# 文件系统，第 8 部分：从 Android 设备中删除预装的恶意软件 > 原文：<https://github.com/angrave/SystemProgramming/wiki/File-System%2C-Part-8%3A-Removing-preinstalled-malware-from-an-Android-device> 案例研究：从 Android 设备中删除恶意软件 本节使用此 wikibook 中讨论的文件系统功能和系统编程工具来查找和删除 Android 平板电脑中不需要的恶意软件。 免责声明。在尝试修改您的平板电脑之前，请确保您的设备上的任何有价值的信息都已备份。不推荐修改系统设置和系统文件。尝试使用此 CASU STUDU GUIDE 修改设备可能会导致您的数据分片分享，丢失或损坏您的数据。您的平板电脑可能会不正确地停止或暂停功能。由您自己承担此案例研究的风险。作者不承担任何责任，也不对本案例研究中包含的这些说明的正确性或完整性做出任何保证。作者不承担任何责任，也不对任何软件（包括本指南中描述或链接的外部第三方软件）提供任何担保。 ## 背景 从亚马逊购买的 E97 Android 平板电脑产生了一些奇怪的怪癖。最值得注意的是，浏览器应用程序总是在 gotoamazing.com 上打开一个网站，而不是在应用程序首选项中设置的主页（称为浏览器“劫持”）。我们是否可以使用此 wikibook 中的知识来了解这种不受欢迎的行为是如何发生的，并从设备中删除不需要的预安装应用程序？ ## 使用的工具 虽然可以使用安装在远程 USB 连接的计算机上的 Android 开发人员工具，但本指南仅使用平板电脑上的系统工具。安装了以下应用程序 - * Malwarebytes - 免费的漏洞和恶意软件工具。 * 终端模拟器 - 一个简单的终端窗口，可以让我们在平板电脑上访问 shell。 * KingRoot - 使用 Linux 内核中的已知漏洞获取 root 访问权限的工具。 如果能够突破 Android 安全模型，安装任何应用程序都可能允许执行任意代码。在上面提到的应用程序中，KingRoot 是最极端的例子，因为它利用系统漏洞为我们的目的获得 root 访问权限。然而，在这样做的同时，也可能是这些，KingRoot 是最值得安装的工具 - 我们相信它不会安装任何自己的恶意软件。一个更安全的替代方案是使用 [https://github.com/android-rooting-tools/](https://github.com/android-rooting-tools/) ## 终端概述 最有用的命令是`su grep mount`和 Android 的包管理器工具`pm`。 * grep -s abc * _/_ （在当前目录和直接子目录中搜索`abc`） * su（又名“切换用户”成为 root - 需要 root 设备） * mount -o rw，remount / system（允许/系统分区可写） * pm disable（又名'包管理器'禁用 Android 应用包） ## 文件系统布局概述 在运行 Android 4.4.2 的特定平板电脑上，预安装的应用程序无法修改且位于 ``` /system/app/ /system/priv-app/ ``` 和首选项和应用程序数据存储在`/data`分区中每个应用程序通常打包在一个 apk 文件中，该文件本质上是一个 zip 文件。安装应用程序时，代码将扩展为可由 Android 虚拟机直接解析的文件。二进制代码（至少对于此特定虚拟机）具有 odex 扩展名。 我们可以在已安装的系统应用程序的代码中搜索字符串'gotoamazing' ``` grep -s gotoamazing /system/app/* /system/priv-app/* ``` 这没有找到任何东西;看来这个字符串没有硬编码到给定系统应用程序的源代码中。验证我们可以找到 我们来检查所有已安装应用的数据区域 ``` cd /data/data grep -s gotoamazing * */* */*/* ``` 产生了以下内容 ``` data/com.android.browser/shared_prefs/xbservice.xml: <string name="URL">http://www.gotoamazing... ``` -s 选项“silent option”阻止 grep 抱怨尝试 grep 目录和其他无效文件。注意我们也可以使用-r 来递归搜索目录，但是使用文件通配符（shell 的通配符扩展*）很有趣。 现在我们到了某个地方！看起来这个字符串是应用程序'com.android.browser'的一部分，但让我们也找出哪个应用程序二进制代码打开'xbservice'首选项。也许这个不受欢迎的服务隐藏在另一个应用程序中，并设法秘密加载作为浏览器的扩展？ 让我们查找包含 xbservice 的任何文件。这次我们将递归搜索包含'app'的/ system 目录 ``` grep -r -s xbservice /system/*app* Binary file /system/app/Browser.odex matches ``` 最后 - 看来工厂浏览器出厂时预先安装了主页劫持。我们卸载吧。为此，让我们成为根。 `$ su ## 下午列出包-s `Android 的包管理器有很多命令和选项。以上示例列出了所有当前安装的系统应用程序我们可以使用以下命令卸载浏览器应用程序 ``` pm disable com.android.browser pm uninstall com.android.browser ``` 使用`pm list packages`可以列出所有已安装的软件包（使用`-s`选项查看系统软件包）。我们禁用了以下系统应用。当然，没有真正保证我们成功删除了所有不需要的软件，或者其中一个是误报。因此，我们不建议在这样的平板电脑上保留敏感信息。 * com.android.browser * com.adups.fota.sysoper * elink.com * com.google.android.apps.cloudprint * com.mediatek.CrashService * com.get.google 应用 * com.adups.fota（一个可以在将来安装任意项目的无线包）。 * com.mediatek.appguide.plugin 您可能只需使用`pm enable package-name`或`pm install`以及/ system / app 或/ system / priv-app 中的相关.apk 文件重新启用软件包