安卓病毒从权限分有2种 一种会攻击系统root权限 也就是自己充当root工具获取系统root权限 这种病毒特点是难以卸载 恢复出厂无法清除。还有一种是不会进行获取root权限的病毒 ,恢复出厂可以清除。
从网络分为2种 一种互联网控制 还有一种 短信指令控制 很少存在单机病毒,因为黑客不喜欢玩单机。
对于任何病毒 你要把它当成软件看 因为任何病毒的本质属性就是软件 只是在软件上增加了隐蔽性 远程控制性 自启动性等特点 所以清楚病毒的本质是卸载软件。就算还有
病毒残渣,比如病毒产生的依赖数据库,文件系统等,也算了清除了病毒,因为那些只是尸体,没有任何攻击性。
所以对于卸载病毒不难 只有2个过程 发现病毒与卸载病毒,卸载病毒不难,root权限就跟系统预装一个档次,现在很多软件不管需不需要获取root权限都可以卸载系统预装,也就是可以卸载病毒。没root性的病毒更不用说。
本人不信任何杀毒软件 始终任为他们做营销是主要目的,查杀能力很弱,但是有些功能还是可以利用。比如你恢复出厂后还是有中毒迹象比如广告安装,扣费等。可以使用系统信息等软件查看可疑软件的签名,专门查和预装一个档次的,你可以配合360预装卸载功能,一般360会有地毯势签名筛查 虽然病毒可能不会报毒 但是有些知名厂商的核心应用还是会在他的签名白名单里,这些应用一般会显示核心组件或者谨慎卸载,病毒一般不会有这种显示。在配合系统信息等软件很快就能找出签名或者log打印,联网可疑软件。这些病毒软件不管从安装时间上还是签名信息上都与预装或者系统核心组件保持非常不一致。再者病毒少,正常核心组件多病毒就显得很显眼。再者
,扣费病毒都含有短信权限就是大家要注意的。
病毒源头追踪要以网络为第一方向,其次才是客户端。任何天才程序员,哪怕是天才c/c++语言,天才汇编,天才单片机,天才java,不管是谁,要在互联网上把病毒跑起来,都要遵守计算机网络协议,不管客户端多牛B,都要与服务器通信,不管加密如何安全,通过抓包都会暴露服务器ip和端口。
举个例子:定位到adb目录或者配置过环境变量后
adb shell 执行
cat /proc/net/tcp (不需要root权限) cat /proc/net/tcp6 (不需要root权限)
/proc/net/tcp文件,这里记录的是ipv4下所有tcp连接的情况
/proc/net/tcp6文件,这里记录的是ipv6下所有tcp连接的情况
可以获得活跃的uid
activity|grep “uid″命令来查找uid
对应的Pid和应用程序包名
adb shell dumpsys meminfo $package_name or $pid 进一步查信息
或者利用第三方工具,总之第三方抓包工具也是集成了
linux下vi shell等常用操作,和windows的cmd,bat类似 ,而且赋予了操作系统级别的ui操作和一些逻辑处理,原理一样。如果病毒不在活跃期 请尝试重启 因为很多病毒 都有重启自启动功能
记住我们最重要的目的是锁定犯罪分子的服务器ip或者手机信息等。
病毒最终源头的第2个方向是反编译apk,可以利用apk改之理等工具破解后直接搜索http打头或者.com/.cn等类似域名或者ip的信息当然也可以搜索类似手机号码格式的信息。因为如果是短信操控,肯定存在短信读取和短信号码过滤。当然还有些是编写在ndk so里的信息,或者烧刻有linux so病毒的。 这种信息可以利用c语言下的反编译,动态挂起等都可以。一般在2进制下搜索类似域名信息也不是难事。
读完这片文章后 你会发现 安卓病毒犯罪其实是小白做的事情,病毒清除也是易如反掌,当然如果你是单独依靠杀毒软件,那就很难。在此告诫任何利用安卓系统实施犯罪的朋友,不管你是利用他拦截短信洗钱,盗支付宝,还是拦截短信盗qq,刷qq业务,暗扣刷sp业务,还是用来黑别人恶意贷款,偷拍裸照上传,还是利用声波来杀人,上传别人通讯录,短信 ,监听通话录音,隐藏定位等。包过很多大企业,都终将难逃法网。