浅谈Android手机木马手工查杀 - FreeBuf互联网安全新媒体平台 | 关注黑客与极客
浅谈Android手机木马手工查杀
共607113人围观
，发现 39 个不明物体
浅谈android手机木马手工查杀
作者:南拳Daddy
版权所有，转载请注明作者以及来源FreebuF.COM，违者必究。&
本人关注移动网络安全将近3年了，写这篇文章主要是想科普下手机木马查杀相关的一些技术，最近在网上看了和，感觉移动终端的安全性一年比一年严峻。本人这些年主要是做网络攻防，近几年由原来的PC端转向移动互联终端。在APT攻击方面研究的同时也研究防御方面的技术。
下面就分享下最近的一些研究成果。&
这篇文章主要是浅谈,所以会从简单方面开始讲起。
关于手机木马查杀,有些人会说安装手机杀毒软件不就解决了吗? 其实不然。因为手机和PC不一样,手机反木马技术没有PC端那么强。
就算你把目前市面上的所有手机杀毒软件都安装到手机里，也不一定查杀出来。
下面就开始正式讲解手工查杀的方法。
第一种方法：用Android Debug Bridge(简称adb)调试工具补助查杀,
首先打开android手机的调试模式,然后到网上下载adb.exe,AdbWinApi.dll,AdbWinUsbApi.dll这三个文件,放在电脑磁盘任意目录下,用数据线把手机连上电脑。然后通过命令提示符用pushd或者cd命令跳转到刚才那三个文件所在目录。执行adb
shell命令连入手机shell终端。之后相当于在linux下的shell一样操作了。如果你是搞android开发的,安装eclipse和android SDK后就不用去下载刚才那三个文件了,在sdk\platform-tools这个目录下就有。重点是后面,通过执行netstat命令查看当前网络连接(不需要root权限)。如下图：
能看到网络连接信息,但是却不能看到进程pid以及进程对应的包名。这样想要找到恶意程序或木马程序是很困难的。
下面介绍两个很有用的命令：
cat&/proc/net/tcp&&(不需要root权限)
cat&/proc/net/tcp6&&(不需要root权限)
/proc/net/tcp文件，这里记录的是ipv4下所有tcp连接的情况
/proc/net/tcp6文件，这里记录的是ipv6下所有tcp连接的情况
/proc/net/tcp6命令后返回的记录格式如下：
local_address&&&&&&&&&&&&&&&&&&&&&&&&&remote_address&&&&&&&&&&&&&&&&&&&&&&&&st&tx_queue&rx_queue&tr&tm-&when&retrnsmt&&&uid&&timeout&inode
0000FFFFC0:FFFFA:01&00:&&&&&&&&0&216a0&37&4&6&5&-1
最主要的，就是local_address本地地址:端口、remote_address远程地址:端口、st连接状态,这里重点看下uid信息,下面会用到。截图如下:
注1：返回的IP地址端口和状态码都是用的16进制，比如HTTP的80端口记录为0050。
注2：状态码对应如下
00&&&ERROR_STATUS&,
01&&&TCP_ESTABLISHED&,
02&&&TCP_SYN_SENT&,
03&&&TCP_SYN_RECV&,
04&&&TCP_FIN_WAIT1&,
05&&&TCP_FIN_WAIT2&,
06&&&TCP_TIME_WAIT&,
07&&&TCP_CLOSE&,
08&&&TCP_CLOSE_WAIT&,
09&&&TCP_LAST_ACK&,
0A&&&TCP_LISTEN&,
0B&&&TCP_CLOSING&,
下面以腾讯手机管家为例,通过执行dumpsys
activity|grep &10136&命令来查找uid
10136对应的Pid和应用程序包名,如下图:(注:10136是打开腾讯手机管家后重新执行cat
/proc/net/tcp6命令获得的。)
看下包名com.tencent.qqpimsecure是不是腾讯手机管家,在手机的设置-&应用程序-&正在运行的服务中查找(这里以android
2.3.7为例),如下图:
由上面的执行结果找到腾讯手机管家访问的IP地址和端口是：
50& (原格式是:
0000FFFFA:0050把前面的0000FFFF0000这段删掉.)
