这是一个创建于 1913 天前的主题,其中的信息可能已经有所发展或是发生改变。
概况:
小米电视 2 (本机系统 Android 4.4) 为了去除广告曾经安装过 360 超级 ROOT, 前几天卸载后仍然会每隔数天在后台静默安装 360 手机助手. 该进程在尝试安装时会因为系统会弹出 "安装确认" 的窗口而被拦截.
关于 360 超级 ROOT:
该应用确实会在 /system/etc/install-recovery.sh 添加启动项.
该应用确实会在 /system/bin/ 下创建 360s 文件.
以上残留项目已手工清除, 但仍然会每隔数天在后台静默安装 360 手机助手.
目前使用的手段:
* 本机已更换其它 ROOT 工具, 并在本机于每次启动完成后立即启动 ADB 日志转储, 同时在另一台 PC 上实时输出日志.
* 路由器上添加了 hosts 条目对上述域名进行污染, 由于尚未确定根源因此目前暂不生效.
* 监控自本机启动后网络流量的使用情况, 但这个应用不能详细显示单个进程 (非 Android 应用) 的流量情况.
* 另一台 PC 上通过 tcpdump + WireShark 抓取自本机启动后的网络请求.
每次使用电视时执行上述操作, 只是为了抓到元凶.
由于下载安装每隔数天才会出现一次, 取证进度非常慢.
已知细节:
* 通过 tcpdump 发现请求 api.shuaji.360.cn;
* 通过 tcpdump 发现下载 APK 的域名为 down.qhcdn.com;
* 通过 tcpdump 发现存在 nslookup 上述域名的记录;
* 下载 APK 的进程具有 ROOT 权限, 进程名不明;
* ADB 日志中发现有 360 超级 ROOT 的 Activity 名;
上述细节时, 360 超级 ROOT 已卸载, 残留也已经清除.
我对 Linux 的了解只有一点皮毛, 以为只要找到对那些域名有数据收发的进程并干掉就能解决问题.
小米电视 2 (本机系统 Android 4.4) 为了去除广告曾经安装过 360 超级 ROOT, 前几天卸载后仍然会每隔数天在后台静默安装 360 手机助手. 该进程在尝试安装时会因为系统会弹出 "安装确认" 的窗口而被拦截.
关于 360 超级 ROOT:
该应用确实会在 /system/etc/install-recovery.sh 添加启动项.
该应用确实会在 /system/bin/ 下创建 360s 文件.
以上残留项目已手工清除, 但仍然会每隔数天在后台静默安装 360 手机助手.
目前使用的手段:
* 本机已更换其它 ROOT 工具, 并在本机于每次启动完成后立即启动 ADB 日志转储, 同时在另一台 PC 上实时输出日志.
* 路由器上添加了 hosts 条目对上述域名进行污染, 由于尚未确定根源因此目前暂不生效.
* 监控自本机启动后网络流量的使用情况, 但这个应用不能详细显示单个进程 (非 Android 应用) 的流量情况.
* 另一台 PC 上通过 tcpdump + WireShark 抓取自本机启动后的网络请求.
每次使用电视时执行上述操作, 只是为了抓到元凶.
由于下载安装每隔数天才会出现一次, 取证进度非常慢.
已知细节:
* 通过 tcpdump 发现请求 api.shuaji.360.cn;
* 通过 tcpdump 发现下载 APK 的域名为 down.qhcdn.com;
* 通过 tcpdump 发现存在 nslookup 上述域名的记录;
* 下载 APK 的进程具有 ROOT 权限, 进程名不明;
* ADB 日志中发现有 360 超级 ROOT 的 Activity 名;
上述细节时, 360 超级 ROOT 已卸载, 残留也已经清除.
我对 Linux 的了解只有一点皮毛, 以为只要找到对那些域名有数据收发的进程并干掉就能解决问题.
 |
1
dream7758522 2019-08-21 22:28:16 +08:00 via Android
我的老手机手机也是这个问题,安装过 360root.
|
 |
2
ragnaroks 2019-08-22 09:11:01 +08:00
猜测存在二进制替换
|
Select Language