SDR（五）hackrf_gsm

0x0 环境

kali2.0 or mac

0x1 安装库

sudo apt-get install hackrf libhackrf-dev libhackrf0
sudo apt-get install gnuradio gnuradio-dev gr-osmosdr gqrx-sdr wireshark

0x2 编译安装

0x21 安装gr-gsm

git clone https://github.com/ptrkrysik/gr-gsm.git
cd gr-gsm 
mkdir build
cd build
cmake ..
make
sudo make install
sudo ldconfig

遇到的坑：
1、CMake Error at CMakeLists.txt:76 (message): SWIG required to compile gr-gsm
2、No package ‘libosmocore’ found

git clone git://git.osmocom.org/libosmocore.git
cd libosmocore/
autoreconf -i
./configure
make
sudo make install
sudo ldconfig -i

3、mac版缺少libpcsc

./configure --disable-pcsc #libpcsclite isn't available on OS X

4、/usr/bin: python2: No such file or directory

sudo ln -s /usr/bin/python2.7 /usr/local/bin/python2

5、完成后编译其他程序无法读取到libosmocore
~/.zshrc添PKG_CONFIG_PATH=$PKG_CONFIG_PATH:/Users/***/Desktop/source/rf/libosmocore

export PKG_CONFIG_PATH

0x22 安装kalibrate-hackrf

能够识别GSM信号运营商的工具

git clone https://github.com/scateu/kalibrate-hackrf.git
cd kalibrate-hackrf
./bootstrap
./configure
make
sudo make install

0x3 采集

识别GSM信号运营商

0x4 信号

每个小波峰都是一个信道

很明显的离散信号


信号都是分段的

0x5 采集

gr-gsm工具编译完成后，gr-gsm/apps生成文件：

使用gnuradio加载监听程序文件，实时信号采集如下：

gnuradio-companion ./grgsm_livemon.grc

wireshark查看数据包（实际没采集到，这些是示例数据包）
sudo wireshark -k -Y 'gsmtap && !icmp' -i lo

​

Android/Malware（三）“Dvmap”恶意软件分析报告

（2017年6月9日发布于AVLTeam blog 关于“Dvmap”安卓恶意软件分析报告，那天晚上11点刚准备收拾东西下班回家，结果接了个电话...个人主要完成前面中规中矩的样本分析部分，确定中文注释是由于攻击者使用了kingroot工具。文章中对攻击者身份的分析比较有意思）

一、分析背景

　　2017年6月8日下午，国际知名反病毒厂商卡巴斯基（Kaspersky）发布名为《Dvmap: the first Android malware with code injection》（《Dvmap：第一种具备代码注入能力的安卓恶意软件》）的分析报告。由于该报告所涉及恶意样本为第一种对Android系统平台运行库进行恶意代码注入的恶意软件，且在报告中提及该恶意软件所包含的“.root_sh”脚本文件中存在中文注释，这引起安天移动安全分析团队高度重视，当即组织专业人员对该报告中所涉及恶意软件样本进行紧急分析。

二、分析内容

　　基于国际领先的恶意样本静态分析与动态养殖技术能力，以及强大的移动安全大数据能力，安天移动安全团队对卡巴斯基原报告的解读以及此次恶意软件时间的分析分成移动恶意样本分析与移动威胁情报分析两个方向同时进行。

2.1 移动恶意样本分析

2.1.1 恶意样本植入基本信息分析

2.1.2 恶意样本分析

　　恶意样本文件com.colourblock.flood.apk伪装为一个小游戏，运行界面如下图：

　　该apk本身并不显性表现恶意代码与行为，但会根据植入终端系统版本、cpu类型等信息解密其内嵌的恶意文件“Game*.res”。其代码如下：

　　这批内嵌恶意文件作用如下:

　　代码解密后会在/data/data/com.colourblock.flood/TestCache/路径释放恶意程序 ，其代码如下：

　　最终释放的文件如下图(32位与64位文件结构基本一致）：

　　解密后分析恶意文件信息汇总如下：

　　中间文件汇总信息如下表：

　　com.qualcmm.timeservices.apk为最终被植入的远控恶意载荷apk，从命名上分析，该恶意载荷试图伪装为高通的时间服务程序，其主要作用为与远控服务器通信并执行远控任务。

　　通信服务器url通过拼接而成，访问url如下: http://d3pritf0m3bku5.cloudfront.net/android/event.php?id=%s&xc=%s&rtsid=%s&v=2&type=2&tm=%d TimeServices与服务器通信会执行远控任务、下载文件并执行，但服务器已失活无法获取到下载的文件。

　　与服务器通信后在/data/data/com.qualcmm.timeservices/shared_prefs/TaskList.xml生成任务列表。

2.1.2.1 提权文件部分分析

　　“.root.sh”脚本用于执行提权，并最终植入远控恶意子包载荷，其中文部分主要位于脚本开头的注释，并不直接提供恶意软件功能。

　　脚本最后完成安装后，进一步执行恶意远控子包com.qualcmm.timeservices ，代码如下图：

　　另外，还应注意到在恶意样本的多个bin文件里均出现“kinguser.apk”信息，可以推测该恶意样本使用了中国开发者所开发的kingroot工具的exp程序用于提权。信息示例如下图所示：

2.1.2.2 恶意载荷部分分析

　　入口程序start，获取设备信息，会根据不同系统版本选择植入恶意代码到系统/system/lib/libandroid_runtime.so的nativeForkAndSpecialize方法（Android>=5.0)，或/system/lib/libdvm.so的_Z30dvmHeapSourceStartupBeforeForkv方法(Android>=4.4)，均为与Dalvik和ART运行时环境相关的运行库。

　　同时会用myip替换原始的/system/bin/ip，并替换/system/build.pro文件。

　　要注意到，myip程序无原始ip文件功能，其作用主要用于修改恶意程序的策略等信息，设置com.qualcmm.timeservices.apk应用为设备管理器。

　　另外，还发现该恶意代码开发者有一定的反侦察自我保护能力，对恶意样本实施了部分保护措施，如隐匿apk生成时间， 在生成apk时修改系统本地时间，导致解包apk文件获取到的生成时间为1979年。

但通过解压toy这个gzip包，仍然可以获取到postroot.sh的真实制作时间为2017/4/18，进而为后续的移动威胁情报分析提供必要的真实数据依据。

2.2 移动威胁情报分析

　　根据卡巴斯基原报告所述，该恶意软件伪装成名为“colourblock”的解密游戏于Google Play进行发布下载。

恶意软件Google Play发布页面

　　由于该恶意软件colourblock自3月下旬起，采用了在同一天内交替上传该软件的恶意版本与无害版本、借以绕过Google Play对其进行安全性检查的方式，导致其一直利用Google Play市场进行分发。借由此种方法多次上传其恶意版本及对其恶意载荷的加密处理，自3月下旬起至被卡巴斯基公司举报下架为止，该恶意软件已被累积下载超过50000次。

2.2.1 恶意样本数量种类分析

　　安天移动安全团队利用其自有的AVL Insight 2.0移动威胁情报平台，通过移动安全大数据对该恶意软件进行软件包名、开发者证书及样本hash值等多维度查询分析，发现该恶意软件样本版本与种类远大于卡巴斯基原报告中所提供的2种，而多达49种之多，即说明该恶意软件交替上传恶意与无害版本至Google Play的行为时间跨度更大、频率更高。

部分恶意软件样本hash值

2.2.2 恶意样本植入终端数据分析

　　根据AVL Insight 2.0终端安全检测数据分析，该恶意软件自其开发者证书生效当日即开始传播，并在较集中时间内完成早期第一次植入活动。

部分恶意样本早期植入终端数据

　　如上图所示，可以看出在AVL Insight移动威胁情报数据来源范围内，该恶意样本的早期第一次植入终端所在地域主要分布于印度尼西亚与印度。

　　而从该恶意软件初次上传到Google Play起截至今日，AVL Insight移动威胁情报平台所捕获被成功植入恶意样本的965台终端中，分布于印度尼西亚与印度的数量分别为220台与128台，占比分别为22.79%与13.26%，排第三的为加拿大，其被植入恶意样本的终端数量仅为48台，印度尼西亚区域内被植入恶意样本的终端数量在统计范围中占明显优势。

2.2.3 恶意样本载荷植入终端数据分析

　　根据对4种恶意样本的抽样静态与动态分析（分析报告见上节），发现该恶意样本的加密部分内含伪装成高通应用的远程控制程序com.qualcmm.timeservices，对该远程控制程序植入终端数据分析结果如下：

载荷植入终端早期数据

　　如上图所示，恶意样本载荷的样本数据初次采集时间为4月19日，植入终端所在位置为德国，但经深度分析后发现该样本运行环境为Remix OS For PC安卓模拟器，且其实际连入互联网方式为使用安全公司Avira的德国VPN服务器，因此具备较大的病毒测试设备嫌疑。由此可见，载荷植入终端早期数据中的第一台终端所在位置，有较大几率处于印度尼西亚。

　　同样对该载荷初次被捕获起截至今日的植入终端数据进行整体分析，AVL Insight移动威胁情报平台所捕获被成功植入恶意样本载荷的221台移动终端中，分布于印度尼西亚的数量为50台，印度的数量为20台排名第二，分别占22.62%与9.04%，印度尼西亚区域内被植入恶意载荷的比例显著最高。

2.2.4 威胁情报TTP分析

　　根据对恶意样本colourblock的Google Play市场缓存及全球其他分发来源的页面留存信息，得到Retgumhoap Kanumep为该恶意样本声明的作者姓名，但通过全网搜索与大数据碰撞比对，并不存在以该姓名发布的其他软件与该姓名相关的任何网络信息。

　　通过对该姓名Retgumhoap Kanumep的解读分析，发现将其姓“Kanumep”各字母从右至左逆序排列则为Pemunak，即印度尼西亚语“软件”之意：

Google翻译截图

　　而对其名字“Retgumhoap”进行分词为“Retg-umhoap”，由于“retg-”前缀为“return（返回）”之意，故尝试将“umhoap”字母排列逆时针转动180度，得到如下结果：

　　对单词“deoywn”进行全网搜索可知，曾有机器人程序使用邮箱 [email protected]在大量互联网站留言板页面自动发布留言：

使用可疑邮箱填写的留言板搜索结果

　　对该邮箱ID “bkueunclpa”进行语言识别，得知其为印度尼西亚方言：

Google翻译截图

　　根据上节所述，恶意样本载荷向位于亚马逊云的页面接口回传数据，该页面接口（已被关闭）如下： http://d3pritf0m3bku5.cloudfront.net/android/event.php?tc=%s&rc=%s&xc=%s&rtsid=%s&v=2&type=1&tm=%d 根据域名“d3pritf0m3bku5”分析，即“de pritfomebkus”，尝试用Google翻译识别其语种，仍为印度尼西亚方言：

Google翻译截图

三、分析结论

　　根据上节分析内容，可以初步认为在卡巴斯基原分析报告中专门提及的中文代码注释问题，应只是该恶意软件编写者直接使用了中国开发者编写的Kingroot脚本，而非直接与中国恶意软件开发者产生明显联系。

　　而通过恶意样本及开发者信息的语言特征判断，该恶意软件有较大几率与印度尼西亚开发者存在直接关系；另外，由于该恶意软件并没有在任何社交网站进行推广的网络记录，仅通过应用市场分发，因此其早期推广与分发行为，较大几率由恶意软件开发者就近在自身网络社交范围内通过其他手段进行，结合该恶意软件在早期植入的移动终端地域分布情况和整体总量植入移动终端地域分布情况，可以认为印度尼西亚有较大可能是该恶意软件的开发者所在地和主要受害者集中地域。

　　需要明确指出的是，由于远控服务器已被关停，恶意样本载荷不存在明显网络行为，开发者自我保护意识极强，以上现状都成为对恶意软件开发者溯源问题上的障碍，需要随着新的情报数据与样本信息的不断完善才能得到较为准确的结论。

　　但无论如何，这种在安卓平台上第一次出现的针对系统运行库进行恶意代码注入的恶意样本攻击方式，都值得高度重视。相信在可见的将来，会有更多利用类似系统漏洞进行木马植入的移动恶意样本出现，需要高度警惕和预防。

Intelligece（五）cia_Reverse Engineering

源地址：https://wikileaks.org/ciav7p1/cms/page_24281099.html

逆向工程

关于逆向工程iOS相关二进制/协议等的地方指南/技巧/一般信息

Lockdownd

概观

Lockdownd是设备上的守护进程，提供与iOS设备交互的服务。其中一些服务包括：

服务名称	描述
afc	Apple File Conduit，由iTunes用于在设备之间交换文件（主要是Media，如照片和视频）
syslog_relay	System Log Relay，由Xcode用于显示设备的syslog。 您可以通过转到Xcode - > Devices来在Xcode中看到这一点
diagnostics_relay	检索设备信息，以及电源相关功能，如睡眠，重新启动和关机。 请参阅https://github.com/Cykey/ios-reversed-headers/blob/master/MobileGestalt/MobileGestalt.h 您可以使用各种键来检索设备信息。