转换成十进制就是: 58.251.149.112:80
和执行netstat命令获取的IP地址是一样的,如下图：
这里整理下思路:通过执行cat
/proc/net/tcp6或cat /proc/net/tcp找到联网程序的uid
通过uid找到对应的应用程序pid和包名,最后判断应用是不是可疑,如果可疑就卸载掉。
如上面的腾讯手机管理是不可疑的,所以接着查找下一个,依次类推,直到找到恶意程序或木马程序为止。在查找过程中不要人为打开联网应用程序(如UC浏览器,QQ浏览器等等。),这样会增加手工查杀的难度。而且恶意程序或病毒程序是开机自动打开的,当然也有少部分是随着其他应用启动之后才触发的。
如果想获取应用对应的安装路径等详细信息,可以执行下面的命令获得。
adb&shell&dumpsys&meminfo&$package_name&or&$pid&&&&//使用程序的包名或者进程id
当然在这里还得详细说明下,刚才通过可疑网络联接找到对应的应用程序包名,然后怎么判断程序是否可疑呢?因为很多程序都要联网的,大家可以这样做,找到包名后,可以到设置-&应用程序-&管理应用程序,在列表里找到对应的应用,然后点击进去查看应用的权限列表。
通过权限就能判断应用的可疑性了。下面截一张图,大家可以参考下。
第二种方法:通过耗电统计,找到耗电比较高的应用,然后查看应用的权限列表,进而判断程序是否可疑,这种方法比较简单,我就不详细介绍了。
第三种方法：通过查看logcat日志找到可疑应用程序。我不推荐用adb shell logcat来查看,因为里面的信息太多,而且查到可疑日志不方面。这里推荐大家安装一款第三方应用,叫做系统系统。打开系统信息这款应用,在基本信息下面点击查看日志,这时弹出选择对话框,选择logcat选项点击进去就可以查看logcat日志了。如下面:
里面可以找到应用的服务名,以及对应的进程ID。这里特别是注意红色部分的警告信息。
大多数手机木马都会请求网络连接,在请求的同时会抛出异常,因为木马客户端并不是实时处于监听状态,这时服务端反弹连接会抛出异常。通过异常信息就能找到木马程序的进程ID
,进而找到程序的安装路径,并卸载掉。
如果想获取应用对应的安装路径等详细信息,可以执行下面的命令获得。
adb&shell&dumpsys&meminfo&$package_name&or&$pid&&&&//使用程序的包名或者进程id
第四种方法:通过抓取网络通讯数据包分析手机应用到底做了什么。前面的三种方法并不能100%的判断某个应用是否是恶意程序或者木马。
所以第四种方法来了。第四种方法是最复杂的,并不适合所有人,只适合手机安全发骚友。
抓取手机网络通讯数据包分三步走：
第一步：在PC上运行ADVsock2pipe，输入如下命令
ADVsock2pipe.exe&-pipe=wireshark&-port&9000
第二步：在PC上运行wireshark，设置caption-Options
Capture&|&Options,&Interface:&Local,&\\.\pipe\wireshark
第三步：adb shell
#&tcpdump&-nn&-w&-&-U&-s&0&&not&port&9000&&|&nc&192.168.1.101&9000
-w：指定将监听到的数据包写入文件中保存
-nn：指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示
-s：指定要监听数据包的长度
192.168.1.101&这个IP地址是你本机的IP。
至于这个9000端口可以随便改,只要不被系统占用就可以。
还有一个重要前提条件是手机需要root权限。
之后在wireshark上面就可以看到通讯数据在不停的增加了。
通过上面的第一种手工查杀方法,大家应该知道怎么找到可疑连接的IP地址和端口了。
然后就是过滤可疑连接的IP地址和端口。
过滤语法是：ip.dst ==可疑IP
and tcp.dstport ==端口
这里跟大家介绍一种和第三种方法达到异曲同工之妙的语法。
tcp.flags.syn == 0×02&&&&显示包含TCP
SYN标志的封包。
TCP网络连接要完成三次握手,这个地球人都知道的,是吧。
过滤出TCP SYN标志的封包后,在wireshark上面就能找到可疑连接的IP地址了。
结合第一种方法就能找到可疑IP地址对应的应用程序ID和包名。然后就是查看权限列表进一步判断,之后就是选择是否卸载应用了。
最后再来回答上面提到的抓包分析手机应用到底做了什么的问题。& &
方法很简单,刚才用ip.dst
==可疑IP and tcp.dstport ==端口
这个语法过滤出可疑信息,在上面鼠标右键,选择follow
TCP stream
就可以跟踪指定TCP流的包。如下图：
数据包是加密的。怎么去解密就留给大家做课后练习了。
最后再来补充说明下手机安全软件为什么查杀不了,非得要手工查杀不可呢?
看下下面的分析就知道原因了。
假设你的手机不小心被植入了一款手机木马程序。这个时候你安装了一款手机安全软件,比如腾讯手机管家,360手机卫士,LBE安全大师,金山手机卫士等等等。
然后你每天更新手机杀软病毒库并扫描。可是呢?每次的结果都是您的手机很安全,可以放心使用。如下图：
上面是腾讯手机管家截图 & & & & & & & & & & & & & & & & & & & & & & & &&上面是LBE安全大师截图
上面是金山手机卫士截图 & & & & & & & & & & & & & & & & & & & & & & & & &上面是金山手机卫士截图
所以杀软都是最新版本最新病毒库。
通过几款安全软件的扫描查杀并没有找到真正的木马程序。而通过刚才的四种手工查杀,真正的手机木马其实已经不难找到了。
最后的最后让大家欣赏下这款手机远控的庐山真面目：
我在这里不是黄婆卖瓜自卖自夸。只是想让所有人提高安全意识,现在的安全形势有多严峻,不言而喻。
我们通过上面的分析还可以得出一个结论:
就是市面上的主流手机安全软件并不靠谱，全中国还有多少手机木马，什么杜蕾斯手机远控，爵士帮手机远控，都还没有浮出水面，是吧？元芳,你怎么看？
必须您当前尚未登录。
必须（保密）
家里蹲大学,信息安全学院, 博士后在读...
关注我们 分享每日精选文章
可以给我们打个分吗？51CTO旗下网站
浅谈Android手机木马手工查杀
本人关注移动网络安全将近3年了，写这篇文章主要是想科普下手机木马查杀相关的一些技术，最近在网上看了腾讯移动安全实验室安全快讯和360手机卫士安全播报，感觉移动终端的安全性一年比一年严峻。本人这些年主要是做网络攻防，近几年由原来的PC端转向移动互联终端。在APT攻击方面研究的同时也研究防御方面的技术。
作者：南拳Daddy来源：FreebuF| 16:20
本人关注移动网络安全将近3年了，写这篇文章主要是想科普下手机木马查杀相关的一些技术，最近在网上看了腾讯移动安全实验室安全快讯和360手机卫士安全播报，感觉移动终端的安全性一年比一年严峻。本人这些年主要是做网络攻防，近几年由原来的PC端转向移动互联终端。在APT攻击方面研究的同时也研究防御方面的技术。
下面就分享下最近的一些研究成果。
这篇文章主要是浅谈,所以会从简单方面开始讲起。
关于手机木马查杀,有些人会说安装手机杀毒软件不就解决了吗? 其实不然。因为手机和PC不一样,手机反木马技术没有PC端那么强。
就算你把目前市面上的所有手机杀毒软件都安装到手机里，也不一定查杀出来。
下面就开始正式讲解手工查杀的方法。
第一种方法：用Android Debug Bridge(简称adb)调试工具补助查杀,
首先打开android手机的调试模式,然后到网上下载adb.exe,AdbWinApi.dll,AdbWinUsbApi.dll这三个文件,放在电脑磁盘任意目录下,用数据线把手机连上电脑。然后通过命令提示符用pushd或者cd命令跳转到刚才那三个文件所在目录。执行adb
shell命令连入手机shell终端。之后相当于在linux下的shell一样操作了。如果你是搞android开发的,安装eclipse和android SDK后就不用去下载刚才那三个文件了,在sdk\platform-tools这个目录下就有。重点是后面,通过执行netstat命令查看当前网络连接(不需要root权限)。如下图：
能看到网络连接信息,但是却不能看到进程pid以及进程对应的包名。这样想要找到恶意程序或木马程序是很困难的。
下面介绍两个很有用的命令：
cat /proc/net/tcp (不需要root权限)
cat /proc/net/tcp6 (不需要root权限)
/proc/net/tcp文件，这里记录的是ipv4下所有tcp连接的情况
/proc/net/tcp6文件，这里记录的是ipv6下所有tcp连接的情况
/proc/net/tcp6命令后返回的记录格式如下：
