作者|木有、陳川

視頻鏈接：https://www.bilibili.com/video/BV1Sf4y1u79x

這是一起典型的裸聊詐騙的過程，裸聊詐騙最惡劣的地方在于，他能榨干你所有的錢，被騙金額可能高達數十萬；

被害人害怕事情敗露，往往不敢報警，獨自吃下苦果，就怕校園財富排行榜上面出現自己；

而且即便你被騙了所有錢，對方仍然可能把裸聊視頻發(fā)出去，哎，就是玩兒。

所以，互聯(lián)網B面第四期，我們來聊聊，安全公司和警方是如何抓住這種違法犯罪分子的。

反攻的第一步就是從這個裸聊軟件入手。在安卓app的開發(fā)過程中，開發(fā)人員將Java源代碼編譯成安卓可以運行的機器碼。

而安全公司和警察則可以將APP還原成Java源代碼來追蹤黑產的服務器，暴打黑產。

作為Android主要的開發(fā)語言，Java的設計哲學是追求跨平臺的兼容性——Write Once Run Anywhere。

實現這點需要配置一個虛擬環(huán)境，讓你的代碼在任何設備上都暢通無阻，而這個虛擬環(huán)境就是Android Runtime，簡稱ART。

你的代碼被統(tǒng)一編譯、代碼合成為可以在ART中運行的文件，這里的合成工具是dx，所以這個文件以.dex結尾，稱為classes.dex文件，最后classes.dex文件和資源文件，配置文件一起打包成我們常用的下載包—apk。

整個過程就像黑產在層層打包一個黑箱，而要打開這個精心編織的黑箱，最好的辦法就是把這個過程倒過來。

首先從apk中將classes.dex文件解壓出來，但此時的dex文件并不能直接查看。

這時就需要將dex文件轉化成可以查看的文件，classes_dex2jar.jar。

然后使用代碼查看工具——jd-gui，打開classes_dex2jar.jar，就可以查看APP的源代碼了。

拿到源代碼非常重要，通過源代碼，我們可以找到黑產的IP和服務器地址，

有的黑產甚至把QQ號微信號留在代碼里面，

如果代碼中服務器地址沒有設置權限，輸入IP還可以看到儲存在服務器中的裸聊視頻。

搞定這些就可以直接呼叫110，抓人封服務器，一頓爆錘。

我們剛才提到的這種情況是你主動下載了注入病毒程序的APP，但更多情況下你下載的APP并無惡意，

例如淘寶，只是他們收集的信息因為我們前兩期講的內鬼泄露和API泄露了。

這個時候，就需要我們像黑產一樣思考問題。

不管黑產盜竊數據的手段有多高明，拿到數據以后肯定要到市場上去賣。

而我們就可以監(jiān)視這些數據的買賣。偷來的東西不怕它不出手，一旦出手就可以抓住現行，所以最重要的是監(jiān)視黑市中的數據交易。

首先我們可以拓展情報渠道，像暗網、云端網盤、在線文庫、代碼托管、Telegram 群、Potato 群、各大黑灰產論壇等等，布控所有可以買賣數據的地方。

在這些交易平臺設置插件自動監(jiān)控，捕捉交易信息，比如當我們設定“順豐速運”為關鍵詞，可以爬取關于“順豐速運”的所有交易帖。

監(jiān)測到關鍵詞的交易以后，可以進一步核實數據的真實性，比如身份證號和姓名是否對應。

如果這些數據都是真的，那我們至少可以知道這些數據是如何泄露的。

例如短信平臺泄露的是券商通過第三方短信通道下發(fā)給用戶的驗證碼短信，泄露的數據格式是手機號-地區(qū)-運營商-短信內容。

那么根據短信內容我們就能反推出數據來源。

找到信息泄露的源頭以后，就可以關閉對應的API來堵住漏洞，亡羊補牢。

但我們不能每次都等到事故發(fā)生了才想起來補救。一個互聯(lián)網平臺內部可能有上千個API，分布在不同部門，所以即使沒有泄露數據，也應該提前對公司的所有API進行梳理，找到高危API，重點監(jiān)控。

雖然歷次數據泄露的問題十分嚴重，但想要肆無忌憚地販賣數據并不現實，暗網上的醒目位置一度出現過不要買賣手機號和身份證號等敏感數據的標志。

感謝永安在線鬼谷實驗室和360烽火實驗室提供的內容支持。B站搜索雷鋒網關注我們，下期視頻，我們來聊聊詐騙和反詐騙的斗爭。我們下期節(jié)目見。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。