Ich wollte die Sicherheit meines Android-Telefons testen und ließ es daher einen Tag lang tcpdump im Hintergrund laufen.
Dann sende ich das resultierende PCAP an virustotal.com. Sie scannen die PCAP-Datei mit Snort und Suricata.
Im Bericht habe ich eine Warnung fürET MOBILE MALWARE Google Android Device HTTP Request
Wie kann ich mehr Informationen über die Pakete erhalten, die den Alarm ausgelöst haben? Mich interessiert vor allem die Remote-IP, aber auch der Inhalt wäre hilfreich – ich versuche herauszufinden, welche App den Alarm ausgelöst hat usw.
Ich habe eine Linux-Maschine, um die Datei weiter zu analysieren, weiß aber nicht, wo ich anfangen soll. Ich gehe davon aus, dass ich, wenn ich suricata -r my.pcap.es einfach ausführe, dieselbe Ausgabe bekomme und sonst nichts. Wie bekomme ich weitere Details?
Antwort1
Erstens sollten Sie keine PCAP-Datei Ihrer Telefondaten an Dritte senden, wenn Sie sich wirklich um die Sicherheit sorgen. Es gibt viele Tools, mit denen Sie diese Art der Analyse selbst durchführen können.
Als nächstes sollte dies relativ einfach zu analysieren sein.
Richten Sie einen Filter in NetMon, Wireshark oder einem anderen Tool Ihrer Wahl ein und filtern Sie nach dem Protokoll HTTP. Dadurch gelangen Sie nur zu dem relevanten Verkehrstyp. Sehen Sie sich die Quell- und Ziel-IPs an, dann sollten Sie es ziemlich schnell finden.
Ein weiteres gutes Tool, das Sie ausprobieren sollten, isthttp://www.cs.bham.ac.uk/~tpc/PCAP/
Der Entwickler dieses Tools genießt in seinem Bereich ein außerordentlich hohes Ansehen (ich weiß, das ist eine Meinung!) und da ich dieses Tool selbst bei der Analyse der Datenflüsse meiner Maschinen verwendet habe, weiß ich, dass es Ihre Daten in keiner Weise an ihn repliziert.