在iOS 8中，这些服务是在/ usr / libexec / lockdownd二进制文件中的一个xml文件（苹果公知的plist文件）中定义的。

它嵌入在二进制本身的一部分内，可以通过执行以下操作来提取：

在iOS 7中，这些服务是在一个单独的plist文件中定义的，位于/System/Libary/Lockdown/Services.plist中。

与Lockdownd沟通

要建立与lockdownd连接，您可以使用移动设备框架（位于/System/Library/PrivateFrameworks.framework/Versions/A/MobileDevice上OSX ）。该MDF  工具可以通过Python与它对接。请参阅MDF中的plistservice.py文件，了解如何连接到服务。

在iOS 8之前，发送给lockdownd的数据格式是一个二进制plist。在iOS 8中，一些服务（如aitd）已切换到NSKeyedArchiver格式（请参阅wirservice2.py，nskeyedarchiver.py，ait.py）。一旦建立了连接（和/或为某些服务（如aitd）发送了一个“Hello”），您将等到接收到由连接创建的套接字上的数据。

逆向Lockdownd

lockdownd的核心在于一个大功能（位于iPhone 7,2 8.1.3上的0x1000139a0）。您可以通过查找XREF到字符串“XPCServiceName”找到它。这是函数的一个预览：

在LLDB中查找功能

简单的方法

1. 加载二进制到IDA，查找你关心的功能
2. 通过LLDB连接到二进制文件
3. 连接后，运行：
   1. image dump sections<path to binary>
   2. 查找__TEXT段起始地址（PAGEZERO之后），复制
4. 回到IDA，然后Edit - >Segments - > Rebase Program
5. 选择Image base并粘贴复制的值
6. 复制函数的新地址
7. 在lldb中，disass -s <new address>

不太简单的方法

1. 将二进制加载到您选择的反汇编器中
2. 通过LLDB连接到二进制文件
3. 连接后，运行：
   1. image dump sections <path to binary>
   2. 查找__TEXT段起始地址，复制
4. 在二进制文件上运行otool -lv，找到__TEXT段的vmaddress
5. 从步骤3b的值减去第4步的值 - 这是SLIDE
6. 复制函数的地址，并加上SLIDE
7. 返回到lldb，disass -s <value from step 6>

iOS/Malware（八）FlexiSpy间谍件分析

项目结构

• 文件结构

• 上：最初泄露版本目录结构；下：更新后的版本目录结构

• • 工程	内嵌项目	功能	时间戳
    Apricot	AppEngine（主程序子模块）	iOS代码主体（最二版本）	07/06/2013（version.xml）
    ApricotV2	AppEngine（主程序子模块）	iOS代码主体（第三版本）	23/01/2015（version.xml）
    BlueBlood	blbla	macOS程序子模块
    	blbld	macOS程序子模块	6/14/16（代码备注）
    	blblu	macOS程序主体	13/07/2016（version.xml）
    codebase	129个功能模块	隐私窃取、程序更新等	1/11/2011－2016-07-29（代码备注）
    Cyclops	AppEngine（主程序子模块）	iOS代码主体（最早版本）	26/06/2012（version.xml）
    FeelSecure	AppEngine（主程序子模块）	iOS代码主体（各部分打包存放）
    	FeelSecure		两个版本（version.xml） 19/11/2012 25/12/2012
    	FeelSecureSettings
    FlexiSPY	AppEngine（主程序子模块）	iOS代码主体（最终版本）	29/07/2016（version.xml）
    GreenBlood	blbla	macOS程序子模块
    	blbld	macOS程序子模块	10/9/15（代码备注）
    	blblu	macOS程序主体	15/07/2016（version.xml）
    KnowIT	AppEngine（主程序子模块）	iOS代码主体（第五版本）	15/07/2016（version.xml）
    KnowITE	AppEngine（主程序子模块）	iOS代码主体（第四版本）	26/11/2015（version.xml）
    Panic+	AppEngine（主程序子模块）	同FeelSecure，iOS代码主体（各部分打包存放）
    	FeelSecure
    Tools	AutomateAESKey
    	CleanserTester
    	PCFChecksum
    	SecurityTool	加密模块，同iOS中SecurityManager子模块
    	UrlProtector

iOS平台

• iOS程序只有源码，没有可执行程序
• iOS程序需要先越狱才能安装
• 分析以最后版本FlexiSPY为主
  • 
    

    程序名	图标	bundle id	Bundle display name	Bundle version	EXECUTABLE_NAME
    FlexiSPY		com.applle.systemcore	Phone Monitor	4.9.1	systemcore

• 恶意代码潜伏位置，设备检查是否有以下目录或文件
  

  • 路径	作用	文件
    /Applications/systemcore.app	直接安装的程序，恶意代码主体	/Applications/systemcore.app/systemcore
    /usr/libexec/.systemcore/systemcore/	恶意代码主体即/Applications/systemcore.app隐藏的位置	/usr/libexec/.systemcore/systemcore/systemcore
    /Library/MobileSubstrate/DynamicLibraries/	添加越狱tweak插件	/Library/MobileSubstrate/DynamicLibraries/.MSFSP.dylib /Library/MobileSubstrate/DynamicLibraries/.MSFSP.plist /Library/MobileSubstrate/DynamicLibraries/.MSSPC.dylib /Library/MobileSubstrate/DynamicLibraries/.MSSPC.plist /Library/MobileSubstrate/DynamicLibraries/.MSFKL.dylib /Library/MobileSubstrate/DynamicLibraries/.MSFSRC.dylib /Library/MobileSubstrate/DynamicLibraries/.MSFSRC.plist
    /System/Library/LaunchDaemons/ /Library/LaunchDaemons/	设置守护进程，用于开机启动	/System/Library/LaunchDaemons/com.applle.systemcore.plist /Library/LaunchDaemons/com.applle.systemcore.plist
    /var/.lsalcore/	窃取的隐私信息数据库	/var/.lsalcore/rcm /var/.lsalcore/csm /var/.lsalcore/ddm /var/.lsalcore/etc/fs.plist

• iOS间谍程序开发规模

• 子模块&框架

模块	作用	作者	备注标明时间（该部分代码初次编写时间）
iOS程序主体	界面交互	Dominique  Mayrand Makara Khloth Ophat Phuetkasickonphasutha	2011-2014
AppEngine	恶意代码主体	Makara Khloth	2011-2012
TinderCaptureManager	控制获取社交软件Tinder聊天记录	Khaneid Hantanasiriskul	7/22/2559 BE（佛历，盛行于南亚、东南亚，如柬埔寨、泰国，以释迦牟尼涅槃年度为计算基准，换算过来为2016年）
InstagramCaptureManager	控制获取社交软件Instagram聊天记录	Khaneid Hantanasiriskul	7/15/2559 BE（佛历，2016年）
CallRecordManager	控制获取通话记录	Makara Khloth	11/30/15
TemporalControlManager	控制时间日期与闹钟	Benjawan Tanarattanakorn	2/18/2558 BE（佛历，2015年）
HistoricalEventManager	控制获取各类历史记录隐私信息	Benjawan Tanarattanakorn	12/3/2557 BE（佛历，2014年）
SlingshotCaptureManager	控制获取Slingshot（facebook推出类似Snapchat图片分享的app）记录	Makara	7/22/14
YahooMsgCaptureManager	控制获取YahooMsg聊天记录	Benjawan Tanarattanakorn	3/26/2557 BE（佛历，2014年）
HangoutCaptureManager	控制获取Hangout（google 环聊）聊天记录	Ophat Phuetkasickonphasutha	3/19/14
SnapchatCaptureManager	控制获取Snapchat（图片分享）记录	benjawan tanarattanakorn	3/13/2557 BE（佛历，2014年）
DeviceSettingsManager	控制设备设置	Makara	3/4/14
PasswordCaptureManager	控制获取社交软件的密码	Makara	2/26/14
BBMCaptureManager	控制获取BBM（黑莓通信软件）聊天记录	Ophat Phuetkasickonphasutha	11/20/13
FacebookCallLogCaptureManager	控制获取facebook通话记录	Benjawan Tanarattanakorn	9/6/13
KeyLogCaptureManager	控制获取键盘记录	Ophat Phuetkasickonphasutha	9/5/13
ViberCallLogCaptureManager	控制获取Viber（网络电话）通话记录	Benjawan Tanarattanakorn	9/3/13
LINECallLogCaptureManager	控制获取LINE（类似微信）通话记录	Benjawan Tanarattanakorn	8/28/13
WeChatCallLogCaptureManager	控制获取微信通话记录	Benjawan Tanarattanakorn	8/27/13
SkypeCallLogCaptureManager	控制获取Skype通话记录	Benjawan Tanarattanakorn	8/21/13
IMVersionControlManager	获取各个IM软件版本信息，确定是否支持获取隐私	Ophat Phuetkasickonphasutha	8/15/13
FaceTimeCaptureManager	控制获取FaceTime记录	Benjawan Tanarattanakorn	7/22/13
FaceTimeSpyCallManager	控制监听FaceTime通信（主要通过界面截图）	Makara Khloth	7/15/13
WeChatCaptureManager	控制获取微信聊天记录	Ophat Phuetkasickonphasutha	6/20/13
UpdateConfigurationManager	远程获取更新间谍软件配置	Makara Khloth	6/24/13
SoftwareUpdateManager	远程获取更新间谍软件	Ophat Phuetkasickonphasutha	6/17/13
ViberCaptureManager	控制获取Viber（网络电话）记录	Makara Khloth	11/27/12
CameraCaptureManager	控制获取相册照片	Benjawan Tanarattanakorn	6/5/12
CalendarManager	控制获取日历信息	Benjawan Tanarattanakorn	1/16/13
NoteManager	控制获取记事本信息	Ophat	1/16/13
FacebookCaptureManager	控制获取facebook消息记录	Makara Khloth	12/24/12
SkypeCaptureManager	控制获取skype消息记录	Makara Khloth	12/7/12
AmbientRecordingManager	控制获取Ambient（环境录音软件，多用于辅助睡眠）录音	Benjawan Tanarattanakorn	29/11/2012
LINECaptureManager	控制获取Line消息记录	Makara Khloth	11/27/12
BookmarkManager	控制获取safari书签	Benjawan Tanarattanakorn	7/9/12
ApplicationManager	控制安装/启动APP	Benjawan Tanarattanakorn	7/9/12
ALCManager	控制监控APP生存周期（ALC，ApplicationLifeCycle）	Makara Khloth	9/18/12
SecurityManager	混淆加密校验config.dat（同SecurityTool）	Makara Khloth	11/2/10
Cleanser	加密模块	Makara Khloth	10/23/12
BrowserUrlCaptureManager	控制获取safari历史记录和书签	Suttiporn Nitipitayanusad	4/27/12
AppAgent	监控电池、电源、存储空间、内存空间（有iOS和mac版本）	Benjawan Tanarattanakorn	9/12/12
WhatsAppCaptureManager	控制获取WhatsApp消息记录	Prasad M.B	28/03/2012
SpyCall	监听电话、facetime通话	Makara Khloth	3/14/12
MediaCaptureManager	控制获取视频、照片、桌面背景	Prasad M.B	14/2/2012
MediaThumbnail	获取视频、照片缩略图	Benjawan Tanarattanakorn	22/02/12
MediaFinder	媒体文件管理器	Makara Khloth	2/17/12
AddressbookManager	控制获取通讯录	Makara Khloth	6/13/12
MMSCaptureManager	控制获取彩信记录	Prasad M.B	31/1/2011
iMessageCaptureManager	控制获取iMessage消息记录	Makara Khloth	2/1/12
SystemUtils	控制获取设备、系统、app进程等信息	Prasad M.B	19/12/2011
MailCapture	控制获取邮箱内容	Prasad M.B	13/12/2011
ABContactsManager	控制获取联系人信息	Prasad M.B	1/11/2011
SMSCaptureManager	控制获取短信内容	Prasad M.B	28/11/2011
CallLogCapture	控制获取通话记录	Prasad M.B	30/11/2011
UnstructuredManager	非结构化数据处理（Http通信）	Pichaya Srifar	7/20/11
ProtocolBuilder	与服务器通信时构建数据格式	Pichaya Srifar Makara Khloth	7/26/11
HTTP	HTTP通信模块	Pichaya Srifar	7/22/11
Preference	控制获取设备偏好设置信息	Benjawan Tanarattanakorn Makara Khloth	28/11/11
SIMChangeCapture	监控sim卡、imsi等信息	Syam Sasidharan	06/11/2011
Cryptography	AES、RSA加密模块	Pichaya Srifar Jeff LaMarche	7/13/11 2/12/09
GZIP	压缩/解压模块	Pichaya Srifar	7/12/11
CRC32	冗余校验模块	Pichaya Srifar Makara Khloth	7/12/11 9/28/15
EDM	EventDeliveryManager，事件传递管理	Makara Khloth	10/26/11
LocationManager	控制获取地理位置	Prasad M.B	28/10/2011
IPC	IPC通信模块	Makara Khloth	1/6/14
RCM	RemoteCommandMager，远控指令管理	Prasad M.B Ophat Phuetkasickonphasutha Benjawan Tanarattanakorn Makara Khloth	17/11/2011 1/11/16 3/16/2558 BE（佛历，2015年） 6/18/12
Activation	间谍程序激活模块	Pichaya Srifar Gabriel Handford	11/1/11 4/8/09
TelephonyNotification	控制监听电话通知	Syam Sasidharan	04/11/2011
ConfigurationManager	间谍程序监控配置模块	Makara Khloth	11/22/11
EventRepos	事件数据库	Makara Khloth Benjawan Tanarattanakorn	10/3/11 9/3/13
ServerAddressManager	解密获取服务器地址	Dominique  Mayrand	11/22/11
ActivationCodeCapture	控制获取激活码、通话记录、记事本	Makara Khloth	11/23/11
FMDB	三方轻量级数据库	Peter Carr Andrew Goodale	6/12/12 3/27/14
CommandServiceManager	管理远控指令服务器通信	Pichaya Srifar	9/15/11
DDM	DataDeliveryManager，数据传递管理	Makara Khloth	10/19/11
LicenseManager	激活码管理	Pichaya Srifar	10/3/11
SMSSender	控制发送短信	Makara Khloth	11/16/11
EventCenter	事件中心	Makara Khloth	10/31/11
FxEvents	监控事件管理	Makara Khloth	1/18/13
FxStd		Makara Khloth Benjawan Tanarattanakorn Oliver Letterer	9/26/11 6/19/12 01.09.12
PhoneInfo	获取手机号码、imei等信息	Prasad Malekudiyi Balakrishn	10/6/11
ConnectionHistoryManager	连接服务器记录管理	Makara Khloth	11/28/11
AppContext	安装/卸载/启动APP	Dominique  Mayrand	12/21/11

