个人设备异常行为分析
(持续1年以上):
- 手机异常(已换机但问题仍在)
-----旧手机(1年前使用,后刷机卖掉)(未保存异常记录,当时不懂):
攻击者通过公司WiFi向我手机推送了手机系统更新的弹窗,我点击下载后手机较之前出现异常。具体表现为:
1.数据流量异常增多
2.待机状态下定位标志频繁闪现(后台程序全部退出也是这样)
3.手机亮屏待机时,摄像头标志自动闪现又消失(偶尔),但手机页面未出现变化
4.有时手机待机状态发烫严重
5.手机使用时触控延迟或需要反击点击
6.手机在未触碰及设置的状态下自动开机
注意:该手机在我察觉异常后有进行恢复出厂设置,但是我恢复之前备份了系统及微信内容,后期依旧存在上述异常,直至官方刷机后恢复正常。
解疑:为何我认为推送的系统更新为木马病毒,因为我后期已向手机官方查证,在我收到系统更新的那段时间,该手机型号官方并无系统更新操作,且我的手机在之前已升级为官方最新系统
-----新手机(未换账号/手机号):
异常表现:
1.有段时间手机自带应用商城在移动数据网络下无法联网更新下载软件,但其他app联网正常。
已去官方售后维修,维修人员各种方法都试过,没有效果,找不到出现问题的原因
2.有段时间系统部分应用自动双开,个人未开启双开权限,且后期双开应用同时自动消失,恢复正常,且同一时间应用商城也恢复正常(相关问题已截图录屏)。已知双开应用:Android系统,Ayalytics,Android System WebView,剪贴板与常用语,电话服务,NFC服务,游戏服务
3.微信,邮箱账号异常下线+邮箱账号异地登录记录(已截图)。
- -----工作电脑异常(企业内网环境)
首先电脑端QQ短时间内异常掉线3-4次,之后整个部门网络突然断连,不久自动恢复。我已修改密码。除了这一次频繁掉线外,之前与之后均未出现该异常。
但从这以后,电脑异常行为频发:
1.工作网站中即将编辑好的文档多次突然消失,变成空白(类似进度回溯)
2.屏幕壁纸自动更换(非系统自带,电脑内搜索找不到该图片)
3.屏幕显示比例异常(非人为调整)
-----个人笔记本电脑异常
1.微信群聊天记录部分消失(非本人删除,其他记录正常)
2.Win11系统自动降级Win10(无主动操作)
已采取的应对措施:
保留手机应用联网异常及双开截图
使用 Wireshark 和 NetGuard 捕获部分网络流量(但不会分析)
报警:但因无直接经济损失,警方未移交网安部门检测。
寻求进一步取证指导建议内容:
1.如何检测个人笔记本微信聊天记录被人为删除
2.如何查询电脑是否被入侵,被远程控制
3.能否通过分析Wireshark/NetGuard捕获的数据,识别异常连接或恶意流量
感谢!
附件(工作电脑异常)情况详细描述:(工作电脑异常-1)是工作电脑出现问题时最开始的异常表现(屏幕中间突然黑屏,鼠标由标准的箭头变为小手的样子,黑屏两侧有两道闪烁的细白线)
(工作电脑异常2)是继上张图后立即出现的异常(该图为我根据记忆还原的,因为电脑整体发现异常总共不超过3秒,没有来得及拿手机拍照)这张图最下方有任务栏,中间有画面的页面上也有其他应用程序的图标(类似其他电脑的桌面)。白色小手(应该是鼠标?)一开始没有动,后面当这个画面出现后小手移动了几下,以上所有异常消失,原来的电脑屏幕又恢复回来了
