tcp.dstport ==端口
這個語法過濾出可疑信息,在上面鼠標右鍵,選擇follow TCPstream

tx有可能是加密的,需要解密才可以看到。
如何檢測天貓魔盒是否安裝了木馬偽裝后的應用

案例截圖:
如何檢測天貓魔盒是否安裝了木馬偽裝后的應用
科普知識:

Android應用基礎

       Android是google開發(fā)基于Linux內核的開源的手機操作系統,應用程序使用JAVA語言編寫并轉換成了Dalvik虛擬機,而虛擬機則提供了一個抽象的真實硬件,只要和操作系統的API符合程序都可以在其上運行。應用則需要Linux的用戶和組來執(zhí)行,所以目前所有的惡意軟件都需要獲得權限。

         Android應用的格式是APK,是一種包含AndroidManifest.xml的 ZIP文件,媒體類文件實際代碼是classes.dex和一些其他的可選文件。XML提供Android系統的重要信息,比如用啟動應用程序時需要什么權限,只有這個文件中列出的權限才提供給該應用,否則返回失敗或空結果。classes.dex是Android應用程序實現的邏輯部分,是一個編譯代碼可由Dalvik虛擬機執(zhí)行,打包成jar,從而節(jié)約移動設備上的一些空間。

分析工具有很多可以百度獲?。?br />
1、Dexter

      Dexter可以將Android應用上傳做分析,提供了包和應用元數據的介紹。包的依賴關系圖顯示了所有包的關系,可以快速打開列表顯示所有的class和功能。

2、Anubis
     Anubis也是一個WEB服務,應用在沙箱里運行,每個樣品相互獨立,來分析文件和網絡的活動。同時也提供一些靜態(tài)分析,包括權限XML在調用過程中的變化。

3、APKInspector
    Apkinspector提供了很多工具,APK加載后可以選擇標簽來執(zhí)行其中的功能,帶有一個Java反編譯器JAD,能夠反編譯大多數類,但經常報錯。

4、Dex2Jar
     可將dex 文件轉成 Java 類文件的工具,即使你是經驗豐富的逆向工程師,也可以考慮使用。


上一篇:解決天貓盒子ac3 dts 無聲小方法
下一篇:在1S增強版怎樣安裝xbmc?因為現在系統2.1.0,用不用ROOT?
沙發(fā)
發(fā)表于 2014-11-21 16:02 | 只看該作者 | 來自浙江
看看好不好
回復 支持 反對

使用道具 舉報

板凳
發(fā)表于 2014-11-21 16:10 | 只看該作者 | 來自北京
感謝分享,ZNDS有你更精彩:)
回復 支持 反對

使用道具 舉報

地板
發(fā)表于 2014-11-21 16:42 | 只看該作者 | 來自江蘇
雖不明,但覺厲!
回復 支持 反對

使用道具 舉報

5#
發(fā)表于 2014-11-21 18:55 | 只看該作者 | 來自天津
精華內容,樓主V5!
回復 支持 反對

使用道具 舉報

6#
發(fā)表于 2014-11-21 19:26 | 只看該作者 | 來自重慶
木馬通訊檢測
回復 支持 反對

使用道具 舉報

7#
發(fā)表于 2014-11-21 19:27 | 只看該作者 | 來自重慶
木馬通訊檢測
回復 支持 反對

使用道具 舉報

8#
發(fā)表于 2014-11-21 19:27 | 只看該作者 | 來自重慶
木馬通訊檢測
回復 支持 反對

使用道具 舉報

9#
發(fā)表于 2014-11-21 20:12 | 只看該作者 | 來自山東
感謝分享,ZNDS有你更精彩:)
回復 支持 反對

使用道具 舉報

10#
發(fā)表于 2014-11-21 20:35 | 只看該作者 | 來自上海
感謝分享,ZNDS有你更精彩:)
回復 支持 反對

使用道具 舉報

您需要登錄后才可以回帖 登錄 | 立即注冊

本版積分規(guī)則

Archiver|新帖|標簽|軟件|Sitemap|ZNDS智能電視網 ( 蘇ICP備2023012627號 )

網絡信息服務信用承諾書 | 增值電信業(yè)務經營許可證:蘇B2-20221768 丨 蘇公網安備 32011402011373號

GMT+8, 2024-10-27 23:27 , Processed in 0.072298 second(s), 14 queries , Redis On.

Powered by Discuz!

監(jiān)督舉報:report#znds.com (請將#替換為@)

© 2007-2024 ZNDS.Com

快速回復 返回頂部 返回列表