Android木马手工杀 彻底滚粗!
- 来源:计算机应用文摘
- 关键字:木马,技术宅,杀毒软件
- 发布时间:2013-10-26 08:56
最近,网上出了不少安全播报,手机木马横行的现状是在让人感觉移动终端的安全性一年比一年严峻。这不,笔者的室友小方就中招了。为了杀灭入侵的木马,这货安装了各种各样的手机杀毒软件,依然不能解决问题。没奈何,他只能找上了身为技术宅的我。接受了他的请求之后,我告诉他:因为手机和PC不一样,手机端反木马技术没有PC端那么强,所以手机杀毒软件无效也在情理之中,手工查杀就成了唯一解决问题的途径。
工欲善其事,必先利其器
我告诉小方,要想学会手工查杀木马,首先需要认识一款名叫ADB的工具,爱鼓捣手机的同学肯定不陌生。ADB全称Android Debug Bridge,是Android sdk里的一个工具, 用这个工具可以直接操作管理Android模拟器或者真实的Andriod设备。通过它我们可以在Eclipse中利用DDMS来调试Android程序。ADB的工作方式比较特殊,它采用监听Socket TCP 5554等端口的方式让IDE和Qemu通讯,默认情况下ADB会daemon相关的网络端口。所以,当我们运行Eclipse时,ADB进程就会自动运行。
杀毒方法都相通,PC端思路可借鉴
准备好了杀毒工具之后,我就可以开始解决小方遇到的问题了。其实,Android木马手工查杀与PC木马查杀的思路并没有太大的出入,我们可以借鉴其中的一些思路来进行手工查杀工作。
step 1
我告诉小方,在电脑木马的手工查杀中,我们会通过在DOS模式下输入“netstat”命令来查看PC此时正在使用的端口,并从中找出可疑的端口,然后对应找出正在使用该端口的程序,再判断该程序是否是木马。这种方法在Android也是适用的。首先,需要开启手机的调试模式,并把手机连接到电脑。连接完成后,下载并安装ADB(下载地址:http://developer.andorid.com),完成后进入的ADB程序目录运行cmd.exe。
然后在其中输入“adb shell”即可进入shell模式。进入shell模式后,在其中输入“netstat”命令并执行,即可看到如图3的界面。
step 2
到了这里,细心的小方发现,虽然在该界面中看到了网络连接,但却看不到进程的uid等信息。我告诉小方,这就造成了即使找到了可疑的端口,也没法确定是哪个程序在使用这些端口。所以,接下来可以输入命令“cat /proc/net/tcp”,这个命令会让系统显示IPV4网络模式下,所有TCP连接的情况(对应IPV6模式的命令为“cat /proc/net/tcp6”。
step 3
待TC P连接情况显示出来之后,我叫小方看看每一行数据的“local_address本地地址:端口”、“remote_address远程地址:端口”、“st连接状态”和“uid”数据。在这里,大家需要注意的是,这些地址跟端口都是16进制的,st连接状态数值的解释可以参考表1。
step 4
手工杀毒进行到这里,就应该寻找可疑的程序了。在PC上,当我们发现了可疑的端口,并找到了对应的uid后,我们可以打开任务管理器查看使用这个端口的程序,从而对木马进行定位。
而在ADB中,我们可以使用“dumpsys activity|grep uid”命令在完成这一操作,这个命令的意思是通过uid信息查找系统中的活动程序。这里,我们以查找图4中st连接状态为02,即“TCP_SYN_SENT”的程序为例。该st连接状态对应的uid为10061,那我们的查找命令就应该为“dumpsys activity|grep 10061”。命令执行后,拿起你的手机,依次选择“系统设置”→“应用程序”→“正在运行的程序”即可找到相应程序,然后认真观察该程序是否可疑的,如果确认是木马就可以将其卸载。
思想别僵化,杀毒办法不止一种
完成了病毒手工查杀,小方挠挠头,对我一脸苦笑。我知道这货脑子笨,可能没弄明白。没关系,我还有一种办法也可以完成手工查杀。
在清除PC端木马时,除了利用连接端口的方法外,我们有时候还会使用一些进程工具来查看可疑的进程或者服务。而Android下也有这样的进程查看工具,名叫系统信息(下载地址:http://tinyurl.com/l4r5ee3)。安装并打开这款应用就可以进入主界面。
切换到“基本信息”选项卡下,点击“查看日志”按钮,并选择“logcat”或“dmesg”就可以手机当前打开程序的进程信息,里面可以找到应用的服务名,以及对应的进程ID。如果有危险进程,应用会把这些进程标红示警,然后我们只需要根据这些红色进程的信息,分析找出它们,并卸载即可。
忙活半天,总算把小方手机里的木马清除了。看着这货欢天喜地的去了,我微微一笑,深藏功与名……
关注读览天下微信,
100万篇深度好文,
等你来看……