徐國天

（中國刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系 遼寧 沈陽 110035）

基于HOOK技術(shù)的“短信劫持”型手機(jī)木馬取證

徐國天

（中國刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系 遼寧 沈陽 110035）

近幾年出現(xiàn)的新型手機(jī)木馬程序中犯罪嫌疑人手機(jī)號碼、郵箱賬戶等信息均經(jīng)過加密處理，破解這些加密數(shù)據(jù)是目前面臨的取證難點(diǎn)問題。提出了一種手機(jī)木馬程序的動態(tài)檢驗(yàn)方法。該方法是將木馬程序在一部手機(jī)上真實(shí)地運(yùn)行起來，木馬運(yùn)行之后會自動解密數(shù)據(jù)，解密之后的數(shù)據(jù)會出現(xiàn)在木馬發(fā)出的電子郵件和短信之中。自行開發(fā)的短信監(jiān)控軟件可以截獲木馬發(fā)出的短信數(shù)據(jù)，并從中提取出犯罪嫌疑人的手機(jī)號碼。手機(jī)木馬動態(tài)檢驗(yàn)方法可以對新型木馬程序?qū)嵤┯行У臋z驗(yàn)分析。

短信劫持 木馬 動態(tài)檢驗(yàn) ARP監(jiān)聽 HOOK

短信劫持型手機(jī)木馬是一種惡意程序，智能手機(jī)一旦感染了這類惡意程序，犯罪分子會利用它來盜取用戶銀行卡內(nèi)的賬戶資金。利用短信劫持型手機(jī)木馬盜取賬戶資金案件從2012年開始出現(xiàn)，之后呈現(xiàn)出預(yù)演預(yù)烈的趨勢，造成的社會危害也在不斷擴(kuò)大[1]。近幾年此類案件呈現(xiàn)出以下特點(diǎn)，第一通常借助偽基站來傳播詐騙短信。利用偽基站，犯罪分子可以在十幾分鐘內(nèi)，向上萬部手機(jī)群發(fā)詐騙短信，因此這種犯罪具有傳播速度快、影響范圍廣的特點(diǎn)。第二此類犯罪通常是利用第三方支付平臺的安全漏洞來進(jìn)行資金盜取。在很多起案件中，犯罪分子可以在一兩天時(shí)間內(nèi)，盜取上千萬的賬戶資金。因此這種類型犯罪具有作案時(shí)間短、涉案資金大的特點(diǎn)。研究此類案件中關(guān)鍵的電子物證，即從被害人手機(jī)端提取到短信劫持型手機(jī)木馬的動態(tài)檢驗(yàn)方法對公安機(jī)關(guān)的調(diào)查、取證工作有重要意義。

檢驗(yàn)人員要從手機(jī)木馬程序中提取出兩類信息，一是犯罪嫌疑人使用的電子郵箱賬戶名和密碼，二是犯罪嫌疑人的手機(jī)號碼。在早期出現(xiàn)的老款木馬程序中，這些信息是沒有經(jīng)過加密處理的很容易提取。但是在近一兩年出現(xiàn)的新型木馬程序中，這些信息都經(jīng)過了加密處理，如何對這些加密數(shù)據(jù)進(jìn)行解密是目前取證工作面臨的難點(diǎn)問題。本文將通過一個(gè)具體的案例來對這個(gè)取證難點(diǎn)問題進(jìn)行研究，本文針對Android系統(tǒng)手機(jī)木馬進(jìn)行分析。

1 利用短信劫持型手機(jī)木馬盜取賬戶資金案件分析

2015年6月，某省最大的一家第三方支付平臺報(bào)案稱：系統(tǒng)監(jiān)測到100余個(gè)賬戶存在異常轉(zhuǎn)賬行為，累計(jì)被盜金額達(dá)1000余萬元。這是一起典型的利用手機(jī)木馬盜取賬戶資金案件。

