Android手机木马手工查杀
华域联盟
登陆 / 注册 搜索

USERCENTER

SEARCHSITE

搜索

查看: 1974|回复: 40

Android手机木马手工查杀

  [复制链接]
发表于 2015-6-2 16:03:14 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册 新浪微博登陆

x

  L$ [) G+ ]. R4 b& S: k. e; d. Q

本人关注移动网络安全将近3年了,写这篇文章主要是想科普下手机木马查杀相关的一些技术,最近在网上看了腾讯移动安全实验室安全快讯和360手机卫士安全播报,感觉移动终端的安全性一年比一年严峻。本人这些年主要是做网络攻防,近几年由原来的PC端转向移动互联终端。在APT攻击方面研究的同时也研究防御方面的技术

下面就分享下最近的一些研究成果。

这篇文章主要是浅谈,所以会从简单方面开始讲起。

关于手机木马查杀,有些人会说安装手机杀毒软件不就解决了吗? 其实不然。因为手机和PC不一样,手机反木马技术没有PC端那么强。

就算你把目前市面上的所有手机杀毒软件都安装到手机里,也不一定查杀出来。

下面就开始正式讲解手工查杀的方法。

第一种方法:用Android Debug Bridge(简称adb)调试工具补助查杀,

首先打开android手机的调试模式,然后到网上下载adb.exe,AdbWinApi.dll,AdbWinUsbApi.dll这三个文件,放在电脑磁盘任意目录下,用数据线把手机连上电脑。然后通过命令提示符用pushd或者cd命令跳转到刚才那三个文件所在目录。执行adb8 S) C9 P! F6 n) o" _
shell命令连入手机shell终端。之后相当于在linux下的shell一样操作了。如果你是搞android开发的,安装eclipse和android SDK后就不用去下载刚才那三个文件了,在sdkplatform-tools这个目录下就有。重点是后面,通过执行netstat命令查看当前网络连接(不需要root权限)。如下图:

20137180113007085.png


. n1 y6 t! I4 y/ m

能看到网络连接信息,但是却不能看到进程pid以及进程对应的包名。这样想要找到恶意程序或木马程序是很困难的。

下面介绍两个很有用的命令:

cat /proc/net/tcp (不需要root权限) cat /proc/net/tcp6 (不需要root权限)

/proc/net/tcp文件,这里记录的是ipv4下所有tcp连接的情况

/proc/net/tcp6文件,这里记录的是ipv6下所有tcp连接的情况

执行cat0 D6 K, U( K& W: f" p; l$ m
/proc/net/tcp6命令后返回的记录格式如下:

local_address                         remote_address                        st tx_queue rx_queue tr tm->when retrnsmt   uid  timeout inode 0000000000000000FFFF00006801A8C0:8018 0000000000000000FFFF00007095FB3A:0050 08 00000000:00000001 00:00000000 00000000 10136        0 15335 1 d50216a0 37 4 6 5 -1

最主要的,就是local_address本地地址:端口、remote_address远程地址:端口、st连接状态,这里重点看下uid信息,下面会用到。截图如下:

20137181096156125.png

- w& v# L5 C/ q

注1:返回的IP地址端口和状态码都是用的16进制,比如HTTP的80端口记录为0050。 注2:状态码对应如下

00  "ERROR_STATUS",

01  "TCP_ESTABLISHED",

02  "TCP_SYN_SENT",

03  "TCP_SYN_RECV",

04  "TCP_FIN_WAIT1",

05  "TCP_FIN_WAIT2",

06  "TCP_TIME_WAIT",

07  "TCP_CLOSE",

08  "TCP_CLOSE_WAIT",

09  "TCP_LAST_ACK",

0A  "TCP_LISTEN",

! b! \$ |3 u  z

0B  "TCP_CLOSING", 下面以腾讯手机管家为例,通过执行dumpsys

activity|grep “10136″命令来查找uid

10136对应的Pid和应用程序包名,如下图:(注:10136是打开腾讯手机管家后重新执行cat

/proc/net/tcp6命令获得的。)

20137188418014250.png

+ K! L% e/ c- t! R& [

看下包名com.tencent.QQpimsecure是不是腾讯手机管家,在手机的设置->应用程序->正在运行的服务中查找(这里以android

2.3.7为例),如下图:

20137181079592768.jpg

" v6 ~# `" Z: d- n$ A' s. D' k

由上面的执行结果找到腾讯手机管家访问的IP地址和端口是: 7095FB3A:0050  (原格式是:

0000000000000000FFFF00007095FB3A:0050把前面的0000000000000000FFFF0000这段删掉.) 转换成十进制就是: 58.251.149.112:80 和执行netstat命令获取的IP地址是一样的,如下图:

20137182484126306.png


" O& h, r; h4 u: d

这里整理下思路:通过执行cat

/proc/net/tcp6或cat /proc/net/tcp找到联网程序的uid

,然后 通过uid找到对应的应用程序pid和包名,最后判断应用是不是可疑,如果可疑就卸载掉。 如上面的腾讯手机管理是不可疑的,所以接着查找下一个,依次类推,直到找到恶意程序或木马程序为止。在查找过程中不要人为打开联网应用程序(如UC浏览器,QQ浏览器等等。),这样会增加手工查杀的难度。而且恶意程序或病毒程序是开机自动打开的,当然也有少部分是随着其他应用启动之后才触发的。 如果想获取应用对应的安装路径等详细信息,可以执行下面的命令获得。

adb shell dumpsys meminfo $package_name or $pid    //使用程序的包名或者进程id 当然在这里还得详细说明下,刚才通过可疑网络联接找到对应的应用程序包名,然后怎么判断程序是否可疑呢?因为很多程序都要联网的,大家可以这样做,找到包名后,可以到设置->应用程序->管理应用程序,在列表里找到对应的应用,然后点击进去查看应用的权限列表。 通过权限就能判断应用的可疑性了。下面截一张图,大家可以参考下。

20137180803487947.jpg

第二种方法:通过耗电统计,找到耗电比较高的应用,然后查看应用的权限列表,进而判断程序是否可疑,这种方法比较简单,我就不详细介绍了。 第三种方法:通过查看logcat日志找到可疑应用程序。我不推荐用adb shell logcat来查看,因为里面的信息太多,而且查到可疑日志不方面。这里推荐大家安装一款第三方应用,叫做系统系统。打开系统信息这款应用,在基本信息下面点击查看日志,这时弹出选择对话框,选择logcat选项点击进去就可以查看logcat日志了。如下面:

20137182948116379.png

0 f, E) u& F9 r0 l/ V0 F

里面可以找到应用的服务名,以及对应的进程ID。这里特别是注意红色部分的警告信息。 大多数手机木马都会请求网络连接,在请求的同时会抛出异常,因为木马客户端并不是实时处于监听状态,这时服务端反弹连接会抛出异常。通过异常信息就能找到木马程序的进程ID

,进而找到程序的安装路径,并卸载掉。 如果想获取应用对应的安装路径等详细信息,可以执行下面的命令获得。

adb shell dumpsys meminfo $package_name or $pid    //使用程序的包名或者进程id 第四种方法:通过抓取网络通讯数据包分析手机应用到底做了什么。前面的三种方法并不能100%的判断某个应用是否是恶意程序或者木马。 所以第四种方法来了。第四种方法是最复杂的,并不适合所有人,只适合手机安全发骚友。 抓取手机网络通讯数据包分三步走: 第一步:在PC上运行ADVsock2pipe,输入如下命令

ADVsock2pipe.exe -pipe=wireshark -port 9000   第二步:在PC上运行wireshark,设置caption-Options

Capture | Options, Interface: Local, \.pipewireshark 第三步:adb shell

# tcpdump -nn -w - -U -s 0 "not port 9000" | nc 192.168.1.101 9000

-w:指定将监听到的数据包写入文件中保存

-nn:指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示

-s:指定要监听数据包的长度 192.168.1.101 这个IP地址是你本机的IP。 至于这个9000端口可以随便改,只要不被系统占用就可以。 还有一个重要前提条件是手机需要root权限。   之后在wireshark上面就可以看到通讯数据在不停的增加了。 通过上面的第一种手工查杀方法,大家应该知道怎么找到可疑连接的IP地址和端口了。 然后就是过滤可疑连接的IP地址和端口。 过滤语法是:ip.dst ==可疑IP

and tcp.dstport ==端口   这里跟大家介绍一种和第三种方法达到异曲同工之妙的语法。 tcp.flags.syn == 0×02    显示包含TCP

SYN标志的封包。 TCP网络连接要完成三次握手,这个地球人都知道的,是吧。   过滤出TCP SYN标志的封包后,在wireshark上面就能找到可疑连接的IP地址了。 结合第一种方法就能找到可疑IP地址对应的应用程序ID和包名。然后就是查看权限列表进一步判断,之后就是选择是否卸载应用了。   最后再来回答上面提到的抓包分析手机应用到底做了什么的问题。    方法很简单,刚才用ip.dst

==可疑IP and tcp.dstport ==端口 这个语法过滤出可疑信息,在上面鼠标右键,选择follow

TCP stream 就可以跟踪指定TCP流的包。如下图:

' Z$ R! k/ t5 X, }1 l; j

20137187165132370.jpg

数据包是加密的。怎么去解密就留给大家做课后练习了。   最后再来补充说明下手机安全软件为什么查杀不了,非得要手工查杀不可呢? 看下下面的分析就知道原因了。 假设你的手机不小心被植入了一款手机木马程序。这个时候你安装了一款手机安全软件,比如腾讯手机管家,360手机卫士,LBE安全大师,金山手机卫士等等等。 然后你每天更新手机杀软病毒库并扫描。可是呢?每次的结果都是您的手机很安全,可以放心使用。如下图:

20137188103666898.jpg

0 W  k0 ]/ R* ?  L% S" A/ l

所以杀软都是最新版本最病毒库。

通过几款安全软件的扫描查杀并没有找到真正的木马程序。而通过刚才的四种手工查杀,真正的手机木马其实已经不难找到了。

最后的最后让大家欣赏下这款手机远控的庐山真面目:

20137184770341887.png

0 ~1 h9 a: z* k" _; u8 p7 l" a

0 m  \; I7 \) J# x6 Q# z5 L

我在这里不是黄婆卖瓜自卖自夸。只是想让所有人提高安全意识,现在的安全形势有多严峻,不言而喻。 我们通过上面的分析还可以得出一个结论:

就是市面上的主流手机安全软件并不靠谱,全中国还有多少手机木马,什么杜蕾斯手机远控,爵士帮手机远控,都还没有浮出水面,是吧?元芳,你怎么看?


7 J% w1 ?/ a+ d
文章来源:华域联盟

 

                                                  




上一篇:HTML5 表单属性
下一篇:2015年6月3日签到记录帖

帖子的最近访客

回复 百度谷歌雅虎搜狗搜搜有道360奇虎 天涯海角搜一下: 百度 谷歌 360 搜狗 搜搜 有道 谷粉 雅虎 必应 即刻

使用道具 举报

发表于 2016-7-1 19:18:20 | 显示全部楼层
沙发,板凳都没偶的份了。' ^3 Q. a% ]$ R8 H* T

3 L% @& ]! E: o5 h  G! {: R4 k: c% ]2 q! O3 q

" Z" }8 Q5 N8 F( s" G
  v0 y8 h( V9 E0 t. H& s. j3 \- v1 u
* h: T. j. M4 Y+ ^; T

8 e3 E$ `9 B0 z& y. w
, ?- P4 I5 B/ b4 O, y8 z3 b+ z  X/ o! j* o

% X+ g" o# x  N# ]8 R/ T
* a: r! N4 r* {5 I( X
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="static/image/common/sigline.gif" border="0" alt="" />
( R/ ~; Y5 h0 G                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
, A: F$ h$ o0 Q& a3 i, s
  U7 A# e, a9 [% K5 }( ?
http://www.zzsyahz.com/forum.php?mod=viewthread&tid=60965
; o: }/ ?' }# d4 _8 }* }8 g' {http://www.1mpc.cn/forum.php?mod=viewthread&tid=140346" f3 h6 K- _4 Y3 u# p, Z, {* h
http://yysnet.org/read.php?tid=2366664&fid=2/ Q6 G$ J- V' m3 c) F5 k, _
http://rxjav6df.host.iisz.cn/forum.php?mod=viewthread&tid=8425773 y$ K6 E/ A# w9 Q8 `9 o3 S
http://zylove.cc/forum.php?mod=viewthread&tid=1107792: a% u  r# ^/ E& z" A$ V+ F
http://www.ybqpx.cn/forum.php?mod=viewthread&tid=158021
# [  w: K6 O8 D3 z* N+ b4 `; bhttp://www.mrlt8.cn/forum.php?mod=viewthread&tid=311892 i& e& N% M% }# v
http://gm980.com/forum.php?mod=viewthread&tid=127240
3 S2 V5 }. m! j0 z. }! x* @, d& Bhttp://xinlonglighting.com/forum.php?mod=viewthread&tid=6540114 [9 L1 j; R8 J+ m7 x% i! P2 m/ f
http://www.angel-kiss.cn/forum.php?mod=viewthread&tid=1381124 f! ?" k/ u& C$ H4 \+ o; l+ X
http://www.tongfengyisheng.com/forum.php?mod=viewthread&tid=93176+ p( F/ a5 z6 N5 ^' U/ l% Z
http://www.bjtzdb.com/forum.php?mod=viewthread&tid=47441
6 C" U+ g+ X; u0 M3 q3 n6 J, Khttp://www.y56.com/forum.php?mod=viewthread&tid=858089  V. c6 `1 \8 g1 T
http://www.idb100.com/forum.php?mod=viewthread&tid=102472' Y1 x2 u+ Y, }) `8 [
http://shaokaoliao.com/forum.php?mod=viewthread&tid=212728
! P9 D7 ]6 i" Vhttp://www.alendoo.com/forum.php?mod=viewthread&tid=37650
- N$ w- l) M- D$ O; dhttp://www.qzwifi.net/forum.php?mod=viewthread&tid=101484
0 m8 [9 B, a7 |  m" |) w8 r! Rhttp://axx121.aixiaona.com/forum.php?mod=viewthread&tid=102699( E. n+ j# }, I* j, b- r. m
http://xzxys.53baijiuw.cn/forum.php?mod=viewthread&tid=1151057 g' d1 w) Z5 [) ?* h3 N" Y8 S
http://www.lesiku.com/forum.php?mod=viewthread&tid=116055
2jo8cuu5re 该用户已被删除
发表于 2015-6-21 07:11:49 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
0um18xj0xq 该用户已被删除
发表于 2015-6-22 15:07:00 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
棣枝广 该用户已被删除
发表于 2016-6-25 11:59:50 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
汎阿青 该用户已被删除
发表于 2016-6-26 04:38:33 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2016-6-26 04:41:12 | 显示全部楼层
说的不错!9 r; x, m, X3 {

