问:最近小米手机被发现隐藏木马事件,令不少手机用户人心惶惶。究竟有没有手机连接主机清单的程式,可令木马无所遁形﹖

李建军:其实大部分怀疑与木马有关的连接,都可以透过具有Netstat功能的程式清查出来。Netstat会将系统成功连接的TCP和UDP通讯主机列出,除非个别程式以高超技巧隐藏与之连接的主机IP,否则木马只要持续连接到互联网,Netstat一类的程式都会列出木马连接的主机IP,以及所使用的通讯埠口,难以遁形。

问:很多人都知Windows、Mac和Linux等桌面作业系统,都已经内置了Netstat程式,只要用家懂得相关指令,就可以取得相关资料。而在iOS和Android,并不具有用户介面去下达Netstat相关的指令,那iOS和Android又会否有应用程式,可以做到这一点?

李建军:Android和iOS都有应用程式做到Netstat的功能,这亦是为何小米偷偷连接到北京主机仍然被人发现。在Android,一般这类程式都以Connection List等名义出现,选择相当多,由免费到收费都有,听众可以按自己的技术能力和习惯去决定下载哪一个。而在iOS,这程式就叫Netstat,基本功能是免费的,如果想用比较高阶的功能,就要付港币八元至二十八元不等的附加费用,可以透过应用程式内的升级功能去付款进行升级。

问:有了Netstat程式之后,怎样断定连接有问题的主机?需要什么技巧?

李建军:一般而言,正常的App都会域名方式连接到App所需要的主机,例如Skype一般会连接微软的主机,而Facebook会连接Facebook名字相关的主机上,有域名的主机,都会是正常软件会连接的主机,用户不用担心他们。

而木马之类的程式,一般会以IP数字来连接到木马所需的主机,而要揭破这堆IP背后的真正目的地以及主人,就要依赖WHOIS功能,透过WHOIS主机的查询,可以知道个别IP的拥有者以及地理位置。 WHOIS查询是免费的,亦不需要什么技术知识,只要透过浏览器进行便可。而中国当局相关的木马,一般都会连上以中国为基地的主机,但亦有少数例子可能连到乌克兰、俄罗斯、甚至美国的主机。

问:有了Netstat之后,是否代表自已已经绝对掌握到电话数据的去向,相当安全?

李建军:虽然Netstat可以掌握到大部分应用程式所连接的IP,但有少部分程式可能会掩藏自己连接的主机发现不到,又或者将资料一并传到正常程式会连接的主机,就像小米手机被发现连接有问题的那堆IP中,有部分与QQ有关,用户就会以为是惯常的QQ通讯而掉以轻心。因此, Netstat可以清查到大部分古怪的通讯,但如果不想有部分漏网之鱼成功掩藏自己身份,应避免在重要的手机中使用QQ一类的程式,因QQ或中国公司出产的防毒软件,甚至政府机关推出的应用程式,最容易被有心人用来掩藏自己的奇怪通讯。

问:那知道个别IP可能有问题,又能否可以阻止个别程式继续执行?

李建军:透过Netstat发现有问题通讯只是第一步,可以尝试利用Task Manager一类的软件,终止执行一些不正常的程式,但有部分木马可以将自己乔装成系统的主要程式,令你明知有古怪,都停止不了程式执行,若遇到这种情况,你可能要重新安装整部手机,甚至要换掉手机才能够保证自己安全,因此不能以为安装了Netstat之类程式,就因此可以安寝无忧。(完)

原地址:http://www.rfa.org/cantonese/firewall_features/troy-virus-08292014083211.html?encoding=simplified
翻墙技术博客订阅地址及社交帐号