在這起案件中，被害人描述了這樣一些情況：很多用戶的銀行卡未開通網(wǎng)上銀行或電話銀行服務(wù)、銀行卡號和密碼也沒有泄露、口令卡和U盾也沒有遺失，但是卡內(nèi)的資金卻被轉(zhuǎn)走了。通過調(diào)查辦案人員發(fā)現(xiàn)很多被害人手機(jī)上都收到過圖1所示短信。

圖1 被害人手機(jī)上收到的短信

這條短信的來電顯示號碼是10086，短信內(nèi)容提示用戶登陸網(wǎng)站兌換積分。這不是真正的中國移動官網(wǎng)地址，而是一個(gè)經(jīng)過偽裝的惡意網(wǎng)站鏈接。如果用戶點(diǎn)擊訪問了這個(gè)惡意網(wǎng)站，可能會導(dǎo)致他的手機(jī)感染木馬程序。這條詐騙短信是由偽基站設(shè)備發(fā)送的，“偽基站”可以偽造任意來電顯示號碼、設(shè)置任意內(nèi)容、群發(fā)詐騙短信。犯罪分子通常是偽造10086、95588等官方號碼發(fā)送詐騙信息。

“偽基站”設(shè)備一般是由一臺筆記本電腦或一部智能手機(jī)與一個(gè)小型信號發(fā)射器組成[2]。正常情況下手機(jī)會與最近的合法基站取得聯(lián)系，并通過它與外界通信。當(dāng)偽基站開始工作后，它發(fā)出的信號頻率與合法基站相同，但信號強(qiáng)度更大，會阻斷手機(jī)與合法基站之間的通信鏈路。利用這短短10幾秒鐘時(shí)間，犯罪分子會將預(yù)先編輯好的詐騙短信發(fā)送到用戶手機(jī)端，隨后釋放信號，恢復(fù)手機(jī)正常的網(wǎng)絡(luò)通信。由于網(wǎng)絡(luò)切換時(shí)間非常短，用戶很難察覺到這種異常，見圖2。

圖2 “短信劫持型手機(jī)木馬”資金盜取流程

當(dāng)用戶看到短信后，誤認(rèn)為是中國移動發(fā)給自己的，于是點(diǎn)擊地址鏈接訪問惡意網(wǎng)站。而惡意網(wǎng)站會誘導(dǎo)用戶下載并安裝一個(gè)名為“移動掌上客戶端”的軟件，這個(gè)軟件實(shí)際上就是一個(gè)木馬程序。木馬會自動搜集被害人的通信錄、短信箱和微信內(nèi)容，并將這些數(shù)據(jù)發(fā)送到犯罪嫌疑人指定的電子郵箱里。犯罪嫌疑人會從這些數(shù)據(jù)中篩選出4種信息：身份證號、姓名、銀行卡號和手機(jī)號碼。

犯罪嫌疑人利用這4種信息在第三方支付平臺冒充被害人注冊一個(gè)賬戶，并嘗試轉(zhuǎn)移被害人銀行卡內(nèi)的資金。這個(gè)行為會促使平臺給被害人手機(jī)發(fā)出一條短信驗(yàn)證碼，這時(shí)，木馬會再次發(fā)揮作用，它會攔截這條短信，不讓用戶查看，并將短信轉(zhuǎn)發(fā)給犯罪嫌疑人手機(jī)，最后犯罪嫌疑人提交驗(yàn)證碼，通過平臺驗(yàn)證，實(shí)現(xiàn)資金盜取。這就是這起案件完整的作案流程。

在這起案件中送到實(shí)驗(yàn)室進(jìn)行檢驗(yàn)鑒定的是從被害人手機(jī)上提取到的“移動掌上客戶端”程序，也就是手機(jī)木馬程序。檢驗(yàn)要求是從這個(gè)木馬程序中提取出犯罪嫌疑人的電子郵箱賬戶、登陸密碼和犯罪嫌疑人的手機(jī)號碼，同時(shí)對木馬程序進(jìn)行功能鑒定。

