首页 > 闲聊茶馆 > 警惕注意恶意的Magisk模块,来看看你有没有中招

警惕注意恶意的Magisk模块,来看看你有没有中招

楼主:小星 [官方] · 9个月前 ·  浏览806 · 闲聊茶馆 · ID:

近期有人刷了加料的LSPosed模块被盗刷

样本木马包名为com.android.append
警惕恶意模块,拒绝来源不明的模块,格机事小,丢钱事大
木马发现自身宿主模块被卸载时,会感染其他模块,并疑似盗刷后自动卸载。

样本为LSPosed,目前暂未明确木马最初来源模块

如果你也root了,担心风险,请往下看,本人亲测好用。

结合某平台评论区、tg群,和本人测试后,给大家提供排查办法:

核心目标是检查

  1. 每个模块下有没有system/priv-app/zygisk.apk
  2. 是否存在/data/local/vendor文件夹
  3. 是否存在/data/adb/service.d下有很多脚本
  4. 系统里是否有com.android.append和/system/priv-app/zygisk.apk

以下每步我都是测过的,本人手机正常未找到这些异常。

您需要一个可以在手机上执行终端命令并获取Root权限的应用。常用的有Termux、MT管理器的终端功能,或者任何其他终端模拟器应用。

具体排查操作步骤(懒人版):

打开您的终端应用 (以 Termux 为例)。

输入su并回车,此时您的Root管理工具(如Magisk)会弹出授权请求,请选择授予或允许。

成功获取Root权限后,命令提示符通常会从$变为#。

依次执行网友提供的命令,并观察输出结果。

命令逐条分析与预期结果
下面是每条命令的作用以及“安全”和“可疑”的结果分别是什么样的。

1、

    find /data/adb -name “zygisk.apk”

    说明: 这条命令会在/data/adb目录(Magisk模块和相关文件存放的地方)下搜索名为zygisk.apk的文件。

    (注:您网友给的find zygisk.apk /data/adb语法有些小问题,我已经修正为正确的格式find /path/to/search -name “filename”)

    安全的输出: 没有任何输出,或者提示 “No such file or directory”。这表示在Magisk的安装目录里没有找到这个可疑的APK文件。

    可疑的输出: 如果输出了一个或多个路径,例如/data/adb/modules/some_module/system/priv-app/zygisk/zygisk.apk,这说明您可能安装了包含这个恶意文件的模块,高度可疑。

    2、

      ls /data/local/vendor

      说明: ls 是列出目录内容的命令。这条命令用来检查是否存在/data/local/vendor这个文件夹。根据图片描述,恶意模块会使用这个文件夹。

      安全的输出: 提示ls: /data/local/vendor: No such file or directory (没有这个文件或目录)。

      可疑的输出: 如果成功列出了一些文件或文件夹,说明这个目录存在,需要警惕。

        3、

        ls /data/adb/service.d

        说明: 检查 /data/adb/service.d 目录下是否存在脚本文件。这个目录下的脚本会在开机时以Root权限自动执行,是恶意软件实现“复活”和持久化的常用手段。

        安全的输出: 没有任何输出(目录为空),或者列出的是您自己明确知道用途的脚本文件。

        可疑的输出: 如果列出了一些您不认识的、名称奇怪的脚本文件 (如 fdkss.sbs 或其他随机名称的脚本),则高度可疑。

          4、

          ls /data/adb/post-fs-data.d

          说明: 这是您群友补充的检查,非常有必要。这个目录和 service.d 类似,也是用来存放开机自启脚本的。

          安全/可疑的输出: 同上一条。

            5、

            pm path com.android.append

            说明: pm 是安卓系统的包管理器 (Package Manager) 命令。pm path [包名] 用来查询指定包名的应用(APK)安装在哪里。这条命令直接检查系统中是否安装了名为 com.android.append 的恶意应用。

            安全的输出: 没有任何输出。

            可疑的输出: 如果输出了一个路径,例如 package:/system/priv-app/zygisk/zygisk.apk,这就石锤了,说明恶意应用已经安装在您的系统中。

              6、

              ls /system/priv-app/zygisk.apk

              说明: 直接检查在 /system/priv-app/ 目录下是否存在 zygisk.apk 这个文件。这是图片中提到的恶意APK的安装路径。

              安全的输出: 提示 ls: /system/priv-app/zygisk.apk: No such file or directory。

              可疑的输出: 如果成功显示了文件名,说明文件存在,同样是石锤。

              以上,如果没问题,恭喜你安全了。

              如果你检测出问题了,那么强烈建议 备份重要数据后直接刷官方rom

              这样彻底解决无后患。

              不想的话也行:

              重启手机进入Magisk安全模式 (通常是开机时按住音量减键,具体方式可能因设备而异)。在安全模式下,所有Magisk模块都不会被加载。

              使用有Root权限的文件管理器(如MT管理器)或者通过adb shell:

              删除/data/local/vendor文件夹。

              删除 /data/adb/ 下的所有可疑文件,特别是/data/adb/modules里的所有模块和/data/adb/service.d里的可疑脚本。最简单的做法是删除所
              有模块,之后再重新安装你要的模块。

              重启手机。

              最后再次重申:

              不到处乱刷来路不明的模块!

              模块尽可能精简不要瞎搞,测试拿虚拟环境或备用机。

              不要整烂自己主力机环境。

              希望大家玩机愉快!

              - 版权声明 - 1、本帖所有言论和图片等纯属网友个人意见,与流星社区立场无关;
              2、其他单位或个人使用、转载或引用本帖时必须同时征得该帖子作者小星流星社区的同意;
              3、备注原文地址:https://bbs.liuxingw.com/t/63312.html,可忽略第2条;
              4、帖子作者需承担一切因本文发表而直接或间接导致的相关责任;
              5、如本帖内容或部分内容转载自其它媒体,这并不代表本站赞同其观点和对其真实性负责;
              6、如本帖若为资源类,将仅限用于学习和研究目的,您必须在下载后的24个小时之内,从您安装或使用的设备中彻底删除上述内容;
              7、如果您喜欢该程序,请支持正版软件,购买注册,可以得到更好的正版服务;
              8、如本帖侵犯到任何版权或违法问题,请立即邮件告知我们,我们将及时予以处理。
              1条回复 |  最后回复于7个月前

              小星 [官方]

              号卡中心(办大流量卡):
              https://hk.leyz.top

              流量消失器:
              https://shua.leyz.top/sl

              淘宝天猫线报优惠券:
              https://yhq.liuxingw.com
              发布于7个月前

              回复列表

              • 内容加载中...

              说点什么...
              登录注册 后才可进行评论
              签到
              33人签到
              已签0天
              • 48673帖子
              • 1966816热点量
              • 198168火热值