一般主程序都是基于 Cydia Substrate (MobileSubstrate) 的,位于:/Library/MobileSubstrate/DynamicLibraries 目录
如果发现该目录下有孤立的.dylib文件,没有环境配置的plist文件一般最可疑,或者是比较迷惑的好像APPLE系统相关的文件名的 都要检查!如果发现可以文件,最好使用终端执行一个命令:
dpkg -S 可疑文件全名
执行后会在Cydia的DEB安装数据库中查找这个可疑文件,并告诉你哪个DEB插件包包含了这个文件.(注:查找的是事先通过apt管理"也就是Cydia或其它方式安装的DEB包"已经安装的插件)
查询的结果为:最前面是插件所属的安装包的包名(package)后面是文件路径,如果是"NOT FOUND"那就。。。。。(以上如果你是用狗妖PXL格式安装我只能呵呵了)
已知的恶意插件:(还在抽空整理,慢慢来,发现新的都会在此更新)
sfbase
/Library/MobileSubstrate/DynamicLibraries/sfbase.dylib
(盗取用户信息,通讯录,ID等上传)
AppBuyer (luokaixin) (感谢 @ClaudXiao 提供完整的逆向)
在iOS文件系统里的衍生文件列表是:
/System/Library/LaunchDaemons/com.archive.plist
/bin/updatesrv
/tmp/updatesrv.log
/etc/uuid
/tmp/u1
/tmp/u2
/private/etc/avs.txt
/Library/MobileSubstrate/DynamicLibraries/aid.dylib
/usr/bin/gzip
LOFTER:CDSQ http://weicdsq.lofter.com/post/20a5c5_2412ba2