如何揪出并铲除后台下载并安装垃圾软件的进程?

2019-08-21 16:56:42 +08:00
 YamatoRyou
概况:
小米电视 2 (本机系统 Android 4.4) 为了去除广告曾经安装过 360 超级 ROOT, 前几天卸载后仍然会每隔数天在后台静默安装 360 手机助手. 该进程在尝试安装时会因为系统会弹出 "安装确认" 的窗口而被拦截.

关于 360 超级 ROOT:
该应用确实会在 /system/etc/install-recovery.sh 添加启动项.
该应用确实会在 /system/bin/ 下创建 360s 文件.
以上残留项目已手工清除, 但仍然会每隔数天在后台静默安装 360 手机助手.

目前使用的手段:
* 本机已更换其它 ROOT 工具, 并在本机于每次启动完成后立即启动 ADB 日志转储, 同时在另一台 PC 上实时输出日志.
* 路由器上添加了 hosts 条目对上述域名进行污染, 由于尚未确定根源因此目前暂不生效.
* 监控自本机启动后网络流量的使用情况, 但这个应用不能详细显示单个进程 (非 Android 应用) 的流量情况.
* 另一台 PC 上通过 tcpdump + WireShark 抓取自本机启动后的网络请求.
每次使用电视时执行上述操作, 只是为了抓到元凶.

由于下载安装每隔数天才会出现一次, 取证进度非常慢.
已知细节:
* 通过 tcpdump 发现请求 api.shuaji.360.cn;
* 通过 tcpdump 发现下载 APK 的域名为 down.qhcdn.com;
* 通过 tcpdump 发现存在 nslookup 上述域名的记录;
* 下载 APK 的进程具有 ROOT 权限, 进程名不明;
* ADB 日志中发现有 360 超级 ROOT 的 Activity 名;
上述细节时, 360 超级 ROOT 已卸载, 残留也已经清除.

我对 Linux 的了解只有一点皮毛, 以为只要找到对那些域名有数据收发的进程并干掉就能解决问题.
1571 次点击
所在节点    问与答
2 条回复
dream7758522
2019-08-21 22:28:16 +08:00
我的老手机手机也是这个问题,安装过 360root.
ragnaroks
2019-08-22 09:11:01 +08:00
猜测存在二进制替换

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/593916

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX