Я хотел проверить безопасность своего телефона Android, поэтому оставил его на один день, запустив tcpdump в фоновом режиме.
Затем я отправляю полученный pcap на virustotal.com. Они сканируют pcap-файл с помощью snort и suricata.
В отчете у меня есть оповещение оET MOBILE MALWARE Google Android Device HTTP Request
Как мне получить больше информации о пакетах, которые вызвали оповещение? Меня в основном интересует удаленный IP, но содержимое тоже будет полезно — я пытаюсь определить, какое приложение вызвало оповещение и т. д.
У меня есть Linux-машина для дальнейшего анализа файла, но я не знаю, с чего начать. Я предполагаю, что если я просто запущу, suricata -r my.pcap.то он даст мне тот же вывод и ничего больше. Как получить больше подробностей?
решение1
Во-первых, вам не следовало отправлять PCAP-файл данных вашего телефона третьей стороне, если вы действительно беспокоитесь о безопасности. Существует множество инструментов, позволяющих вам самостоятельно проводить такой анализ.
Далее, это должно быть довольно легко проанализировать.
Установите фильтр в NetMon, Wireshark, любом инструменте по вашему выбору и отфильтруйте по протоколу HTTP.. это позволит вам ограничиться только соответствующим типом трафика. Посмотрите на исходные и конечные IP-адреса, и вы должны найти его довольно быстро.
Еще один хороший инструмент, который стоит попробовать, этоhttp://www.cs.bham.ac.uk/~tpc/PCAP/
Разработчик этого инструмента пользуется огромным уважением (мнение, я знаю!) в своей области, и поскольку я сам использовал этот инструмент при анализе потоков данных со своих машин, я знаю, что он вообще не передает ему ваши данные.