X
这篇文章的共同创作者是 Luigi Oppido. Luigi Oppido是美国加州圣克鲁斯县Pleasure Point Computers的所有者和经营者。他拥有超过25年的一般电脑维修、数据恢复、病毒扫除和升级经验。两年来,他还一直是加州中部KSCO电台《Computer Man Show!》的主持人。
本文引用了7条参考,详情参见页面底部。
这篇文章已经被读过1,607次。
Pegasus飞马间谍软件能够在移动设备用户不知情的情况下,窃取他们的敏感信息。专家推测自2021年起,大约有5万台设备被Pegasus入侵。[1] 可惜,常规的杀毒软件无法检测Pegasus。如果你担心自己的手机或平板电脑上有Pegasus,可以使用国际特赦组织旗下安全实验室设计的MVT免费工具,扫描安卓设备、iPhone或iPad。本文会教你如何使用MVT和其它方法,检测移动设备上是否有Pegasus飞马间谍软件。
你应该知道
- MVT是为Linux系统设计的命令行程序,不过也能在macOS系统上使用。
- 如果要扫描iPhone或iPad,可以在Windows或Mac电脑上使用名为iMazing的图形化程序。它的功能跟MVT一样。
- 你需要熟悉Linux命令行才能运行MVT。如果觉得很难,考虑交给专业人士处理。
步骤
方法 1
方法 1 的 2:
在iPhone和iPad上进行检测(Windows和Mac)
-
在Mac或Windows电脑上,打开 https://imazing.com/guides/detect-pegasus-and-other-spyware-on-iphone 。iMazing软件的开发让iPhone用户可以轻易检测出Pegasus飞马间谍软件。
- iMazing工具仿制了国际特赦组织的原版MVT工具。由于MVT需要事先在MacOS或Linux设备上进行配置,所以建议iPhone用户使用更简单的iMazing工具。
-
下载iMazing。点击免费下载按钮,将iMazing下载到电脑。这款免费应用允许你从Mac或Windows电脑管理iPhone。最重要的是它有可以搜索出Pegasus的间谍软件检测工具。
- iMazing提供付费版本,但是免费试用包含了没有时间或其它条件限制的间谍软件检测工具。
-
将iPhone或iPad连接到电脑。用手机或平板电脑附带的USB数据线,或其它兼容的替代品,将它们连接到电脑。
- 如果你之前曾经将设备备份到iMazing,现在不需要连接设备,就能直接扫描备份。
-
启动iMazing。它应该会立即检测到你的手机。你需要输入手机密码来完成配对程序。
- 确保手机在跟iMazing配对时处于解锁状态。
- 确保两台设备已经连接互联网。
-
点击“操作”面板里的检测间谍软件。iMazing客户端的右侧列出了你可以采取的所有操作。一直往下滚动,找到检测间谍软件并点击它。它的图标是一个“中毒”的标志。
- 如果你有多台Apple设备同步到iMazing,一定要在左侧边栏选择正确的设备。
-
根据屏幕上的指示,选择你的偏好设置。iMazing会显示一些信息。点击下一步进入配置页面,同意默认设置并再次点击下一步。
- 你可以在配置页面选择.csv或.xlsx作为导出报告的格式。默认的.csv文件应该没问题,不过之后如有必要,也可以将它转换成.xlsx格式。
- iMazing也会询问你是否要给设备创建一个备份。你可以选择创建备份或跳过这一步。
-
点击开始分析来进行扫描。如果你之前选择了创建备份,iMazing会先备份再扫描,具体需要多久取决于设备的存储空间。
-
分析结果。扫描完毕后,屏幕上会弹出一条消息,向你报告扫描结果。如果什么都没有检测出来,消息框里会显示未发现感染迹象。如果iMazing检测出间谍软件,消息框里会显示发现潜在感染迹象。[2]
- 如果没有检测出间谍软件,你不需要打开详细的报告。iMazing可能会出现误报,但很少会发生漏报的情况。
-
打开并阅读报告。iMazing的报告会详细说明所有重要发现。特别留意恶意软件一栏,搜索是否有Pegasus的字样。
- 如果没有看到标记为Pegasus的恶意软件,那就不需要担心。当然如果检测出其它恶意软件,你仍然有必要清除它们。
-
发送报告到iMazing,检测是否有误报。到官方网站上分享你的报告。开发者承诺会尽快回复用户。
- 如果iMazing确认了你的设备的确扫描出间谍软件,他们会将你转接到第三方间谍软件清除服务。记住,iMazing本身只提供检测服务。
- 在等待iMazing的回复期间,你可以继续使用设备,但是不要连接他人的设备,以免把恶意软件传给他们。
广告
方法 2
方法 2 的 2:
在安卓设备上进行检测(Mac和Linux)
-
在Linux或macOS电脑上,打开 https://github.com/mvt-project/mvt 。想知道自己的安卓设备是否有Pegasus飞马间谍软件,就必须使用国际特赦组织发布的官方检测工具。这项工具专为计算机取证专家设计,只能用于Linux和macOS系统。它没有图形用户界面,所以你需要使用命令行。
- 你不会直接收到“你的设备有Pegasus!”之类的通知。但是,你可以用它收集有用的信息,然后交给专家。
- 由于安卓设备不像iPhone存储那么多的诊断信息,所以MVT工具能提供的信息不多。[3]
-
下载Python。你需要在电脑上安装3.6或以上版本的Python,才能运行MVT工具。
- Linux:在命令提示符运行python,查看你电脑上的Python版本。如果低于3.6,运行sudo apt-get install python(Ubuntu)或sudo yum install python(Redhat或Fedora)进行更新。
- Mac:macOS系统附带的Python已经过时,运行brew install python命令来安装最新的版本。
-
安装依赖项。你还需要安装一些基础的依赖项。才能运行MVT工具。
- Linux:运行sudo apt install python3 python3-pip libusb-1.0-0 sqlite3。
- macOS:运行brew install python3 libusb sqlite3。
-
安装Linux的Android SDK平台工具。它包含了跟安卓设备交互所需的工具,包括Android调试桥(ADB)。在Linux系统上,你可以从 https://developer.android.com/studio/releases/platform-tools 下载它。在Mac系统上,运行brew install --cask android-platform-tools进行安装。[5]
-
安装MVT工具。具体方法如下:
- 运行export PATH=$PATH:~/.local/bin,确保路径被设置为安装Pypi二进制包。
- 运行pip3 install mvt,用Python包管理器进行安装。
- 如果你想从源代码开始编译,方法如下:
- 首选,运行git clone https://github.com/mvt-project/mvt.git来下载源代码。
- 接着运行cd mvt进入目录。
- 最后,运行pip3 install进行编译和安装。
-
在安卓设备上启用调试。打开安卓设备的设置,点按关于手机,然后点按内部版本号7次。[6] 点按返回按钮,现在菜单会出现一个“开发者选项”。启用后就能打开“USB调试”模式:
- 打开设置,前往系统>高级>开发者选项。
- 如果“USB调试”处于禁用状态,打开它的开关。
-
用USB数据线将安卓设备连接到电脑。确保设备处于解锁状态,并且已经连接网络。当安卓设备弹出提示时,选择信任。
- MVT只能分析带有链接的短信,不过这些正是间谍软件入侵风险最高的途径。[7]
- MVT可能会请求更多权限来扫描设备的某些部分,但是这些权限需要你破解设备,反而更容易被恶意软件入侵。否决这些权限,只接受当前能进行的扫描。
-
运行mvt-android download-iocs。安装了MVT工具,Python现在可以解读它的命令。这条命令会下载文件扩展名结尾为.stix2的所有文件,将它们保存到有关应用的目录。
- 运行ls -a命令,寻找你不确定位置的文件。你需要指定路径到.stix2文件,才能检测Pegasus。
-
运行mvt-android check-adb --iocs /path/to/stix.file --output /path/to/results。这条命令会运用MVT工具的全部选项,通过USB使用调试桥检查安卓设备。整个过程需要耗费一段时间。
- 由于数据是跟指定的.stix文件对比,结果也会被记录到指定的结果文件夹里。可能被入侵的匹配项会显示一条“警告”信息,但不一定是Pegasus,也有可能是其它间谍软件。
- 如果你不想要扫描整个安卓设备,可以运行mvt-android,不使用任何参数,看看有哪些可用的个别选项。不过,如果你真的很担心,还是建议运行mvt-android命令,扫描整个设备。
广告
参考
- ↑ https://www.amnesty.org/en/latest/research/2021/07/forensic-methodology-report-how-to-catch-nso-groups-pegasus/
- ↑ https://imazing.com/guides/detect-pegasus-and-other-spyware-on-iphone
- ↑ https://docs.mvt.re/en/latest/android/methodology/
- ↑ https://brew.sh/
- ↑ https://docs.mvt.re/en/latest/install/
- ↑ https://developer.android.com/studio/debug/dev-options
- ↑ https://github.com/mvt-project/mvt/blob/main/docs/android/backup.md
关于本wikiHow
广告