我想测试我的 Android 手机的安全性,所以我让它在后台运行一天的 tcpdump。
然后我将生成的 pcap 发送到virustotal.com。他们正在使用 snort 和 suricata 扫描 pcap 文件。
在报告中我提醒ET MOBILE MALWARE Google Android Device HTTP Request
我如何获取有关触发警报的数据包的更多信息?我主要对远程 IP 感兴趣,但内容也会有所帮助 - 我正在尝试确定哪个应用程序触发了警报等。
我有一台 Linux 机器可以进一步分析文件,但不知道从哪里开始。我假设如果我运行suricata -r my.pcap.
它,它会给我相同的输出,仅此而已。如何获取更多详细信息?
答案1
首先,如果你真的担心安全问题,就不应该将手机数据的 PCAP 发送给第三方。有很多工具可以让你自己进行这种分析。
接下来,这应该相当容易分析。
在 NetMon、Wireshark 或任何您需要的工具中设置过滤器,并过滤协议 HTTP。这将使您只剩下相关的流量类型。查看源 IP 和目标 IP,您应该很快就能找到它。
另一个值得尝试的好工具是http://www.cs.bham.ac.uk/~tpc/PCAP/
这个工具的开发人员在他的领域享有极高的声誉(我知道,这只是他的观点!),我自己在分析我的机器的数据流时也使用过这个工具,我知道它根本不会将您的数据复制给他。