下载PDF文件
下载PDF文件
Pegasus飞马间谍软件能够在移动设备用户不知情的情况下,窃取他们的敏感信息。专家推测自2021年起,大约有5万台设备被Pegasus入侵。 [1] X 研究来源 可惜,常规的杀毒软件无法检测Pegasus。如果你担心自己的手机或平板电脑上有Pegasus,可以使用国际特赦组织旗下安全实验室设计的MVT免费工具,扫描安卓设备、iPhone或iPad。本文会教你如何使用MVT和其它方法,检测移动设备上是否有Pegasus飞马间谍软件。
你应该知道
- MVT是为Linux系统设计的命令行程序,不过也能在macOS系统上使用。
- 如果要扫描iPhone或iPad,可以在Windows或Mac电脑上使用名为iMazing的图形化程序。它的功能跟MVT一样。
- 你需要熟悉Linux命令行才能运行MVT。如果觉得很难,考虑交给专业人士处理。
步骤
-
在Mac或Windows电脑上,打开 https://imazing.com/guides/detect-pegasus-and-other-spyware-on-iphone 。iMazing软件的开发让iPhone用户可以轻易检测出Pegasus飞马间谍软件。
- iMazing工具仿制了国际特赦组织的 原版MVT工具 。由于MVT需要事先在MacOS或Linux设备上进行配置,所以建议iPhone用户使用更简单的iMazing工具。
-
下载iMazing。 点击 免费下载 按钮,将iMazing下载到电脑。这款免费应用允许你从Mac或Windows电脑管理iPhone。最重要的是它有可以搜索出Pegasus的间谍软件检测工具。
- iMazing提供付费版本,但是免费试用包含了没有时间或其它条件限制的间谍软件检测工具。
-
启动iMazing。 它应该会立即检测到你的手机。你需要输入手机密码来完成配对程序。
- 确保手机在跟iMazing配对时处于解锁状态。
- 确保两台设备已经连接互联网。
-
点击“操作”面板里的 检测间谍软件 。 iMazing客户端的右侧列出了你可以采取的所有操作。一直往下滚动,找到 检测间谍软件 并点击它。它的图标是一个“中毒”的标志。
- 如果你有多台Apple设备同步到iMazing,一定要在左侧边栏选择正确的设备。
-
根据屏幕上的指示,选择你的偏好设置。 iMazing会显示一些信息。点击 下一步 进入配置页面,同意默认设置并再次点击 下一步 。
- 你可以在配置页面选择.csv或.xlsx作为导出报告的格式。默认的 .csv 文件应该没问题,不过之后如有必要,也可以将它转换成.xlsx格式。
- iMazing也会询问你是否要给设备创建一个备份。你可以选择创建备份或跳过这一步。
-
点击 开始分析 来进行扫描。 如果你之前选择了创建备份,iMazing会先备份再扫描,具体需要多久取决于设备的存储空间。
-
分析结果。 扫描完毕后,屏幕上会弹出一条消息,向你报告扫描结果。如果什么都没有检测出来,消息框里会显示 未发现感染迹象 。如果iMazing检测出间谍软件,消息框里会显示 发现潜在感染迹象 。 [2] X 研究来源
- 如果没有检测出间谍软件,你不需要打开详细的报告。iMazing可能会出现误报,但很少会发生漏报的情况。
-
打开并阅读报告。 iMazing的报告会详细说明所有重要发现。特别留意 恶意软件 一栏,搜索是否有 Pegasus 的字样。
- 如果没有看到标记为 Pegasus 的恶意软件,那就不需要担心。当然如果检测出其它恶意软件,你仍然有必要清除它们。
-
发送报告到iMazing,检测是否有误报。 到官方网站上分享你的报告。开发者承诺会尽快回复用户。
- 如果iMazing确认了你的设备的确扫描出间谍软件,他们会将你转接到第三方间谍软件清除服务。记住,iMazing本身只提供检测服务。
- 在等待iMazing的回复期间,你可以继续使用设备,但是不要连接他人的设备,以免把恶意软件传给他们。
广告
-
在Linux或macOS电脑上,打开 https://github.com/mvt-project/mvt 。想知道自己的安卓设备是否有Pegasus飞马间谍软件,就必须使用国际特赦组织发布的官方检测工具。这项工具专为计算机取证专家设计,只能用于Linux和macOS系统。它没有图形用户界面,所以你需要使用命令行。
- 你不会直接收到“你的设备有Pegasus!”之类的通知。但是,你可以用它收集有用的信息,然后交给专家。
- 由于安卓设备不像iPhone存储那么多的诊断信息,所以MVT工具能提供的信息不多。 [3] X 研究来源
-
下载Python。 你需要在电脑上安装3.6或以上版本的Python,才能运行MVT工具。