2 檢驗(yàn)方法分析

2.1 靜態(tài)源代碼分析法

目前手機(jī)木馬程序常用的檢驗(yàn)方法是靜態(tài)源代碼分析法[3]。它是將APK類型的木馬程序轉(zhuǎn)化為Java源程序，再從Java源代碼中提取出犯罪嫌疑人的手機(jī)號、郵箱賬戶等關(guān)鍵配置信息。這種靜態(tài)源代碼分析法在早期老款木馬程序鑒定工作中確實(shí)取得了顯著效果，但是它無法勝任近一兩年出現(xiàn)的新型木馬的檢驗(yàn)鑒定工作。

2014年筆者鑒定了一起手機(jī)木馬盜取資金案件，在那起案件中，送檢的就是一個(gè)老款木馬程序。將這個(gè)木馬轉(zhuǎn)換為Java源代碼之后，可以看到圖3所示程序，這里出現(xiàn)的手機(jī)號碼就是犯罪嫌疑人用來接收短信的手機(jī)號。繼續(xù)瀏覽Java源程序，還可以找到犯罪嫌疑人的電子郵箱賬戶名和密碼。通過分析這個(gè)老款木馬，可以發(fā)現(xiàn)從Java源程序中找到犯罪嫌疑人的手機(jī)號和郵箱賬戶并不困難。同樣，犯罪分子也發(fā)現(xiàn)了這個(gè)問題，于是在近一兩年出現(xiàn)的新型木馬程序中，關(guān)鍵配置信息都被經(jīng)過了加密處理。我們看到的Java源程序如圖4都是密文數(shù)據(jù)。在本文使用的案例中，送檢的就是一種新型木馬程序，所有關(guān)鍵信息都經(jīng)過了加密處理。

圖3 老款木馬程序

圖4 新款木馬程序

目前比較常見的一種解決方案是在木馬程序中尋找解密代碼，找到之后，編寫程序完成解密[4]。但對于普通偵查人員來說，需要一種相對便捷、快速的方法來獲取案件線索。本文提出一種相對簡單的辦法，讓木馬程序自己進(jìn)行解密。該方法關(guān)鍵就是讓木馬在一部測試手機(jī)上真實(shí)的運(yùn)行起來，運(yùn)行之后就會自動解密數(shù)據(jù)，而檢驗(yàn)人員要做的就是把解密之后的結(jié)果提取出來。

2.2 動態(tài)檢驗(yàn)方法

準(zhǔn)備一部測試用Android手機(jī)，將送檢的木馬程序運(yùn)行在手機(jī)上，木馬運(yùn)行之后，會向犯罪嫌疑人的郵箱發(fā)送一封電子郵件，把竊取到的信息發(fā)送給犯罪嫌疑人。木馬在發(fā)出這封郵件之前，會先解密犯罪嫌疑人郵箱賬戶名和密碼，解密之后的賬戶信息會出現(xiàn)在郵件數(shù)據(jù)中，只要截獲這組通信數(shù)據(jù)，就可以從中提取出解密之后的郵箱賬戶名和密碼。同樣，木馬運(yùn)行之后會和犯罪嫌疑人手機(jī)通過短信進(jìn)行聯(lián)系，在發(fā)出短信之前，木馬會先解密犯罪嫌疑人手機(jī)號，只要截獲這組短信數(shù)據(jù)，就可以提取出犯罪嫌疑人的手機(jī)號。手機(jī)木馬的動態(tài)檢驗(yàn)方法，檢驗(yàn)人員不用關(guān)心具體的解密過程，木馬運(yùn)行之后，會自己完成這個(gè)解密任務(wù)，只要把木馬發(fā)出的郵件和短信數(shù)據(jù)截獲下來，就可以從中提取出解密之后的信息，見圖5。

圖5 動態(tài)檢驗(yàn)方法

3 提取犯罪嫌疑人電子郵箱賬戶名和密碼

第一個(gè)檢驗(yàn)任務(wù)是從木馬發(fā)出的郵件數(shù)據(jù)中提取出犯罪嫌疑人的電子郵箱賬戶名和密碼。圖6中間設(shè)備就是普通家庭使用的無線wifi路由器，在測試手機(jī)上運(yùn)行送檢的木馬程序。正常情況下，木馬發(fā)出的郵件數(shù)據(jù)會首先提交給無線路由器，再由無線路由器轉(zhuǎn)發(fā)給互聯(lián)網(wǎng)上的郵件服務(wù)器，返回?cái)?shù)據(jù)也是沿著這一路徑到達(dá)測試手機(jī)。只要能截獲這組通信數(shù)據(jù)，就可以從中提取出犯罪嫌疑人的電子郵箱賬戶名和密碼。本文采用ARP監(jiān)聽的辦法對木馬發(fā)出的郵件數(shù)據(jù)實(shí)施監(jiān)聽。具體的檢驗(yàn)步驟如下：首先，準(zhǔn)備一臺檢驗(yàn)主機(jī)，在這臺主機(jī)上對無線路由器和測試手機(jī)實(shí)施ARP監(jiān)聽。它會發(fā)出大量特殊的ARP數(shù)據(jù)包，這些數(shù)據(jù)包不會對這兩部設(shè)備造成任何損壞，但是會改變測試手機(jī)網(wǎng)絡(luò)數(shù)據(jù)的傳輸流向。ARP監(jiān)聽成功實(shí)施之后，手機(jī)木馬發(fā)出的郵件數(shù)據(jù)不在提交給無線路由器，而是先提交給檢驗(yàn)主機(jī)，再由它轉(zhuǎn)發(fā)給無線路由器，并最終到達(dá)郵件服務(wù)器。也就是說，檢驗(yàn)主機(jī)成為通信的中轉(zhuǎn)站，可以在這臺主機(jī)上捕獲通信數(shù)據(jù)，提取出犯罪嫌疑人的郵箱賬戶信息。

圖7是使用wireshark捕獲的郵件數(shù)據(jù)，數(shù)據(jù)量比較大。觀察這組數(shù)據(jù)，發(fā)現(xiàn)有一些英文單詞，還有大量的亂碼數(shù)據(jù)。這些亂碼數(shù)據(jù)實(shí)際上是一種特殊的編碼數(shù)據(jù)，具體是哪種類型編碼在郵件當(dāng)中已經(jīng)記錄。Content-Transfer-Encoding:base64，說明這封郵件數(shù)據(jù)經(jīng)過base64編碼處理，可以使用任何一款base64解碼軟件還原這些數(shù)據(jù)。第一行編碼數(shù)據(jù)還原之后對應(yīng)的是一個(gè)郵箱賬戶名，第二行編碼數(shù)據(jù)還原之后對應(yīng)的是這個(gè)郵箱的密碼，這封郵件的主題是“通信錄和短信”，最后一大組編碼數(shù)據(jù)就是郵件正文，還原之后顯示，郵件正文是這部測試手機(jī)的通信錄和短信箱內(nèi)容。通過對郵件數(shù)據(jù)的分析，獲得了犯罪嫌疑人的電子郵箱賬戶名和密碼，發(fā)現(xiàn)木馬程序會將被害人手機(jī)上的通信錄、短信箱內(nèi)容發(fā)送到犯罪嫌疑人的電子郵箱。

圖6 截獲木馬發(fā)出的郵件數(shù)據(jù)

圖7 電子郵件內(nèi)容

4 編寫監(jiān)控軟件、提取犯罪嫌疑人手機(jī)號碼

為了提取出犯罪嫌疑人的手機(jī)號碼，筆者設(shè)計(jì)了一款短信監(jiān)控軟件，這款軟件采用了和現(xiàn)有監(jiān)控軟件完全不同的設(shè)計(jì)思路，可以截獲手機(jī)發(fā)出的所有短信，包括木馬發(fā)出的短信數(shù)據(jù)。