local_address remote_address st tx_queue rx_queue tr tm
-&when retrnsmt uid timeout inode
0000FFFFC0:8018
0000FFFFA:0050
35 1 d 4 6 5 -1
最主要的，就是local_address本地地址:端口、remote_address远程地址:端口、st连接状态,这里重点看下uid信息,下面会用到。截图如下:
注1：返回的IP地址端口和状态码都是用的16进制，比如HTTP的80端口记录为0050。
注2：状态码对应如下
&ERROR_STATUS&,
&TCP_ESTABLISHED&,
&TCP_SYN_SENT&,
&TCP_SYN_RECV&,
&TCP_FIN_WAIT1&,
&TCP_FIN_WAIT2&,
&TCP_TIME_WAIT&,
&TCP_CLOSE&,
&TCP_CLOSE_WAIT&,
&TCP_LAST_ACK&,
&TCP_LISTEN&,
&TCP_CLOSING&,
下面以腾讯手机管家为例,通过执行dumpsys
activity|grep &10136&P命令来查找uid
10136对应的Pid和应用程序包名,如下图:(注:10136是打开腾讯手机管家后重新执行cat/proc/net/tcp6命令获得的。)
看下包名com.tencent.qqpimsecure是不是腾讯手机管家,在手机的设置-&应用程序-&正在运行的服务中查找(这里以android
2.3.7为例),如下图:
由上面的执行结果找到腾讯手机管家访问的IP地址和端口是：
50 (原格式是:
0000FFFFA:0050把前面的0000FFFF0000这段删掉.)
转换成十进制就是: 58.251.149.112:80
和执行netstat命令获取的IP地址是一样的,如下图：
这里整理下思路:通过执行cat/proc/net/tcp6或cat /proc/net/tcp找到联网程序的uid,然后通过uid找到对应的应用程序pid和包名,最后判断应用是不是可疑,如果可疑就卸载掉。
如上面的腾讯手机管理是不可疑的,所以接着查找下一个,依次类推,直到找到恶意程序或木马程序为止。在查找过程中不要人为打开联网应用程序(如UC浏览器,QQ浏览器等等。),这样会增加手工查杀的难度。而且恶意程序或病毒程序是开机自动打开的,当然也有少部分是随着其他应用启动之后才触发的。
如果想获取应用对应的安装路径等详细信息,可以执行下面的命令获得。
adb shell dumpsys meminfo $package_name or $pid //使用程序的包名或者进程id
当然在这里还得详细说明下,刚才通过可疑网络联接找到对应的应用程序包名,然后怎么判断程序是否可疑呢?因为很多程序都要联网的,大家可以这样做,找到包名后,可以到设置-&应用程序-&管理应用程序,在列表里找到对应的应用,然后点击进去查看应用的权限列表。
通过权限就能判断应用的可疑性了。下面截一张图,大家可以参考下。
第二种方法:通过耗电统计,找到耗电比较高的应用,然后查看应用的权限列表,进而判断程序是否可疑,这种方法比较简单,我就不详细介绍了。
第三种方法：通过查看logcat日志找到可疑应用程序。我不推荐用adb shell logcat来查看,因为里面的信息太多,而且查到可疑日志不方面。这里推荐大家安装一款第三方应用,叫做系统系统。打开系统信息这款应用,在基本信息下面点击查看日志,这时弹出选择对话框,选择logcat选项点击进去就可以查看logcat日志了。如下面:
里面可以找到应用的服务名,以及对应的进程ID。这里特别是注意红色部分的警告信息。
大多数手机木马都会请求网络连接,在请求的同时会抛出异常,因为木马客户端并不是实时处于监听状态,这时服务端反弹连接会抛出异常。通过异常信息就能找到木马程序的进程ID,进而找到程序的安装路径,并卸载掉。
如果想获取应用对应的安装路径等详细信息,可以执行下面的命令获得。
