【文章摘要】HackingTeam这次泄露的信息包括很多监视代码。如Windows平台上的间谍软件工程Soldier(战士),用于非法监听用户的上网信息和本地信息。今天我们来分析一下这个工程。
Hacking Team这次泄露的信息包括很多监视代码。 如Windows平台上的间谍软件工程Soldier(战士),用于非法监听用户的上网信息和本地信息。今天我们来分析一下这个工程。
工程介绍
工程结构如下:
包含Updater(升级)和Soldier两部分,重点看一下Soldier。
目录如下:
Main.cpp
程序入口,会检测是否运行在虚拟机环境里,检查杀软,然后进行初始化。启动后台线程进行网络操作以及各种监控逻辑。Proto.cpp
监控数据上报管理,提供监控数据加密、上报单条、上报全部数据等接口。接收执行云控指令,如:配置文件更新;本地目录信息收集等。Conf.cpp
加载配置文件;根据配置文件决定启用哪些功能模块。Mods
Mods下的子目录对应各个监控模块,实现具体的监控逻辑。由配置文件控制启动哪些监视模块。social、cloud、photo
根据设置,窃取facebook、gmail、twitter、Yahoo等社交网站的用户信息,包括消息、联系人、facebook相册、googledoc等。窃取流程为:读取浏览器本地cookies,根据网站域名查找到对应的cookies信息,使用这些cookies信息向网站请求用户信息。position
获取WIFI网络信息。clipbord
获取当前窗口的剪贴板信息,同时上报当前窗口的标题和进程名称。password
尝试获取IE、Chrome、Firefox保存的密码并解密。screenshot
尝试截取当前窗口的内容。camera
尝试使用摄像头捕获视频信息。url
尝试获取TorBrowser和Firefox的浏览历史。整体框架
整个监控工具的逻辑框架如下图所示,各个线程之间用虚线隔开:
这是一个功能完善的监视工具,可以监视用户的网上浏览信息和本地操作信息,造成用户隐私和重要数据的泄露;灵活的云控机制和自升级带来了更大的潜在威胁。
腾讯电脑管家提醒大家,不要轻易点击可疑链接、运行可疑程序,及时开启电脑管家进行防护。
