原文来自乌云,备份 地址 0x00 背景 最近Hacking Team被黑客入侵,近400GB的资料泄漏,在安全界炒的沸沸扬扬.其中泄漏的资料包括:源代码,0day,资料入侵项目相关信息,相关的账户密码,数据及音像资料,办公文档,邮件及图片。 Hacking Team在意大利米兰注册了一家软件公司,主要销售入侵及监视功能的软件。其远程控制系统可以监测互联网用户的通讯,解密用户的加密,文件及电子邮件,记录各种通信信息,也可以远程激活用户的麦克风及摄像头。其产品在几十个国家使用 在源代码中有各个操作系统平台的远程控制软件源码, RCS(Remote Control System) 。经过我们的分析,发现其监控内容不可谓不详尽。 Android,blackberry,ios,windows,window phone,symbian 均有与之对应的监控代码。 在源码中,rcs为前缀的源码文件是其远控功能,包括代理 控制 监控数据库 隐藏ip 等,而针对特定平台架构的是以core前缀命名。其中和相关window phone监控代码在 core-winphone-master.zip 文件中。其主要用于实时手机系统的系统状态信息如(电池状态,设备信息,GPS地址位置),联系人,短信记录,日历日程安排,照片;同时还能录音,截取手机屏幕,开启摄像头,话筒等功能,由此可见监控信息的详细程度令人害怕。 0x01 WP8监控源码分析 core-winphone-master\MornellaWp8\MornellaWp8 下是其主要核心代码,主要文件如下: 通过观察源码流程图可以看出,整个监控项目源码的逻辑还是比较复杂的,但是深入之后,发现其还是设计的比较巧妙 0x01-1 程序框架分析 1.项目主要分为3大块 Modules,Events,Actions ,主要的功能Modules核心监控代码在此处,Event等待监控事件的到来并调用对应的监控模块,Action主要负责一些行为的启动和停止 程序启动流程如下: main->mornellaStart->BTC_Init->CoreProc->Core->Task setLoadLibraryExW 分支主要负责加载一些API函数的地址,...