一个简单的方法？也许，但这取决于您自己对 Android 渗透测试或相关系统的经验；Linux。以及您愿意提升到什么级别的 perinoa。

如果您精通命令行，则安装 no-root BusyBox 并netstat -plant在目标设备上关闭自动同步运行，以列出它正在侦听和连接的端口和地址以及进程 ID。进程 ID 可以通过列出它们的符号链接来进一步调查ls -hal /proc/<PID_number>/exe...... 但是，这不会检测到所有形式的恶意软件，有些更好地隐藏在 rootkit 或反向 SSH 会话中，只有在设备处于特定状态时才会激活；更糟糕的仍然是那些分叉或获取合法进程 ID 的人。出于一般安全性考虑，该应用程序Tustable by Bluebox相当容易用于扫描目标设备上的已知漏洞，但此扫描仪和其他扫描仪实际上只能告诉您已知漏洞，Bluebox 甚至不会告诉您您当前是否被利用。

对于 Rooted Android（攻击/嗅探），我喜欢InterceterNG拦截DSploit另一台设备与其 WiFi 接入点之间的流量。然而，为了在手机上运行并强制所有流量通过 WiFi，首先应将目标置于“飞行模式”，然后打开 WiFi。然后在攻击的 Android 设备上启动拦截器并嗅探。WireSkark 可以帮助处理 pcap 文件，但如果您只需要 IP 和带有时间戳的数据包，IntercepterNG 非常适合随时随地使用；它甚至会尝试帮助剥离https。

对于在目标设备上进行嗅探，您可以尝试或者RRCpacketsniffer所有这些设备都有自己漂亮的用户界面和功能可供探索。这些对 root 有好处，但也有可能有助于在没有任何东西访问网络时记录丢弃的数据包。此外，如果您可以访问设备，则可以通过 Android USB 调试桥设置 a并将所有流量路由到设备插入的 PC；无需root，但设置工作量几乎相同。Android IMSI CatcherLogging Test AppNoRoot Data Firewallreverse modum USB tetherADB

对于 Android 目标上的安全风险的 Rooted 缓解，我喜欢Xprivacy Installer因为它不会阻止对数据的访问，而是可以将垃圾信息提供给广告/间谍软件应用程序；与阻止合法应用程序的访问相比，导致的错误更少。Xposed 框架还有其他有趣的设备安全插件，可以在您认为自己会成为目标之前进行设置。但是，如果您认为设备已经受到威胁，则不建议这样做，因为 Xposed 将系统的大量控制权交给了系统。

如果您想全面了解通过目标设备的无线电发送了哪些数据，那么RIL无线电接口层就是您想要变得更加熟悉的部分，这是一篇文章的第一部分，可以让您快速了解技术。如果您需要捕获通过非 WiFi 网络发送的数据包（首先要了解您所在地区频率范围的合法性），那么SDR软件定义无线电可能是您所需要的，因为 SDR 设备可以充当完整的基站（手机信号塔）并在这些频率范围内进行中间攻击。甚至可以使用带有 USB 连接的 SDR 和一些chroot 魔法的第二个 Android来充当移动设备BTS. 将两者（目标设备和 SDR antina）放入​​一个不允许其他手机意外连接的盒子（法拉第笼）中，您将在尝试捕获目标数据包时避免违反法律。测试它是否在飞行模式下发送数据包也是一个好兆头，你有一个胭脂进程

我试图按照从易到难的顺序列出这些，并且只链接到在深入了解 Android 的网络功能时更难找到的信息。不幸的是，Android 网络的基础有专有驱动程序，所以现在对于发生了什么以及存在哪些漏洞总是有点神秘。此外，如果设备遭到入侵，足够高级的攻击者可以克隆设备的 ID（ESN/IMEI/SIM 号码），这样即使目标已关闭或无法访问网络，克隆的设备也会收到呼叫和短信；当目标设备开启时，它更有可能是抛硬币的机会，首先会响起......

