Поиск шпиона. перехват траффика, как правильно анализировать?

Ссылка скопирована
1 ответ

Здравствуйте. Имею подозрение, что на моём устройстве Android стоит шпион программа. Хочу понять как её обнаружить. Научился перехватывать трафик через Wireshark конкретно со смартфона. Использую "Mobile hotspot" и фильтрую по мак-адресу смартфон.

Получаю множество IP адресов. Интересует каким образом проверять все эти IP адреса? Какие из них есть хорошими, а какие могут быть использованы шпионом? Есть ли какие-то сервисы для проверки списков IP? Или необходимо каждый адрес вручную проверять?

Посоветуйте, пожалуйста, алгоритм действий после того как удалось начать мониторить трафик с исследуемого устройства.

Дополнительно:

Ответы:

Получаю множество IP адресов. Интересует каким образом проверять все эти IP адреса? Какие из них есть хорошими, а какие могут быть использованы шпионом? Есть ли какие-то сервисы для проверки списков IP? Или необходимо каждый адрес вручную проверять?

Никак. IP-адрес вам никак не покажет плохой он или хороший.
Анализировать надо состав пакета, если уж про сетевую активность речь. А лучше просто нафиг купить новый телефон и все. Никому ваши фотки с котиками не нужны

вручную

  • каждый ип копировать в WHOIS сервис и смотреть чей он?
  • personFromInternet, по сути да
    либо использовать сервсисы в которые можно выгружать списком. но я ими не пользовался
  • personFromInternet, это ничего не даст. Ну будет там написано - айпи принадлежит гуглу. Это хорошо или плохо? (и в данном случае это не шутка про то, что больше всех за вами шпионит гугл)

Путем сравнения. Берешь любой другой телефон. И начинаешь собирать сведенья (хотя-бы в течение суток)
на какие адреса тот ходит. После сбора такой биг-даты еще хорошо-бы парочку других телефонов проверить.

Потом берешь свой и сравниваешь.

Будьте хитрее своего маленького Штирлица. Есть сервис grabify.link. Суть в том, что он сокращает ссылку и парсит IP-адреса всех тех, кто по ней проходил. Вставьте в сервисе ссылку на какую-нибудь чепуху (да хоть вот на эту) и отправьте самому себе под видом товарища, будто бы вам кто-то это скинул. Придумайте заманчивую подпись для Вашего Штирлица. Так вы найдете его IP. Но как писали коллеги выше, особой роли он не сыграет.

Сбросить к заводу и восстановить. Поиск закладки займет куда больше времени. Либо (если нет ценности в железе) - сбросить к заводу, продать и купить новый (я бы так поступил)

У Лаборатории Касперского есть ПО для обнаружения шпионов (stalkerware) путём анализа трафика.
https://github.com/KasperskyLab/TinyCheck

Обновляемые списки индикаторов есть на https://github.com/AssoEchap/stalkerware-indicators

Нужно решить такую задачу?

Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.

Заказать помощь
Лучший ответ
1
Ольга Сеть Ответ

Для поиска шпиона и перехвата трафика существует несколько способов, которые можно применить в различных ситуациях. В данном ответе я расскажу о методах, которые могут помочь вам в анализе и выявлении подозрительной активности.

1. Использование снифферов пакетов. Снифферы пакетов позволяют перехватывать и анализировать сетевой трафик. Например, WireShark - один из самых популярных инструментов для анализа сетевого трафика. Вы можете использовать его для перехвата и анализа данных, передаваемых через сеть.

sudo apt-get install wireshark

sudo apt-get install wireshark

2. Мониторинг сетевой активности. Используйте инструменты мониторинга сети, такие как Nagios, Zabbix или Cacti, чтобы отслеживать сетевую активность и выявлять аномалии. Эти инструменты позволяют в реальном времени отслеживать трафик и обнаруживать подозрительные действия.

3. Логирование событий. Ведите журналы событий (логи) сетевой активности, чтобы иметь возможность отследить историю действий на сети. Это поможет вам выявить подозрительные события и проследить последствия.

4. Использование систем мониторинга безопасности. Разверните системы мониторинга безопасности, такие как IDS (системы обнаружения вторжений) или IPS (системы предотвращения вторжений), чтобы автоматически обнаруживать и предотвращать подозрительную активность.

5. Аудит сетевой безопасности. Проведите аудит сетевой безопасности, чтобы выявить уязвимости и пробелы в безопасности, которые могут быть использованы шпионом для доступа к вашей сети.

Важно помнить, что для анализа трафика и выявления шпионов необходимо иметь соответствующие навыки и знания в области безопасности сетей. Рекомендуется обращаться к специалистам по безопасности информационных технологий для подробной консультации и помощи в решении данной проблемы.

Другие ответы (0)

Пока нет других ответов. Будьте первым, кто поможет автору.

Ответить на вопрос

комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Вам также может быть интересно