adb shell dumpsys meminfo $package_name or $pid //使用程序的包名或者进程id
第四种方法:通过抓取网络通讯数据包分析手机应用到底做了什么。前面的三种方法并不能100%的判断某个应用是否是恶意程序或者木马。
所以第四种方法来了。第四种方法是最复杂的,并不适合所有人,只适合手机安全发骚友。
抓取手机网络通讯数据包分三步走：
第一步：在PC上运行ADVsock2pipe，输入如下命令
ADVsock2pipe.exe -pipe=wireshark -port 9000
第二步：在PC上运行wireshark，设置caption-Options
Capture | Options, Interface: Local, \\.\pipe\wireshark
第三步：adb shell
# tcpdump -nn -w - -U -s 0 &not port 9000& | nc 192.168.1.101 9000
-w：指定将监听到的数据包写入文件中保存-nn：指定将每个监听到的数据包中的域名转换成IP、端口从应用名称转换成端口号后显示-s：指定要监听数据包的长度
192.168.1.101 这个IP地址是你本机的IP。
至于这个9000端口可以随便改,只要不被系统占用就可以。
还有一个重要前提条件是手机需要root权限。
之后在wireshark上面就可以看到通讯数据在不停的增加了。
通过上面的第一种手工查杀方法,大家应该知道怎么找到可疑连接的IP地址和端口了。
然后就是过滤可疑连接的IP地址和端口。
过滤语法是：ip.dst ==可疑IP
and tcp.dstport ==端口
这里跟大家介绍一种和第三种方法达到异曲同工之妙的语法。
tcp.flags.syn == 0&02 显示包含TCP
SYN标志的封包。
TCP网络连接要完成三次握手,这个地球人都知道的,是吧。
过滤出TCP SYN标志的封包后,在wireshark上面就能找到可疑连接的IP地址了。
结合第一种方法就能找到可疑IP地址对应的应用程序ID和包名。然后就是查看权限列表进一步判断,之后就是选择是否卸载应用了。
最后再来回答上面提到的抓包分析手机应用到底做了什么的问题。
方法很简单,刚才用ip.dst
==可疑IP and tcp.dstport ==端口
这个语法过滤出可疑信息,在上面鼠标右键,选择follow
TCP stream
就可以跟踪指定TCP流的包。如下图：
数据包是加密的。怎么去解密就留给大家做课后练习了。
最后再来补充说明下手机安全软件为什么查杀不了,非得要手工查杀不可呢?
看下下面的分析就知道原因了。
假设你的手机不小心被植入了一款手机木马程序。这个时候你安装了一款手机安全软件,比如腾讯手机管家,360手机卫士,LBE安全大师,金山手机卫士等等等。
然后你每天更新手机杀软病毒库并扫描。可是呢?每次的结果都是您的手机很安全,可以放心使用。如下图：
所以杀软都是最新版本最新病毒库。
通过几款安全软件的扫描查杀并没有找到真正的木马程序。而通过刚才的四种手工查杀,真正的手机木马其实已经不难找到了。
最后的最后让大家欣赏下这款手机远控的庐山真面目：&
我在这里不是黄婆卖瓜自卖自夸。只是想让所有人提高安全意识,现在的安全形势有多严峻,不言而喻。
我们通过上面的分析还可以得出一个结论:
就是市面上的主流手机安全软件并不靠谱，全中国还有多少手机木马，什么杜蕾斯手机远控，爵士帮手机远控，都还没有浮出水面，是吧?元芳,你怎么看?【编辑推荐】【责任编辑： TEL：（010）】
大家都在看猜你喜欢
关注热点头条关注聚焦
24H热文一周话题本月最赞
讲师：411人学习过
讲师：3998人学习过
讲师：1579人学习过
精选博文论坛热帖下载排行
本书将介绍如何创建可交互的Web站点，包括从最简单的订单表单到复杂的安全电子商务站点。而且，读者还将了解如何使用开放源代码技术来实现...
