author: hqdvista a.k.a flanker017

0x01 数据包分析

将数据包 (链接：http://pan.baidu.com/s/1ntrzThB 密码：cbf2)下载下来，在wireshark中打开，看一下statistics和conversations，会看到一大坨http和personal-agent(5555)端口。http看过一遍，基本都是新浪新闻、google搜索ACTF这种，似乎没有什么有价值信息。(X里的wireshark太难看了)
那么5555端口会是什么？大概follow stream一下， 玩过android的人应该会意识到这是adb的协议。从数据流大小来看，普通的adb shell命令很难会产生这么多数据，那么要么是adb pull从设备中拖取了什么信息，要么是adb push了什么东西。
再往下翻： ，就会发现有意思的东西，安装流量，也就是说流量里是一个完整的安装APK的过程！
Continue reading →