4.1 Android系統(tǒng)的短信發(fā)送接口

Android系統(tǒng)提供的短信發(fā)送接口基本都封裝在SmsManager和SmsMessage類中[5]。圖8顯示的是使用SmsMessage類發(fā)送短信的一段典型代碼。使用Intent機(jī)制發(fā)送短信，smsto后面是接收短信號碼，sms_body后面參數(shù)是短信內(nèi)容。

圖8 通過SmsMessage類發(fā)送短信

圖9顯示的是使用SmsManager類發(fā)送短信的典型代碼。SendTextMessage函數(shù)負(fù)責(zé)發(fā)送一條短信數(shù)據(jù)，參數(shù)1代表目標(biāo)電話號碼；參數(shù)2是短信中心號碼，null為默認(rèn)中心號碼；參數(shù)3為短信內(nèi)容；參數(shù)4封裝了短信發(fā)送成功或失敗的狀態(tài)信息；參數(shù)5封裝了對方接收短信成功或失敗的狀態(tài)信息。目前在鑒定工作中遇到的APK樣本程序均采用SmsManager類的SendTextMessage函數(shù)發(fā)送短信。本文以此函數(shù)為例介紹犯罪嫌疑人手機(jī)號碼的提取方法，其它類型接口也可采用相同方法建立。

圖9 通過SmsManager類發(fā)送短信

4.2 利用Hook機(jī)制劫持SendTextMessage函數(shù)實(shí)現(xiàn)外發(fā)短信攔截

Hook技術(shù)通過向目標(biāo)進(jìn)程注入動態(tài)鏈接庫，替換進(jìn)程中原有的函數(shù)，從而實(shí)現(xiàn)特定功能。最初Hook技術(shù)主要用于修改、完善操作系統(tǒng)的一些默認(rèn)函數(shù)，增加某些特定功能。例如，各類Windows平臺上開發(fā)的電子詞典軟件均具有一個(gè)自動光標(biāo)取詞功能，就是利用Hook技術(shù)把操作系統(tǒng)默認(rèn)的字符串輸出函數(shù)替換為電子詞典開發(fā)商自設(shè)函數(shù)，從而可以得到屏幕上任何位置的文字信息。

圖10 利用Hook機(jī)制實(shí)現(xiàn)短信攔截

如圖10所示，本文使用Hook技術(shù)實(shí)現(xiàn)對木馬進(jìn)程Trojan中SendTextMessage函數(shù)的劫持，當(dāng)木馬進(jìn)程調(diào)用SendTextMessage函數(shù)發(fā)送短信時(shí)，進(jìn)程實(shí)際調(diào)用執(zhí)行的是經(jīng)過替換的Hook_SendTextMessage函數(shù)。這個(gè)函數(shù)在執(zhí)行原始短信發(fā)送任務(wù)之后，會通過一個(gè)自編函數(shù)Get_Tel_Message從接收到的參數(shù)中提取出短信目的號碼和短信內(nèi)容，之后返回進(jìn)程，執(zhí)行后面正常的邏輯功能。

實(shí)現(xiàn)Hook木馬進(jìn)程需要解決的問題：如何附著目標(biāo)進(jìn)程，如何向目標(biāo)進(jìn)程注入特定的動態(tài)鏈接庫，如何促使目標(biāo)進(jìn)程執(zhí)行自己編寫的替換函數(shù)。這些繁瑣、復(fù)雜的任務(wù)不需要我們自行編寫代碼去完成，可以利用現(xiàn)有的Android平臺的Hook工具來實(shí)現(xiàn)。目前現(xiàn)有的Android平臺Hook工具：Xposed框架和CydiaSubstrate框架。本文采用CydiaSubstrate框架實(shí)現(xiàn)Hook木馬進(jìn)程中的SendTextMessage函數(shù)。