订阅51CTO邮刊扫描或点击关注中金在线客服
下次自动登录
其它账号登录：
|||||||||||||||||||||
&&&&>> &正文
干掉耳机接口只是开始 这才是苹果的终极目标
作者：佚名&&&
中金在线微博
扫描二维码
中金在线微信
扫描或点击关注中金在线客服
　　今年，苹果公司似乎对接口这玩意表现得很激进，除了九月份发布的最新旗舰&&iPhone 7系列，取消了3.5mm的接口之外，在前几天发布的全新MacBook Pro，上面的磁电接口、SD卡槽、传统USB接口也统统不见了。而近日更有消息表示，苹果将会拿掉所有接口。500)this.width=500' align='center' hspace=10 vspace=10
rel='nofollow'/>&&&&早有消息称苹果下一步将会取消Lightning接口，并且最快将在iPhone 8上实现，其实这消息也并非空穴来风，但是问题来了，苹果这有做真的有价值吗？下面小编来给大家分析一下：
　　为了减少接口，苹果做了什么新的尝试？
　　除了iPhone&7系列干掉了3.5mm耳机口，音频从Lightning直出，耳机孔改为Lightning接口。而在前些天发布的新MacBook Pro上干掉了USB-A口，改为集成度更好的Typc*C实现更多功能输出，不过这种做法引来了一个新的问题，由于两款设备的接口不同，如果你想使用数据线把它们连接在一起，需要一根Lightning转USB-C转接头或者一根全新的连接线，这些数据线/转换座只能消费者自掏腰包了。500)this.width=500' align='center' hspace=10 vspace=10
rel='nofollow'/>iPhone 7 Plus接头&&&&苹果在减少接口，用户在帮苹果埋单
　　用户要解决接口问题，从苹果目前的状况以及日后的规划来看，购买USB Type-C口才是最好的选择，通过它我们能更轻松地连接iPhone和新MacBook Pro(以及日后的MacBook)，同时在USB Type-C模式下，耳机的通用标准也更好地得到解决。但无论是Lightning转Type-C，还是Type-C口的耳机。用户都需要自掏腰包去购买，
　　值得一提的是，苹果官网的这种数据线价格相当昂贵，应该说性价比一点也不高。500)this.width=500' align='center' hspace=10 vspace=10
rel='nofollow'/>USB-C报价&&&&之前国外某网站也做过一个关于取消3.5mm耳机孔的调查报告，下面看看结果。500)this.width=500' align='center' hspace=10 vspace=10
rel='nofollow'/>外国网站网友投票结果&&&&当然，结果无非就是支持、反对和围观三种情况。小编大致的看了一下，表示反对的朋友，大概就是表达自己的很多之前购买的高端耳机无法很好的适配在这些手机上，支持的朋友说这样代表科技在进步，这样可以为以后开发更好的功能。不过目前来说，大多数用户还是觉得不适应而反对的偏多。500)this.width=500' align='center' hspace=10 vspace=10
rel='nofollow'/>PConline做的调查&&&&从数据上看，大部分用户似乎一时都难以接受手机取消3.5mm接口这个事实。不过小编认为既然苹果敢取消这个方案，必然是经过深思熟虑的，而且肯定想好了对策。
　　其实细想一下，这些年苹果干掉的东西还少吗？相信以苹果的影响力，取消3.5mm耳机口很快就会成为一种趋势，届时肯定会有针对取消3.5mm耳机孔的解决方案。500)this.width=500' align='center' hspace=10 vspace=10
rel='nofollow'/>iPhone 7 Plus接口&&&&总结：无线传输才是未来
　　回归正题，上面说苹果最终会取消设备上所有的接口，也许这事情距离现在还很遥远。而取消3.5mm耳机孔也只是第一步，也许我们现在处于一个过渡期，一时还无法适应。而最终苹果要实现的愿景还是甩掉线材的束缚，形成全无线传输，我们不妨设想一下，未来我们外出不再需要带上那么多线，是不是感觉很不错呢？可以说苹果所做的改变都是为了未来而做准备。
责任编辑：cnfol001
我来说两句
24小时热门文章
栏目最新文章这些年被手机毁掉的生活_图文_百度文库
您的浏览器Javascript被禁用，需开启后体验完整功能，
享专业文档下载特权
&赠共享文档下载特权
&10W篇文档免费专享
&每天抽奖多种福利
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
这些年被手机毁掉的生活
阅读已结束，下载本文需要
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，同时保存到云知识，更方便管理
加入VIP
还剩5页未读，
定制HR最喜欢的简历
你可能喜欢