V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
YamatoRyou
V2EX  ›  问与答

如何揪出并铲除后台下载并安装垃圾软件的进程?

  •  
  •   YamatoRyou · 2019-08-21 16:56:42 +08:00 · 1577 次点击
    这是一个创建于 1926 天前的主题,其中的信息可能已经有所发展或是发生改变。
    概况:
    小米电视 2 (本机系统 Android 4.4) 为了去除广告曾经安装过 360 超级 ROOT, 前几天卸载后仍然会每隔数天在后台静默安装 360 手机助手. 该进程在尝试安装时会因为系统会弹出 "安装确认" 的窗口而被拦截.

    关于 360 超级 ROOT:
    该应用确实会在 /system/etc/install-recovery.sh 添加启动项.
    该应用确实会在 /system/bin/ 下创建 360s 文件.
    以上残留项目已手工清除, 但仍然会每隔数天在后台静默安装 360 手机助手.

    目前使用的手段:
    * 本机已更换其它 ROOT 工具, 并在本机于每次启动完成后立即启动 ADB 日志转储, 同时在另一台 PC 上实时输出日志.
    * 路由器上添加了 hosts 条目对上述域名进行污染, 由于尚未确定根源因此目前暂不生效.
    * 监控自本机启动后网络流量的使用情况, 但这个应用不能详细显示单个进程 (非 Android 应用) 的流量情况.
    * 另一台 PC 上通过 tcpdump + WireShark 抓取自本机启动后的网络请求.
    每次使用电视时执行上述操作, 只是为了抓到元凶.

    由于下载安装每隔数天才会出现一次, 取证进度非常慢.
    已知细节:
    * 通过 tcpdump 发现请求 api.shuaji.360.cn;
    * 通过 tcpdump 发现下载 APK 的域名为 down.qhcdn.com;
    * 通过 tcpdump 发现存在 nslookup 上述域名的记录;
    * 下载 APK 的进程具有 ROOT 权限, 进程名不明;
    * ADB 日志中发现有 360 超级 ROOT 的 Activity 名;
    上述细节时, 360 超级 ROOT 已卸载, 残留也已经清除.

    我对 Linux 的了解只有一点皮毛, 以为只要找到对那些域名有数据收发的进程并干掉就能解决问题.
    2 条回复    2019-08-22 09:11:01 +08:00
    dream7758522
        1
    dream7758522  
       2019-08-21 22:28:16 +08:00 via Android
    我的老手机手机也是这个问题,安装过 360root.
    ragnaroks
        2
    ragnaroks  
       2019-08-22 09:11:01 +08:00
    猜测存在二进制替换
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3708 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 10:36 · PVG 18:36 · LAX 02:36 · JFK 05:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.