【www.shanpow.com--热门范文】
微信运动监控别人行踪一:微信运动计算原理,看完恍然大悟!
我们对其进行了测试,得到了以下三个结论:
实验1:计算的是步数还是距离?
小方和小陈站在同一起跑线上,小方携带iPhone6手机,小陈使用运动手环。小方小碎步前进,小陈则大步流星,行走15米的既定距离。小方用了30步走完了15米,小陈只用了20步。
而手机上显示的数据,小方走了34步,小陈走了17步,与他们自己默数的步数相比,误差在4步以内,基本准确。
结论:微信运动确实是计算步数,与距离无关,也与步伐大小无关。
实验2:斜坡陡坡、上下楼梯怎么算?
楼道阶梯一层9步,小方走完一层,转角再上了一层,共走了18步台阶,再加上转角走了2步,小方共踏了20步。而小方手机上显示增加了22步。斜坡实验得到的数据也基本类似。
结论:计步数据不会受地形影响。无论是走路还是爬楼梯,都是走一步记一步,误差基本在2步以内。
实验3:真的可以作弊吗?
在保持原地不动的情况下,小方、小陈手上分别拿着iphone6手机和运动手环。确保数据稳定后,他们开始一起摇动手机与手环。在20秒的相同时间内,小方摇了12下,小陈摇了11下(一个来回算1下)。再看微信运动中的数据,小方多了28步,小陈多了24步。除去可能出现的细微误差,摇一个来回,在计步器中被计作了2步。小方摇了12下,从数据的呈现来看,相当于走了24步左右。
结论:来回甩动手机或是手环确实能增加步数,“作弊”一说确实可行。
小贴士不想别人看到自己的步行数据?这也是有办法的。以iPhone6为例,只要取消公众号里“加入排行榜”的选项,或是在手机的设置中,找到“隐私”一栏,点击进入,找到“运动与健身”一栏,点击关闭即可。
微信运动工作原理揭密
1、协处理器
个别高端手机会配备一颗协处理器,主要记录一些需要长时间需要记录、监控的数据,搭载协处理器的好处是可以降低中央处理器的功耗,从而达到省电节能的效果。
2、工作原理
微信运动的基本原理是走路时会先有一个向前的加速度再有一个向后的加速度,根据身高体重调整这两次加速度大小和时间间隔的阈值就能统计步数,当然还有很多优化的细节。
手机内置了振动传感器或协助处理器,根据这些设备的震动频率来储存数据。简单地说,就是人在步行时重心都有一点上下移动,传感器和协作器感应到这种重心移动并进行记数。
由此看来,“微信运动”记录的步数还是存在一定误差的,比如手机偶尔没带在身上,或是刻意地去摇手机等,都会改变数据,这样记录下来的步数也就不准确了。
医生告诉你
饭后走路1小时以内对身体最有好处:
成年人每天摄入的热量约在2000大卡左右,维持生命体征和日常活动只会消耗1700大卡左右,多余的300大卡需要通过运动来消耗。
走路1分钟会消耗2大卡左右,按一秒钟一步来计算,就是60步消耗2大卡。那么也就是说,要消耗掉多余的300大卡就需要行走9000步左右。
一般来说,饭后走路在半小时到1小时之间,对身体最有好处。但运动量并非越大越好,运动过量可使机体免疫功能受到损害,影响健康。
知道了微信运动的计步方法,想要在排行榜上崭露锋芒就容易多了吧?当然,为了自己的身体健康,还是不要通过作弊来拿第一哦!
微信运动监控别人行踪二:手把手教你当微信运动第一名 – 利用Android Hook进行微信运动作弊 | WooYun知识库
0x00 序
随着带协处理器和买手环的人越来越多,微信运动一下子火了,只要你在微信关注微信运动,手机就能自动记录你每天行走的步数,还可以跟朋友圈里的好友PK运动量。并且每日排名第一的用户可以占据当日排行榜的封面。这充分激起了大家的求胜的欲望,于是出现了很多励志的和悲伤的故事……
0x01微信运动作弊大法
其实想要拿第一没有那么麻烦,只要会一点Android的Hook知识,就可以轻松冲到排行榜第一名。接下来我就手把手教你如何变成第一。
首先我们需要一台带协处理的root后的android机器,比如说nexus 5。然后我们装上作弊用的XPosed Hook框架和作弊插件。这两个apk可以在我的github上下载到。
https://github.com/zhengmin1989/WechatSportCheat
下载完后,先安装XPosed.apk。接着打开Xposed,选择“安装/更新”,然后根据提示重启手机。
重启完后,再安装xposedwechat.apk插件。然后打开Xposed的模块界面,会看到xposedwechat这个插件。我们在这里将它选中,然后再根据提示重启手机。
接下来就是见证奇迹的时刻…你随意走两步,然后打开微信运动,咦,怎么就多了1000步?再随便走几步,咦,怎么又多了1000步?… demo视频如下:
仅仅刷步数还是不够过瘾吧?微信运动还推出了益行家活动,可以用每天的步数换取爱心捐款。有了微信运动作弊大法,我们可以每天在家随便走几步然后换取爱心捐款(如图所示)。
0x02 微信运动作弊原理
我们是如何作弊的呢?简单来说,当微信运动想要知道我们走了多少步的时候,微信app会询问android系统的计数传感器,随后计数传感器会返回我们行走的步数。因此,如果我们能够拦截微信运动和计数传感器之间的对话,然后伪造一个步数传递给微信运动就可以达到我们想要的作弊效果。
具体怎么做呢?首先我们可以用Xposed框架来hook计数传感器的队列函数dispatchSensorEvent(),这个函数在 android.hardware.SystemSensorManager$SensorEventQueue这个类中。随后在微信运动每次询问行走步数的时候,我们先获取当前步数,然后在目前的步数的基础上加1000步,然后将信息返回给微信运动。微信运动就会误以为我们运动了1000步,从而达到了欺骗的效果。
关键代码如下:
首先hook android.hardware.SystemSensorManager$SensorEventQueue这个类的dispatchSensorEvent()函数:
final Class<?> sensorEL = findClass("android.hardware.SystemSensorManager$SensorEventQueue",lpparam.classLoader);
XposedBridge.hookAllMethods(sensorEL, "dispatchSensorEvent", new XC_MethodHook()
接着我们在记步传感器把步数信息返回给微信运动之前,将返回的步数加上1000步:
protected void beforeHookedMethod(MethodHookParam param) throws
Throwable {
XposedBridge.log(" mzhengHooked method: " +param.method);
((float[]) param.args[1])[0]=((float[]) param.args[1])[0]+1000*WechatStepCount;
WechatStepCount+=1;
…
另外我们还可以使用一些传感器的接口获取一些数据的信息:
Sensor ss = ((SparseArray<Sensor>) field.get(0)).get(handle);
XposedBridge.log(" SensorEvent: sensor=" + ss);
比如说x就代表开机以来行走的步数,timestamp是获取步数时候的时间戳等。
另外,我们不仅在android上可以hook计步器,在iOS上也是可以通过越狱后hook iHealth的API接口达到同样的作弊效果,有兴趣的同学可以继续研究。
0x03微信运动反作弊建议
如何防止这种作弊发生呢?我的第一个建议是加强服务器端的逻辑检测功能。比如说一个人是不可能十分钟内走一万步的,如果他做到了,那么他一定是在作弊。 我的第二个建议是增加对hook的检测功能。虽然微信运动作下弊无非就是满足一下大家争强好胜的虚荣心,并不会对大家的隐私和财产产生损失。但是既然微信运动可以被hook,同样也意味着语音聊天,微信支付等功能也是可以被hook的,当黑客利用hook技术对你的隐私和财产产生危害的时候可就不是那么好玩的事了。之前我们在Hacking Team事件中也亲眼目睹了利用hook技术来获取微信语音消息的android木马,所以一定要增加针对hook的检测才行。
0x04 总结
此文只是介绍了Android Hook的简单场景应用,关于Android Hook的原理以及更多的利用方式,比如说调试,关键API拦截,外挂等技巧,敬请期待WooYun Book系列的文章《安卓动态调试七种武器之离别钩 - Hooking》。 https://github.com/zhengmin1989/TheSevenWeapons
0x05 参考文章
Android.Hook框架xposed篇(Http流量监控)
人手一份核武器 - Hacking Team 泄露(开源)资料导览手册
微信运动监控别人行踪三:五秒钟监控你的微信钱包和聊天记录,苹果手机也在劫难逃
一本黑©
2018-04-17 15:59
本文来自微信公众号:一本黑(darkinsider),作者:东东,虎嗅获授权发表。
一月末的时候,一本黑发表了一篇《你的手机正在被人悄悄的监控,别人能看到屏幕显示的所有内容》的文章。
文章主要讲述一款监控软件,只要把这款软件安装在别人的手机上,你就可以监控别人的手机,别人手机上的QQ、微信、通话、短信等记录都可以一览无余,甚至是对方的当前位置,都可以进行监控。
本来这种软件的设计初衷是为了防止老人小孩上当受骗或者走失,针对特定情况可以起到一定的帮助,但由于其功能的强大,却被不少人用来监控他人,全然变成了一个满足自身窥探欲望的工具。
不过,该软件目前已经无法正常使用,但是人心不足蛇吞象,这款软件失效后,我们又发现了另外两款用于恶意监控他人的软件。
比起前者,后面这两款软件的功能更加强大,你能想象别人只要接触你的手机5秒钟,就可以监控你的微信聊天记录吗?
不止是微信聊天记录,就连你微信的通讯录、朋友圈、甚至是钱包、转账记录都可以被别人轻易掌控。
一条指令即可监控你的手机
在之前的文章中我说过,人真的是一个充满好奇心的动物,更何况是在这个“饱暖思淫欲”的时代。
有些好奇心很重的人可能每天都会在想,自己的另一半会不会背着自己干些偷鸡摸狗的事,不管是加班应酬还是出差在外,都想知道对方身处何方,于是也就出现了想要监控对方手机的想法。
有需求就一定会有市场,针对这种窥探欲望的需求,就有人做出了一些监控软件解决这类人的需求。
通过读者爆料,我们联系上一位卖家,对方声称自己手里有两款监控软件,针对不同的手机,他们会给客户推不同的软件。
随后,我们先是拿到了卖家口中所说的第一款软件,这款软件只针对安卓手机,也就是说只能监控安卓手机,只要在被监控人的手机里安装这款软件,就能对其实施监控。
这款软件售价588元,付款后卖家发来了软件的下载地址和软件的教学视频,以及软件所需要用到的授权码。
和之前文章爆料的软件一样,这款软件也分为监控端和被监控端,操作者只需要拿到对方的安卓手机安装这款软件,在软件里进行一些简单的设置就可以完成监控效果。
让我们意外的是,监控端居然是新浪邮箱,根据卖家发来的教学视频,在被监控人的手机里安装完监控软件以后,还需要注册一个新浪邮箱用来接收被监控人的手机信息。
然后把邮箱和监控软件进行绑定,就可以对被监控人的手机实施监控。可怕的是这款软件也可以进行隐藏,安装完成后只要设置了隐藏模式,被安装的手机桌面根本发现不了这款软件的踪迹。
通过试用我们发现,只要被监控的手机安装了这款软件,监控端的邮箱里就会马上收到被监控手机的通话记录、短信记录、QQ、微信聊天记录等。
如果你以为只有这些功能的话那你就太天真了,这款软件还可以给对方手机发送指定的指令,从而对被监控人的手机进行控制和获取对方手机当前的各种信息。
发送指定的指令后,可以任意打开被监控人的移动数据、可以获取当前位置、上传通讯录、相册等。
以获取当前位置为例,我们用监控手机向被监控手机发送了一条指令,随后就在邮箱里收到了被监控手机的当前位置,点击位置可以跳转到地图界面,地图上可以清楚的看到被监控人位于那个街道那条路。
都说科技是一把双刃剑,它在带领人们探索新世界的同时,也有可能被恶意利用,就好比我们这次提到的手机监控软件,是该用在正确的地方对人产生有益的价值还是用于窥探隐私,说到底还是一个关于人心的问题。
五秒监控苹果手机,微信钱包一览无余
还记得我们在上次的文章中说,好在目前这种监控软件只能控制安卓系统的手机吗?不知道是科技发展得太快还是一本黑知道得太少,现在已经出现了能监控苹果手机的软件。
和只能监控安卓手机的软件比起来,这种监控苹果手机的软件只能对微信进行监控,但和前者不同的是,这种软件可以实时同步你的微信聊天记录,不止是微信聊天记录,就连你微信的通讯录、朋友圈、甚至是钱包、转账记录都可以被别人轻易掌控。
为了一探究竟,我们再次向卖家“购买”了这款软件。
购买?购买是不可能购买的,这辈子都不可能购买的,有老师傅在还需要购买吗?
软件售卖888元,但老师傅用计算机基础巧妙绕过授权码这道门槛,为我们节约了一笔资金(但最后还是请老师傅吃饭了)。
卖家说这款软件不需要安装在对方的手机上,只要安装在自己的手机上即可,因为这款软件针对苹果手机,所以要想监控苹果手机,监控端也得是苹果手机。
按照卖家发来的教学视频的步骤,我们安装了这款苹果微信监控软件,安装完以后软件里多出来一个悬浮的按钮,实际上就是一个插件。
插件里有一个功能叫做【一个号同时登陆两个设备】,只要把这个选项打开,软件就会生成一张二维码,通过拿被监控人的微信扫码这个二维码,对方的微信就会悄无声息地登陆在监控人的手机上,并且被监控的微信不会有任何察觉。
而扫描二维码到登陆微信这个过程总共不会超过5秒钟。
登陆被监控人的微信以后,我们不仅可以清楚的看到被监控人的聊天记录,还可以看到通讯录好友,朋友圈状态,甚至是钱包里有多少钱,绑定了几张银行卡,转账交易记录都可以看得一清二楚。
简直就像操作自己微信一样,微信上的任何功能都可以查看。老师傅解释道,这就好比一个微信号可以同时在手机上登陆,也可以在电脑上登陆是一个道理。
现在大多数人不管是生活还是工作都离不开微信,微信俨然已经成为了人们必不可少的一个社交工具,假如你的微信被不怀好意的人而已使用了,你微信的一切信息都有可能被监控,最可怕的是你微信里的钱也极有可能被别人转走。
另外,微信针对钱包功能有一个钱包锁,建议大家可以给自己的微信钱包加锁,设置方法在支付中心的支付安全里面。
那如何破解这种监控手段呢?通过实验我们发现,只要被监控人切换微信账号退出以后,监控者也会跟着退出,但是鸡肋之处在于,别人还是可以通过获取扫描二维码的方式再次对你实施监控。
对于这种监控苹果微信的软件,我们似乎显得有些无奈,不过但凡是程序都必定会存在漏洞,一方面,我们应该最大限度的避免别人接触到自己的手机,谨防别人通过这种方式监控自己。另外,我们可以经常切换账号退出再登陆,可以一定程度上的避免被监控。
有人在豆瓣上说公司的boss要给员工工作机装监控微信的软件,网友纷纷发表看法,那是别人的隐私你凭什么去监控。
虽然说公司老板是为了监督员工的工作情况,但事实上这种行为已经侵犯了员工的隐私权,员工完全有权利起诉公司的这种行为。
对于情感这个复杂的问题,也有很多人购买这种软件监控自己的身边人,生怕对方背着自己出轨,一本黑不擅长讨论情感问题,这里也就不在多说。
也许这个世界本来就是一个关于人性的舞台,事物的好坏还得看人心怎样去定义。
对于公司员工或身边人,通过监控的方式掌控对方的一举一动,本就是凌驾于彼此信任之上的一种不可取的方式。
老话说得好,用人不疑疑人不用,彼此都没有信任可言,员工凭什么给你打天下。
总的来说,是否信任他人,真的和这个社会、和他人无关,只和我们自己有关。
一本黑,还原事实,专扒黑产,微信ID:darkinsider,作者:东东,本文系一本黑与好基友差评联合发布。