CydiaSubstrate框架是一個(gè)Android系統(tǒng)代碼修改平臺，通過它可以修改任何系統(tǒng)函數(shù)功能，這些函數(shù)可以是用Java或者C語言編寫。Android系統(tǒng)上的Hook技術(shù)包括全局Hook和特定進(jìn)程Hook，為了提高軟件操作的簡便性和適用性，本文采用全局Hook技術(shù)，如圖11所示。在Android平臺上所有進(jìn)程都是由zygote進(jìn)程孵化出來的，zygote進(jìn)程在啟動運(yùn)行時(shí)會建立一個(gè)dalvik虛擬機(jī)實(shí)例，當(dāng)它每次孵化一個(gè)新的進(jìn)程運(yùn)行時(shí)，這個(gè)dalvik虛擬機(jī)會自動復(fù)制到新產(chǎn)生的進(jìn)程中去，這樣一來，每個(gè)新產(chǎn)生的進(jìn)程都有一個(gè)獨(dú)立的dalvik虛擬機(jī)實(shí)例。本文選擇對zygote進(jìn)程實(shí)施Hook（對SendTextMessage函數(shù)實(shí)施替換，實(shí)現(xiàn)短信號碼和短信內(nèi)容的劫持提?。瑥亩_(dá)到對Android系統(tǒng)上運(yùn)行的所有進(jìn)程（包括木馬進(jìn)程的Hook）。這樣作的好處是開發(fā)出的軟件只需運(yùn)行一次，就可以對不同的木馬程序外發(fā)短信情況進(jìn)行監(jiān)視，而不需要對每個(gè)木馬程序進(jìn)行單獨(dú)設(shè)置。

圖11 對zygote進(jìn)程實(shí)施全局hook注入

4.3 短信攔截軟件的設(shè)計(jì)、測試

跨進(jìn)程Hook操作需要Root權(quán)限，因此要先將測試手機(jī)設(shè)置為Root模式。之后，從官方網(wǎng)站下載Cydiasubstrate框架本地服務(wù)應(yīng)用程序Substrate.apk和動態(tài)連接庫文件，將這些程序文件安裝到測試手機(jī)上。之后按照如下步驟編寫、測試短信攔截軟件。

首先創(chuàng)建一個(gè)新的Android工程，由于設(shè)計(jì)的短信劫持程序?qū)硎且圆寮男问郊虞d運(yùn)行，因此不需要activity。之后，在AndroidManifest.xml文件中配置權(quán)限和主入口，代碼如圖12所示。聲明cydia. permission.SUBSTRATE權(quán)限和substrate的主入口。

圖12 添加權(quán)限和主入口

實(shí)現(xiàn)主入口Main.Java類，Hook系統(tǒng)SmsManager類中的SendTextMessage函數(shù)，部分核心代碼如圖13所示。程序首先調(diào)用HookClassLoad函數(shù)檢測SmsManager類何時(shí)被加載，函數(shù)原型定義如下：void hookClassLoad（String name， MS.ClassLoadHook hook）；其中name參數(shù)存儲類名稱，采用“包名+類名”格式，使用“.”符號分隔；Hook 參數(shù)表示成功Hook一個(gè)類之后返回的指針。因?yàn)橐粋€(gè)被監(jiān)控的特定類可以在任何時(shí)刻被目標(biāo)進(jìn)程加載，因此，CydiaSubstrate通過這個(gè)方法可以檢測特定的類何時(shí)被加載，并在這個(gè)類被加載時(shí)發(fā)出通知。之后，程序調(diào)用GetMethod函數(shù)獲取SmsManager類中的SendTextMessage方法。利用HookMethod函數(shù)實(shí)現(xiàn)Hook功能，從原始SendTextMessage方法中依次提取出目標(biāo)電話號碼、中心號碼和短信內(nèi)容，將這些信息利用系統(tǒng)日志打印輸出。

圖13 hook系統(tǒng)SmsManager類中的sendTextMessage函數(shù)

