Поиск шпиона. перехват траффика, как правильно анализировать?
Здравствуйте. Имею подозрение, что на моём устройстве Android стоит шпион программа. Хочу понять как её обнаружить. Научился перехватывать трафик через Wireshark конкретно со смартфона. Использую "Mobile hotspot" и фильтрую по мак-адресу смартфон.
Получаю множество IP адресов. Интересует каким образом проверять все эти IP адреса? Какие из них есть хорошими, а какие могут быть использованы шпионом? Есть ли какие-то сервисы для проверки списков IP? Или необходимо каждый адрес вручную проверять?
Посоветуйте, пожалуйста, алгоритм действий после того как удалось начать мониторить трафик с исследуемого устройства.
Дополнительно:
Ответы:
Получаю множество IP адресов. Интересует каким образом проверять все эти IP адреса? Какие из них есть хорошими, а какие могут быть использованы шпионом? Есть ли какие-то сервисы для проверки списков IP? Или необходимо каждый адрес вручную проверять?
Никак. IP-адрес вам никак не покажет плохой он или хороший.
Анализировать надо состав пакета, если уж про сетевую активность речь. А лучше просто нафиг купить новый телефон и все. Никому ваши фотки с котиками не нужны
вручную
- каждый ип копировать в WHOIS сервис и смотреть чей он?
- personFromInternet, по сути да
либо использовать сервсисы в которые можно выгружать списком. но я ими не пользовался - personFromInternet, это ничего не даст. Ну будет там написано - айпи принадлежит гуглу. Это хорошо или плохо? (и в данном случае это не шутка про то, что больше всех за вами шпионит гугл)
Путем сравнения. Берешь любой другой телефон. И начинаешь собирать сведенья (хотя-бы в течение суток)
на какие адреса тот ходит. После сбора такой биг-даты еще хорошо-бы парочку других телефонов проверить.
Потом берешь свой и сравниваешь.
Будьте хитрее своего маленького Штирлица. Есть сервис grabify.link. Суть в том, что он сокращает ссылку и парсит IP-адреса всех тех, кто по ней проходил. Вставьте в сервисе ссылку на какую-нибудь чепуху (да хоть вот на эту) и отправьте самому себе под видом товарища, будто бы вам кто-то это скинул. Придумайте заманчивую подпись для Вашего Штирлица. Так вы найдете его IP. Но как писали коллеги выше, особой роли он не сыграет.
Сбросить к заводу и восстановить. Поиск закладки займет куда больше времени. Либо (если нет ценности в железе) - сбросить к заводу, продать и купить новый (я бы так поступил)
У Лаборатории Касперского есть ПО для обнаружения шпионов (stalkerware) путём анализа трафика.
https://github.com/KasperskyLab/TinyCheck
Обновляемые списки индикаторов есть на https://github.com/AssoEchap/stalkerware-indicators
Опишите проблему, и специалист поможет с настройкой, исправлением ошибки или доработкой сайта. Подберём понятный план работ без лишней переписки.
Пока нет других ответов. Будьте первым, кто поможет автору.
Ответить на вопрос
Для поиска шпиона и перехвата трафика существует несколько способов, которые можно применить в различных ситуациях. В данном ответе я расскажу о методах, которые могут помочь вам в анализе и выявлении подозрительной активности.
1. Использование снифферов пакетов. Снифферы пакетов позволяют перехватывать и анализировать сетевой трафик. Например, WireShark - один из самых популярных инструментов для анализа сетевого трафика. Вы можете использовать его для перехвата и анализа данных, передаваемых через сеть.
sudo apt-get install wiresharksudo apt-get install wireshark
2. Мониторинг сетевой активности. Используйте инструменты мониторинга сети, такие как Nagios, Zabbix или Cacti, чтобы отслеживать сетевую активность и выявлять аномалии. Эти инструменты позволяют в реальном времени отслеживать трафик и обнаруживать подозрительные действия.
3. Логирование событий. Ведите журналы событий (логи) сетевой активности, чтобы иметь возможность отследить историю действий на сети. Это поможет вам выявить подозрительные события и проследить последствия.
4. Использование систем мониторинга безопасности. Разверните системы мониторинга безопасности, такие как IDS (системы обнаружения вторжений) или IPS (системы предотвращения вторжений), чтобы автоматически обнаруживать и предотвращать подозрительную активность.
5. Аудит сетевой безопасности. Проведите аудит сетевой безопасности, чтобы выявить уязвимости и пробелы в безопасности, которые могут быть использованы шпионом для доступа к вашей сети.
Важно помнить, что для анализа трафика и выявления шпионов необходимо иметь соответствующие навыки и знания в области безопасности сетей. Рекомендуется обращаться к специалистам по безопасности информационных технологий для подробной консультации и помощи в решении данной проблемы.