编辑/更新如下

在防御思路上：

在我的 Android 设备上对应用程序进行了更多测试以限制网络访问（iptables 的精美 GUI）之后，迄今为止最好的一个是 afwall，源代码在 github 上，界面很容易使用，几乎不知道iptables。更好的是，备份规则可以用作如何有效使用 iptables 链和日志记录功能的良好学习指南。尽管如果设备已经从更狡猾的移动 rootkit 中获得了授权（如果有的话，则没有什么可以信任的），这也无济于事。

关于为自己的思路打破的东西；

我还使用一个 Android 设备作为目标，另一个作为开发者进行了一些测试，安装和重新配置的概要可以在链接的 stackoverflow 主题中找到。可以这么说，如果你有一个受过足够教育的攻击者感染你的设备，它几乎可以感染它网络范围内的任何东西，并且它插入的任何东西（即用于充电的 PC）都可能成为下一个目标。虽然网络位是旧消息，但您可能有理由担心基于 USB 的攻击被用来感染在进行ADB调查时运行的 PC……不知道此链接的可信度，但是，他们确实有一个BadAndroid.zip 可供下载以及一些关于 BadUSB 如何不是产品而是功能的文档许多设备可以用来告诉系统您刚刚插入了什么。

我还没有看到它在使用中，但是你的手机有可能感染你的电脑，而且你的手机也有可能感染别人的手机。迄今为止的测试表明，Metasploit 运行缓慢，但对于脚本操作和将日志推送回漏洞利用设备非常有用。当端口被正确转发以在 Android 上进行目标文件系统的远程文件浏览时，某些应用程序甚至可以正常工作；got'a love them fstab 中的自定义挂载点选项。Android 设备在攻击打印机、路由器和 modum 方面做得很好，但在攻击相当安全的 Linux 服务器或家用 PC 时没有备份就不太好，尽管 MS-box 非常容易受到未修补的漏洞攻击的困扰。

在执行测试时要小心，并考虑执行测试的 PC 是可疑的。考虑设置KVM或设置firejail一些东西来沙箱 USB 并ADB监控tripwirePC 上的监狱系统和主机操作系统。即使这样，您也可能希望将主机 PC 放在单独的网络上，并通过另一个执行数据包捕获和/或中间人攻击的设备进行远程监控。如果您插入手机并且 PC 开始尝试建立传出 SSH 连接，那么您刚刚赢得了一套非常先进的恶意软件来学习；除非您已通过 USB 设置了 modum tethering，否则当连接手机时，实际上来自 PC 的任何类型的网络活动都应该是一个非常糟糕的信号。

新闻更新

我听到的故事是，一个奇怪的弹出窗口告诉它的用户将他们的手机插入他们的电脑并且（令人惊讶的惊喜）他们的电脑不再适合他们，他们的手机仍然表现得很有趣并且没有保持收费。从商店中寻找新手机时，这位移动用户完全感到困惑，他们的服务代理也不知所措……希望他们被告知不要在旧电脑要求同步时将新手机也插入旧电脑。

曾经是已知但未充分利用的攻击媒介现在已经泛滥成灾，并被跨平台恶意软件的标记所使用。在通过 USB 进行证据收集时，你们只是让读者了解可能对安全造成的威胁，而不是 FUD。

Wireshark 将向您显示 wifi 网络上任何设备的任何网络流量，前提是它通过您的 wifi 网络。

但是，如果它是加密的，您将看不到内容，只会看到目标 IP 和一堆无意义的字节。

如果它是通过移动数据网络发送的，您根本看不到它。

执行此操作的基本概念是嗅探流量，您可以按如下方式进行。从您的笔记本电脑创建一个接入点，然后通过您的手机连接到该接入点，然后在您创建的那个点上启动wireshark，如果有数据通过手机正在监视您，那么该数据可能已加密，您可能永远不会知道如果它真的是关于你的敏感数据，但它可能没有以任何方式加密，值得一试。

在 android 中，如果您是Rooted，则有许多应用程序，如Wireshark、AFWall+、...可以监控您的网络。

然而，如果你不是根，“灰衬衫抓包”才是真正的魔法！！！