Я хотел проверить безопасность своего телефона на базе Android, поэтому оставил его на один день, запустив tcpdump в фоновом режиме.

Затем я отправляю полученный pcap на virustotal.com. Они сканируют файл pcap, используя snort и suricata.

В отчете у меня есть предупреждение для ET MOBILE MALWARE Google Android Device HTTP Request

Как я могу получить больше информации о пакетах, которые вызвали предупреждение? Меня интересует в основном удаленный ip, но его содержание также будет полезным - я пытаюсь определить, какое приложение вызвало предупреждение и т.д.

У меня есть Linux-машина для дальнейшего анализа файла, но я не знаю, с чего начать. Я предполагаю, что если я просто запустил suricata -r my.pcap. это даст мне тот же результат и больше ничего. Как получить более подробную информацию?

|источник

1 ответ1

0

Во-первых, вы не должны были отправлять PCAP-данные своих телефонов третьим лицам, если вы действительно беспокоитесь о безопасности. Там есть множество инструментов, которые позволят вам провести такой анализ самостоятельно.

Далее, это должно быть довольно легко проанализировать.

Установите фильтр в NetMon, Wireshark, любой инструмент по вашему выбору и фильтр по протоколу HTTP ... это поможет вам выбрать только соответствующий тип трафика. Посмотрите на IP-адреса источника и назначения, и вы найдете его довольно быстро.

Еще один хороший инструмент, чтобы попробовать это http://www.cs.bham.ac.uk/~tpc/PCAP/

Разработчик этого инструмента чрезвычайно высоко ценится (мнение, я знаю!) в своей области, и сам использовал этот инструмент при анализе потоков данных с моих машин, я знаю, что он вообще не копирует ваши данные ему.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .