Eu queria testar a segurança do meu telefone Android, então deixei-o por um dia executando o tcpdump em segundo plano.
Em seguida, envio o pcap resultante para virustotal.com. Eles estão verificando o arquivo pcap usando snort e suricata.
No relatório tenho alerta paraET MOBILE MALWARE Google Android Device HTTP Request
Como posso obter mais informações sobre os pacotes que acionaram o alerta? Estou interessado principalmente em IP remoto, mas o conteúdo também será útil - estou tentando identificar qual aplicativo acionou o alerta, etc.
Eu tenho um mashine Linux para analisar melhor o arquivo, mas não sei por onde começar. Presumo que se eu apenas executar, suricata -r my.pcap.ele me dará a mesma saída e nada mais. Como obter mais detalhes?
Responder1
Em primeiro lugar, você não deveria ter enviado um PCAP dos dados do seu telefone a terceiros se estiver realmente preocupado com a segurança. Existem muitas ferramentas que permitem que você mesmo faça esse tipo de análise.
Em seguida, isso deve ser bastante fácil de analisar.
Configure um filtro no NetMon, Wireshark, qualquer ferramenta de sua escolha e filtre no protocolo HTTP. Dê uma olhada nos IPs de origem e destino e você deverá encontrá-los bastante rápido.
Outra boa ferramenta para experimentar éhttp://www.cs.bham.ac.uk/~tpc/PCAP/
O desenvolvedor desta ferramenta é extremamente conceituado (opinião, eu sei!) em sua área e, tendo usado essa ferramenta enquanto analisava fluxos de dados de minhas máquinas, sei que ela não replica seus dados para ele.