wireshark检测iphone-ios是否感染XcodeGhost病毒

个人主页已经迁移到独立网址 http://heiheimonkey.com/

更新更全面的信息，将会在此发布

　　最近闹得沸沸腾腾的ios的 XcodeGhost 病毒事件，

XcodeGhost传送门：

http://www.cnbeta.com/articles/431395.htm

http://games.sina.com.cn/y/n/2015-09-18/fxhytwu5719035.shtml

查了相关的资料，最新的消息是该作者在github上传了源码，同时声明这只是个实验项目，获取的信息以及广告获取等，都只是基本的，目前服务器也已经关闭，所以对用户的影响不大，但是不排除其他人别有用心再次利用。

不过毕竟传了系统信息，以及保留着强制插播广告连接的功能，个人觉得不能保证不会被其他别有用心的认截获使用。因此我就想着有没有好的方法来检测媳妇的手机和ipad里面是否存在此类的app （还好她的装的应用很少。。。）

上网查了几种检测方法：

盘古团队的检测app ==>>> 不确定是否靠谱，没实验；

路由器过滤记录方法（http://www.haote.com/jiaocheng/69657.html） ==>> 在家的那台TP路由，搞了一会，发现一直设置防火墙过滤机制报错，又不清楚怎么搞定，所以这种方法对我不适用。

wireshark抓包分析　==>> 试验这种方法可行。

wireshark抓包的关键，就是要让手机通过你电脑的来上网。

我的电脑是 Ubuntu14.04 X64

下面介绍Ubuntu下的使用方法：

安装ap-hotspot, 以便可以用笔记本发射出热点出来，让手机连接；Ubntu14.04的亲，可以直接从我的百度网盘下载并安装。链接: http://pan.baidu.com/s/1pJKM6z5 密码: qr9a

下载安装过后，配置方法： (1) sudo ap-hotspot configure (2)sudo ap-hotspot start

下一步安装wireshark. sudo apt-get install wireshark 即可。打开wireshark注意，需要用sudo打开，才有权限获取eth0, wlan0接口。

监听后开始，然后过滤filter写入 dns contains “icloud-analysis” ， 那么它就会只是显示出调用dns， 以及包含”icloud-analysis”字串的信息，避免信息太多冗余，看不过来。

然后就是手机连接到电脑，一个一个地打开手机app，看是否发送请求过去。

最终，发现手机里面有两款会在打开的时候，发送信息到 init.icloud-analysis.com 。

如下图：



这两个应用分别是：

联通手机营业厅 版本 3.2

同花顺 版本 9.60.01

最后果断先删除掉这两个。

原创文章，欢迎转载，

转载请注明：http://blog.csdn.net/jjzhoujun2010

作者：Dream Fly

更多精彩，详见个人主页 http://heiheimonkey.com/