zoukankan      html  css  js  c++  java
  • ptrace注入型病毒“聊天剽窃手”分析

    概述

      “聊天剽窃手”Windseeker是一款间谍软件,它使用了ptrace进程注入技术,能够对微信和QQ的聊天记录进行监控。

           软件安装后的桌面图标和启动界面如图所示:

                           

    行为分析

    该应用首先获取手机root权限,将assert目录下的inject_appso、libcall.so、conn.jar三个文件复制到三个不同的路径下:

     

    (1)将libcall.so复制到/system/lib/目录下;

     

    (2)将inject_appso复制到/system/bin目录下

     

    (3)将conn.jar复制到/data/data/qy/目录。

     

    然后开启一个服务,进行进程监控,检查新启动的activity是否与前一个activity属于同一包,是否有微信或者QQ的activity启动,即监控用户是否正在使用微信或者QQ聊天。

     

    如果检测到有微信或者QQ在运行,则通过执行命令"inject_appso 微信或者QQ应用包名 /system/lib/libcall.so  QQ_SERVER/MM_SERVER"运行inject_appso程序对聊天进程进行注入。

     

    以下为ptrace进程注入代码:

     

    同时运行libcall.so,加载conn.jar文件,获取聊天记录。

     

    conn.jar会劫持聊天窗口和联系人窗口,获取qq或者微信的聊天内容和时间,qq消息发送人、接收者、qq好友的qq号,微信聊天者的信息。

     

    它不仅能够监控页面内容,而且能够通过获取/data/data/com.tencent.mobileqq/目录或者/data/data/com.tencent.mm/中的.db数据库文件,获取聊天历史记录,同时还能获取最近联系人信息。

      

    当该应用监听到有聊天信息更新时,就会将获取到的新的聊天信息上传到远程服务器http://tingfengzhe.sinaapp.com/record.php上。没有消息更新则继续监听。

     

  • 相关阅读:
    Delphi关于记录文件的操作转
    数字电视分辨率
    delphi FileSetAttr 设置文件的属性转
    vc delphi 回调函数具体说明和实例与分析 转
    TFileStream(文件流) 读写转
    HDMI接口
    UDP和TCP协议包大小的计算转
    字符编解码的故事(ASCII,ANSI,Unicode,Utf8) 转
    [bzoj3894]文理分科
    [bzoj5338]xor
  • 原文地址:https://www.cnblogs.com/goodhacker/p/4023417.html
Copyright © 2011-2022 走看看