( d1 o& f+ O! B
. _8 p3 _6 J- n3 w+ D7 R* P
5 _. r! q- v  M$ ~# T6 A0 Q5 B0 T; ?' R0 V' _9 j9 M6 W4 V
0 {) l2 Z  E  i2 s5 `  @( g8 B

$ m. C" }- ?2 m1 g3 H5 d! o% w8 N% q5 P! ~

6 a  O% }; z" K4 B6 o5 g! F
) R3 q+ y5 O9 _. Y. X8 T, B" n* u7 U" X- v

# G$ @* p, w% y6 j" {, M7 t# {- ]
php?mod=logging&action=login'+'&referer='+encodeURIComponent(location))" src="static/image/common/sigline.gif" border="0" alt="" />& f7 P- E3 U1 k. C; ~! n3 o6 w
                               
php?mod=logging&action=login" onclick="showWindow('login', this.href+'&referer='+encodeURIComponent(location));">登录/注册后可看大图
+ ]3 ?5 {: Y' Z
白癜风的初期症状图7 W3 b/ A% ^+ u( c( ~2 P# g
白癜风怎样治疗最快
. |1 T! ^& ?. P1 a! C. y! @9 w治疗白癜风医院哪个好
! o( B- j/ P- w- q  _2 n白癜风那家治疗好6 u) q9 l/ A9 l. G) d+ u, z
白癜风怎么查病因
) n+ P. `; S) W' Z8 _外伤引起的白癜风
2 l2 V: n. [4 i) z4 J癫痫病发作症状! {9 }/ [" d# l( M; r
铁血女兵$ q+ k/ x* C4 ^. |& l0 Y
小儿癫痫的症状! e) `5 k; T0 }# w& A
无敌神武: q. V& L- U3 M3 u
羊癫疯发病的症状
) t6 P4 H- H$ [( Q. ]0 z; R, \吾家蛇女初养成) Q% A! J- i3 q1 U- |! v% S& Z5 o8 |
癫痫病到哪里治5 W+ i. p0 w- u) Z
用伍德灯检查不排除有白癜风$ d7 s9 _# d. y4 j
激光治疗白癜风的优点
1 l- h9 W6 C7 H5 j! p女性白癜风什么偏方8 q1 c( l% {/ b4 T0 Y8 J5 j- D
红氧治疗白癜风7 d# s. J0 o8 J0 U' ?$ o: |
外伤性癫痫能治愈吗
  f( i+ F9 M3 @. T: Z有什么土方法治疗白癜风7 i/ X* e0 ^- O0 U/ u
羊角风的医院
珍妨莲 该用户已被删除
发表于 2016-6-26 07:25:42 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
潮务点 该用户已被删除
发表于 2016-6-26 07:35:28 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
广翠宪 该用户已被删除
发表于 2016-6-26 08:41:46 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
登洲远 该用户已被删除
发表于 2016-6-27 03:34:04 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽

GMT+8, 2017-9-22 21:41 , Processed in 0.265625 second(s), 56 queries .

© 2020 华域联盟 | 蒙公网安备 15062202000105号 版权删帖举报人口

备案号: 蒙ICP备17000689号-2                                                                                                                                                                    

快速回复 返回列表