最后重新啟動測試手機(jī)，運(yùn)行木馬程序，在log中可以查看到木馬程序給犯罪嫌疑人手機(jī)發(fā)送短信的日志記錄，從中可以提取出犯罪嫌疑人的手機(jī)號碼和短信內(nèi)容，日志記錄樣見圖14。

圖14 日志記錄樣

5 總結(jié)

本文提出的動態(tài)檢驗(yàn)方法可以從木馬發(fā)出的通信數(shù)據(jù)中提取出解密之后的犯罪嫌疑人手機(jī)號碼、電子郵箱賬戶名和密碼，可以獲得木馬程序運(yùn)行之后表現(xiàn)出的行為特征[6]。該方法的缺點(diǎn)是將測試手機(jī)內(nèi)的短信箱和通信錄發(fā)送到犯罪嫌疑人手機(jī)上。因此，應(yīng)對測試手機(jī)內(nèi)存儲的相關(guān)信息進(jìn)行預(yù)處理，防止引起犯罪嫌疑人察覺?？梢匝芯坎捎锰摂M機(jī)的方法對木馬程序進(jìn)行測試，所有短信和郵件數(shù)據(jù)都在虛擬機(jī)環(huán)境內(nèi)收發(fā)，以達(dá)到更好的隱蔽性。

[1]黃志敏,熊緯輝.利用“手機(jī)短信木馬”實(shí)施網(wǎng)絡(luò)盜竊犯罪的特點(diǎn)及防控對策[J].河北公安警察職業(yè)學(xué)院學(xué)報(bào),2016(16):37-40.

[2]徐國天.GSMS類型偽基站檢驗(yàn)方法研究[J].警察技術(shù),2016(3):57-60.

[3]徐國天.基于“行為模擬”的木馬線索調(diào)查方法[J].刑事技術(shù),2014(2):19-22.

[4]董蕾,黃淑華,尹浩然.基于Android平臺的手機(jī)木馬關(guān)鍵技術(shù)分析[J].信息網(wǎng)絡(luò)安全,2012(11):63-65.

[5]蔡羅成.Android后臺監(jiān)聽實(shí)現(xiàn)機(jī)制淺析[J].信息安全與通信保密,2010(6):39-41.

[6]徐國天.基于“偽基站”的電信詐騙犯罪案件線索調(diào)查方法研究[J].中國刑警學(xué)院學(xué)報(bào),2015(4):38-41.

（責(zé)任編輯：于 萍）

Research on Dynamic Forensic Method of SMS Hijacking Trojan

XU Guo-tian

(Computer Crime Investigation Department of Criminal Investigation Police University of China Liaoning Shenyang 110035)

In a number of new Trojan program, the suspect’s phone number, email accounts and other information are encrypted. It is a diffcult problem to crack the encrypted data. A dynamic test method for mobile phone Trojan program is presented. In this test, Trojan program is run on a mobile phone, and Trojan will automatically decrypt data. Decryption data will appear in the e-mail and messages sent by Trojans. As long as we capture the data, we can extract the clear text data. The method can be used to extract the suspect’s email account and password from the email data sent by Trojan horse. The message monitoring software designed by the author can be used to capture the short message data which is sent by Trojan horse, and extract the suspect’s mobile phone number. The dynamic test method of mobile phone Trojan can be used to test the new Trojan horse.

SMS Hijacking Trojan Dynamic forensic ARP monitoring HOOK

TP31

A

2095-7939（2017）04-0111-06

10.14060/j.issn.2095-7939.2017.04.023

2017-03-27

遼寧省教育科學(xué)“十二五”規(guī)劃課題（編號：JG14db440）； 遼寧省自然科學(xué)基金計(jì)劃項(xiàng)目（編號：2015020091）； 公安理論及軟科學(xué)研究計(jì)劃課題（編號：2016LLYJXJXY013）；公安部技術(shù)研究計(jì)劃課題（編號：2016JSYJB06）。

徐國天（1978-），男，遼寧沈陽人，中國刑事警察學(xué)院網(wǎng)絡(luò)犯罪偵查系副教授，主要從事電子物證研究。