• 主体
• 样本信息

  • bundle id	程序名	针对版本
    com.applle.systemcore		>=6.0

• 程序主项目主要是用于界面交互
• 恶意代码主体位于AppEngine模块中，设置并调用各个恶意功能模块（具体功能实现分别位于各个子项目）

• 获取各类历史记录隐私信息，VoIP实际为facetime

• 部分设备隐私保存位置

• 隐私说明	隐私位置
  照片、录音、音乐
  日期时间
  记事本
  safari书签
  cydia源
  通信录

• 远控指令类型 

• 控制获取的设备配置

• 控制获取社交软件的密码（强制结束程序，再捕获重新登陆时候的密码）

• 获取通话记录，保存信息路径，以及开启本地通信端口

• 监听facebook通信时使用界面截图

• 使用pp助手和盘古越狱

• 使用launch加载守护进程（需越狱，字符拼接形式）

• 备注里使用佛历标记的时间（2559 BE为公历2016年）

• • sh脚本

    • 文件名	作用	路径
      Install.sh	将可执行文件systemcore加入守护进程	/Applications/systemcore.app/Install.sh
      Uninstall.sh	删掉systemcore守护进程	/usr/libexec/.systemcore/systemcore/Uninstall.sh
      Update.sh	更新systemcore文件	/Applications/systemcore.app/Update.sh
      Lauch.sh	执行/usr/libexec/.systemcore/systemcore/systemcore文件	/usr/libexec/.systemcore/systemcore/Launch.sh

  • IoC 

类型	值	作用
domain	mflx.biz mobilefonex.com flexispy.com dmw.cc mobilebackup.biz depdemo.com
本地端口	30302	本地socket通信
url	http://client.mobilefonex.com/gateway http://58.137.119.229/RainbowCore http://58.137.119.230/Core/gateway http://csmobile.rs.mobilefonex.com/gateway http://dev-csmobile.flexispy.com/gateway http://svr-csmobile.flexispy.com/gateway	服务端 xx demo服务端 备注中服务端地址