在我的Samsung Galaxy S6手机上,单击显示系统应用程序时,在设置>应用程序中看到service.odtcfactory.sec.com.odtcfactoryservice。不久前,我开始怀疑我的手机可能已被黑客入侵,当我连接到手机时,我在Phone \ Android \ data中注意到一个名为service.odtcfactory.sec.com.odtcfactoryservice的文件夹,该文件夹是在入侵可能发生时创建的(事后看来)。
在此文件夹中,有一个空的缓存文件夹,其创建和修改的日期时间与以下行的日期相同,该行的日期和日期在adb logcat输出中包含字符串“ odtc”:
07-15 16:12:44.502 D / MountService(3663):getExternalStorageMountMode:最终mountMode = 1,uid:1000,packageName:service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.541 I / ActivityManager(3663):启动proc 5087:service.odtcfactory.sec.com.odtcfactoryservice / 1000以获取广播service.odtcfactory.sec.com.odtcfactoryservice / .odtcfactory.BatteryAlarmReceiver
07-15 16:12:44.561 I / SELinux(5087):SELinux:seapp_context_lookup:seinfo = platform,pkgname = service.odtcfactory.sec.com.odtcfactoryservice
07-15 16:12:44.608 I / ActivityManager(3663):用于service.odtcfactory.sec.com.odtcfactoryservice的DSS已启用,并且比例为1.0
07-15 16:12:44.644 D / ODTCFactoryService:BatteryAlarmReceiver(5087):收到ACTION_POWER_CONNECTED
07-15 16:12:44.648 W / ContextImpl(5087):在没有合格用户的情况下在系统进程中调用方法:android.app.ContextImpl.sendBroadcast:906 android.content.ContextWrapper.sendBroadcast:452 android.content.ContextWrapper .sendBroadcast:452 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.BatteryAlarmReceiver.onReceive:54 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.067 I / ODTCFactoryService:AlarmReceiver(5087):收到警报
07-15 16:12:45.071 D / ODTCFactoryService:AlarmReceiver(5087):计划在1800000(ms)和会话时间为180000(ms)之后发出警报
07-15 16:12:45.071 D / ODTCFactoryService:PowerMonitor(5087):sessionStartTime 1531696365071
07-15 16:12:45.073 W / ContextImpl(5087):在没有合格用户的情况下调用系统进程中的方法:android.app.ContextImpl.startService:1403 android.content.ContextWrapper.startService:664 android.content.ContextWrapper .startService:664 service.odtcfactory.sec.com.odtcfactoryservice.odtcfactory.AlarmReceiver.onReceive:105 android.app.ActivityThread.handleReceiver:3309
07-15 16:12:45.078 D / ODTCFactoryService :: LockscreenEncoderFactory(5087):已实例化LockscreenEncoderFactory
07-15 16:12:45.094 D / ODTCFactoryService:ProcessLockManager(5087):锁定已释放
07-15 16:12:45.105 I / ActivityManager(3663):进程service.odtcfactory.sec.com.odtcfactoryservice(pid 5087)已死(54,1194)
我已强行停止了此应用,并且它再次启动。我本周还两次将手机恢复出厂设置,但该应用程序仍然存在。首次恢复出厂设置后,我安装了最新的系统更新,因此我的Android版本是7.0:
内核版本3.10.61-13731302 2018年6月4日和星期一
内部版本号NRD90M.G920W8VLU6DRF1
Android安全补丁程序级别为2018年6月1日
此系统应用合法吗?我在Google搜索中找不到太多有关它的信息,这使我更加怀疑。如果无效,如何卸载?我尝试运行以下命令,但收到DELETE_FAILED_INTERNAL_ERROR。
adb shell pm卸载service.odtcfactory.sec.com.odtcfactoryservice
我还在日志文件中看到了与reSIProcate服务相关的其他看似可疑的活动。下一行是一个示例,但是有很多类似的实例,就像我的手机向服务器发送消息一样。
07-15 15:51:08.226 I / reSIProcate(3132):SipResp:200 tid = 68e64ae9ac9d2c9f cseq = 29 REGISTER contact = xxxx @ [2605:8d80:2:8c1c:d6a:ab6e:8708:44c4]:6100/29来自(电线)