作者|木有、陳川

視頻鏈接：https://www.bilibili.com/video/BV1Sf4y1u79x

這是一起典型的裸聊詐騙的過程，裸聊詐騙最惡劣的地方在于，他能榨干你所有的錢，被騙金額可能高達(dá)數(shù)十萬；

被害人害怕事情敗露，往往不敢報(bào)警，獨(dú)自吃下苦果，就怕校園財(cái)富排行榜上面出現(xiàn)自己；

而且即便你被騙了所有錢，對(duì)方仍然可能把裸聊視頻發(fā)出去，哎，就是玩兒。

所以，互聯(lián)網(wǎng)B面第四期，我們來聊聊，安全公司和警方是如何抓住這種違法犯罪分子的。

反攻的第一步就是從這個(gè)裸聊軟件入手。在安卓app的開發(fā)過程中，開發(fā)人員將Java源代碼編譯成安卓可以運(yùn)行的機(jī)器碼。

而安全公司和警察則可以將APP還原成Java源代碼來追蹤黑產(chǎn)的服務(wù)器，暴打黑產(chǎn)。

作為Android主要的開發(fā)語言，Java的設(shè)計(jì)哲學(xué)是追求跨平臺(tái)的兼容性——Write Once Run Anywhere。

實(shí)現(xiàn)這點(diǎn)需要配置一個(gè)虛擬環(huán)境，讓你的代碼在任何設(shè)備上都暢通無阻，而這個(gè)虛擬環(huán)境就是Android Runtime，簡(jiǎn)稱ART。

你的代碼被統(tǒng)一編譯、代碼合成為可以在ART中運(yùn)行的文件，這里的合成工具是dx，所以這個(gè)文件以.dex結(jié)尾，稱為classes.dex文件，最后classes.dex文件和資源文件，配置文件一起打包成我們常用的下載包—apk。

整個(gè)過程就像黑產(chǎn)在層層打包一個(gè)黑箱，而要打開這個(gè)精心編織的黑箱，最好的辦法就是把這個(gè)過程倒過來。

首先從apk中將classes.dex文件解壓出來，但此時(shí)的dex文件并不能直接查看。

這時(shí)就需要將dex文件轉(zhuǎn)化成可以查看的文件，classes_dex2jar.jar。

然后使用代碼查看工具——jd-gui，打開classes_dex2jar.jar，就可以查看APP的源代碼了。

拿到源代碼非常重要，通過源代碼，我們可以找到黑產(chǎn)的IP和服務(wù)器地址，

有的黑產(chǎn)甚至把QQ號(hào)微信號(hào)留在代碼里面，

如果代碼中服務(wù)器地址沒有設(shè)置權(quán)限，輸入IP還可以看到儲(chǔ)存在服務(wù)器中的裸聊視頻。

搞定這些就可以直接呼叫110，抓人封服務(wù)器，一頓爆錘。

我們剛才提到的這種情況是你主動(dòng)下載了注入病毒程序的APP，但更多情況下你下載的APP并無惡意，

例如淘寶，只是他們收集的信息因?yàn)槲覀兦皟善谥v的內(nèi)鬼泄露和API泄露了。

這個(gè)時(shí)候，就需要我們像黑產(chǎn)一樣思考問題。

不管黑產(chǎn)盜竊數(shù)據(jù)的手段有多高明，拿到數(shù)據(jù)以后肯定要到市場(chǎng)上去賣。

而我們就可以監(jiān)視這些數(shù)據(jù)的買賣。偷來的東西不怕它不出手，一旦出手就可以抓住現(xiàn)行，所以最重要的是監(jiān)視黑市中的數(shù)據(jù)交易。

首先我們可以拓展情報(bào)渠道，像暗網(wǎng)、云端網(wǎng)盤、在線文庫(kù)、代碼托管、Telegram 群、Potato 群、各大黑灰產(chǎn)論壇等等，布控所有可以買賣數(shù)據(jù)的地方。

在這些交易平臺(tái)設(shè)置插件自動(dòng)監(jiān)控，捕捉交易信息，比如當(dāng)我們?cè)O(shè)定“順豐速運(yùn)”為關(guān)鍵詞，可以爬取關(guān)于“順豐速運(yùn)”的所有交易帖。

監(jiān)測(cè)到關(guān)鍵詞的交易以后，可以進(jìn)一步核實(shí)數(shù)據(jù)的真實(shí)性，比如身份證號(hào)和姓名是否對(duì)應(yīng)。

如果這些數(shù)據(jù)都是真的，那我們至少可以知道這些數(shù)據(jù)是如何泄露的。

例如短信平臺(tái)泄露的是券商通過第三方短信通道下發(fā)給用戶的驗(yàn)證碼短信，泄露的數(shù)據(jù)格式是手機(jī)號(hào)-地區(qū)-運(yùn)營(yíng)商-短信內(nèi)容。

那么根據(jù)短信內(nèi)容我們就能反推出數(shù)據(jù)來源。

找到信息泄露的源頭以后，就可以關(guān)閉對(duì)應(yīng)的API來堵住漏洞，亡羊補(bǔ)牢。

但我們不能每次都等到事故發(fā)生了才想起來補(bǔ)救。一個(gè)互聯(lián)網(wǎng)平臺(tái)內(nèi)部可能有上千個(gè)API，分布在不同部門，所以即使沒有泄露數(shù)據(jù)，也應(yīng)該提前對(duì)公司的所有API進(jìn)行梳理，找到高危API，重點(diǎn)監(jiān)控。

雖然歷次數(shù)據(jù)泄露的問題十分嚴(yán)重，但想要肆無忌憚地販賣數(shù)據(jù)并不現(xiàn)實(shí)，暗網(wǎng)上的醒目位置一度出現(xiàn)過不要買賣手機(jī)號(hào)和身份證號(hào)等敏感數(shù)據(jù)的標(biāo)志。

感謝永安在線鬼谷實(shí)驗(yàn)室和360烽火實(shí)驗(yàn)室提供的內(nèi)容支持。B站搜索雷鋒網(wǎng)關(guān)注我們，下期視頻，我們來聊聊詐騙和反詐騙的斗爭(zhēng)。我們下期節(jié)目見。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。