내 안드로이드 휴대폰의 보안을 테스트하고 싶었기 때문에 하루 동안 백그라운드에서 tcpdump를 실행하도록 두었습니다.
그런 다음 결과 pcap을 virustotal.com으로 보냅니다. 그들은 snort와 suricata를 사용하여 pcap 파일을 스캔하고 있습니다.
보고서에는 다음에 대한 경고가 있습니다.ET MOBILE MALWARE Google Android Device HTTP Request
경고를 발생시킨 패킷에 대한 추가 정보를 얻으려면 어떻게 해야 합니까? 저는 주로 원격 IP에 관심이 있지만 내용도 도움이 될 것입니다. 어떤 앱이 경고를 유발했는지 식별하려고 합니다.
파일을 추가로 분석하기 위한 Linux 매시인이 있지만 어디서부터 시작해야 할지 모르겠습니다. 그냥 실행하면 suricata -r my.pcap.동일한 출력만 제공되고 더 이상 아무것도 제공되지 않을 것이라고 가정합니다. 자세한 내용을 확인하는 방법은 무엇입니까?
답변1
우선, 정말로 보안이 걱정된다면 휴대폰 데이터의 PCAP를 제3자에게 보내지 말았어야 했습니다. 이러한 종류의 분석을 직접 수행할 수 있는 도구가 많이 있습니다.
다음으로, 이는 분석하기 매우 쉬울 것입니다.
NetMon, Wireshark 등 필요한 도구를 선택하여 필터를 설정하고 프로토콜 HTTP를 필터링하면 관련 트래픽 유형만 표시됩니다. 소스 및 대상 IP를 살펴보면 상당히 빠르게 찾을 수 있습니다.
시도해 볼 수 있는 또 다른 좋은 도구는 다음과 같습니다.http://www.cs.bham.ac.uk/~tpc/PCAP/
이 도구의 개발자는 자신의 분야에서 매우 높은 평가를 받고 있으며(의견, 나도 알고 있습니다!) 내 컴퓨터의 데이터 흐름을 분석하는 동안 이 도구를 직접 사용해 본 결과 이 도구가 사용자의 데이터를 그 사람에게 전혀 복제하지 않는다는 것을 알고 있습니다.