- Linux: 在命令提示符运行 python ,查看你电脑上的Python版本。如果低于3.6,运行 sudo apt-get install python (Ubuntu)或 sudo yum install python (Redhat或Fedora)进行更新。
- Mac: macOS系统附带的Python已经过时,运行 brew install python 命令来安装最新的版本。
-
安装依赖项。 你还需要安装一些基础的依赖项。才能运行MVT工具。
- Linux: 运行 sudo apt install python3 python3-pip libusb-1.0-0 sqlite3 。
- macOS: 运行 brew install python3 libusb sqlite3 。
-
安装Linux的Android SDK平台工具。 它包含了跟安卓设备交互所需的工具,包括Android调试桥(ADB)。在Linux系统上,你可以从 https://developer.android.com/studio/releases/platform-tools 下载它。在Mac系统上,运行 brew install --cask android-platform-tools 进行安装。 [5] X 研究来源
-
安装MVT工具。 具体方法如下:
- 运行 export PATH=$PATH:~/.local/bin ,确保路径被设置为安装Pypi二进制包。
- 运行 pip3 install mvt ,用Python包管理器进行安装。
- 如果你想从源代码开始编译,方法如下:
- 首选,运行 git clone https://github.com/mvt-project/mvt.git 来下载源代码。
- 接着运行 cd mvt 进入目录。
- 最后,运行 pip3 install 进行编译和安装。
-
在安卓设备上启用调试。 打开安卓设备的 设置 ,点按 关于手机 ,然后点按 内部版本号 7次。 [6] X 研究来源 点按返回按钮,现在菜单会出现一个“开发者选项”。启用后就能打开“USB调试”模式:
- 打开 设置 ,前往 系统 > 高级 > 开发者选项 。
- 如果“USB调试”处于禁用状态,打开它的开关。
-
用USB数据线将安卓设备连接到电脑。 确保设备处于解锁状态,并且已经连接网络。当安卓设备弹出提示时,选择 信任 。
- MVT只能分析带有链接的短信,不过这些正是间谍软件入侵风险最高的途径。 [7] X 研究来源
- MVT可能会请求更多权限来扫描设备的某些部分,但是这些权限需要你破解设备,反而更容易被恶意软件入侵。否决这些权限,只接受当前能进行的扫描。
-
运行 mvt-android download-iocs 。 安装了MVT工具,Python现在可以解读它的命令。这条命令会下载文件扩展名结尾为.stix2的所有文件,将它们保存到有关应用的目录。
- 运行 ls -a 命令,寻找你不确定位置的文件。你需要指定路径到.stix2文件,才能检测Pegasus。
-
运行 mvt-android check-adb --iocs /path/to/stix.file --output /path/to/results 。 这条命令会运用MVT工具的全部选项,通过USB使用调试桥检查安卓设备。整个过程需要耗费一段时间。
- 由于数据是跟指定的.stix文件对比,结果也会被记录到指定的结果文件夹里。可能被入侵的匹配项会显示一条“警告”信息,但不一定是Pegasus,也有可能是其它间谍软件。
- 如果你不想要扫描整个安卓设备,可以运行 mvt-android ,不使用任何参数,看看有哪些可用的个别选项。不过,如果你真的很担心,还是建议运行 mvt-android 命令,扫描整个设备。
广告
参考
- ↑ https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
- ↑ https://imazing.com/guides/detect-pegasus-and-other-spyware-on-iphone
- ↑ https://docs.mvt.re/en/latest/android/methodology/
- ↑ https://brew.sh/
- ↑ https://docs.mvt.re/en/latest/install/
- ↑ https://developer.android.com/studio/debug/dev-options
- ↑ https://github.com/mvt-project/mvt/blob/main/docs/android/backup.md
广告
