码迷,mamicode.com
首页 > 其他好文 > 详细

ptrace注入型病毒“聊天剽窃手”分析

时间:2014-10-14 03:49:22      阅读:276      评论:0      收藏:0      [点我收藏+]

标签:style   blog   http   使用   ar   strong   文件   sp   数据   

概述

  “聊天剽窃手”Windseeker是一款间谍软件,它使用了ptrace进程注入技术,能够对微信和QQ的聊天记录进行监控。

       软件安装后的桌面图标和启动界面如图所示:

bubuko.com,布布扣 bubuko.com,布布扣                      

行为分析

该应用首先获取手机root权限,将assert目录下的inject_appso、libcall.so、conn.jar三个文件复制到三个不同的路径下:

 bubuko.com,布布扣

(1)将libcall.so复制到/system/lib/目录下;

 bubuko.com,布布扣

(2)将inject_appso复制到/system/bin目录下

 bubuko.com,布布扣

(3)将conn.jar复制到/data/data/qy/目录。

 bubuko.com,布布扣

然后开启一个服务,进行进程监控,检查新启动的activity是否与前一个activity属于同一包,是否有微信或者QQ的activity启动,即监控用户是否正在使用微信或者QQ聊天。

 bubuko.com,布布扣

如果检测到有微信或者QQ在运行,则通过执行命令"inject_appso 微信或者QQ应用包名 /system/lib/libcall.so  QQ_SERVER/MM_SERVER"运行inject_appso程序对聊天进程进行注入。

 bubuko.com,布布扣

以下为ptrace进程注入代码:

 bubuko.com,布布扣

同时运行libcall.so,加载conn.jar文件,获取聊天记录。

 bubuko.com,布布扣

conn.jar会劫持聊天窗口和联系人窗口,获取qq或者微信的聊天内容和时间,qq消息发送人、接收者、qq好友的qq号,微信聊天者的信息。

 bubuko.com,布布扣

它不仅能够监控页面内容,而且能够通过获取/data/data/com.tencent.mobileqq/目录或者/data/data/com.tencent.mm/中的.db数据库文件,获取聊天历史记录,同时还能获取最近联系人信息。

 bubuko.com,布布扣 

bubuko.com,布布扣

当该应用监听到有聊天信息更新时,就会将获取到的新的聊天信息上传到远程服务器http://tingfengzhe.sinaapp.com/record.php上。没有消息更新则继续监听。

 bubuko.com,布布扣

ptrace注入型病毒“聊天剽窃手”分析

标签:style   blog   http   使用   ar   strong   文件   sp   数据   

原文地址:http://www.cnblogs.com/goodhacker/p/4023417.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!