%20%E3%82%92%E5%8F%96%E5%BE%97%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95.png)
Android スマートフォンのセキュリティをテストしたかったので、バックグラウンドで tcpdump を実行して 1 日間放置しました。
次に、結果の pcap を viraltotal.com に送信します。彼らは snort と suricata を使用して pcap ファイルをスキャンしています。
私が警告しているレポートではET MOBILE MALWARE Google Android Device HTTP Request
アラートをトリガーしたパケットに関する詳細情報を入手するにはどうすればよいですか? 主にリモート IP に興味がありますが、コンテンツも役立ちます。アラートをトリガーしたアプリなどを特定しようとしています。
ファイルをさらに分析するための Linux マシンを持っていますが、どこから始めればよいかわかりません。実行すると、同じ出力しか得られず、それ以上何も得られないと思いますsuricata -r my.pcap.。詳細を取得するにはどうすればよいでしょうか?
答え1
まず、セキュリティについて本当に心配しているのであれば、携帯電話のデータの PCAP を第三者に送信すべきではありません。この種の分析を自分で実行できるツールはたくさんあります。
次に、これを分析するのはかなり簡単なはずです。
NetMon、Wireshark、その他必要なツールでフィルターを設定し、プロトコル HTTP でフィルターします。これにより、関連するトラフィック タイプのみが取得されます。送信元 IP と送信先 IP を確認すると、かなり早く見つかるはずです。
もう一つのお勧めのツールはhttp://www.cs.bham.ac.uk/~tpc/PCAP/
このツールの開発者は、その分野で非常に高く評価されています (私の意見です!)。私自身も自分のマシンからのデータ フローを分析する際にこのツールを使用したことがありますが、このツールがあなたのデータを開発者にまったく複製しないことはわかっています。