Skip to content
去他妈的取证
Branch: master
Clone or download
Latest commit 0e02d3c Jun 30, 2019
Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
app Jun 26, 2019
empty Jun 27, 2019
mfsocket Jun 26, 2019
.gitignore No commit message Jun 22, 2019
FuckMFS.apk Jun 26, 2019
LICENSE Initial commit Jun 22, 2019
README.md Update README.md Jun 30, 2019
settings.gradle Jun 22, 2019

README.md

FuckMFS

去他妈的取证

是一个 Xposed 模块

最近出现了公共场合查手机的事情、收集到多个名为 MFSocket 的取证软件客户端。

模块对所有收集到的程序适配 (

MFSocket 类型 / 版本

目前有三种不同类型的 MFSocket 应用

一 : com.Android.MFSocket

图标为旧版Android默认应用图标 默认安卓签名

查看所有

最新版本为 1.1 即某人最近被查手机安装的应用 (虽然没有混淆、看起来很假、但是确实是从被查的手机里提取出来的)

二 : com.Android.MFSocket / com.android.mfsocket

图标为放大镜、有meiya的签名

查看所有

早期版本包名为 com.Android.MFSocket 后期为 com.android.mfsocket

有混淆 比第一版提取了更多数据 : 日历、通话记录等等 还会 读取Telegram的聊天记录

三 : com.Android.MFSocket

图标为小电脑

查看

有混淆 比第二种多了四个二进制程序、貌似还能root手机

更新

06 / 23 : 增加联系人与SIM卡号随机生成、短信返回通知类、图片音频视频信息随机生成、应用列表返回国内白名单应用。
06 / 23 : 更新国内应用白名单列表 06 / 26 : 更新对其他版本的适配 请更新

感谢

柊 ゆり子 : https://github.com/Hiiragi-Yuriko

应用变量 : https://github.com/kingsollyu/AppEnv

开源协议

MIT License

使用

下载安装已编译的 FuckMFS.apk 并在Xposed安装器启用即可

提示 : 如果Android版本高无法使用原生Xposed,可以使用基于Magisk的Xposed框架EDXposed

太极

因为历史遗留问题,您可以Fork一份,修改 PackageName 重新打包,并向太极提交兼容申请,这样就可以在太极使用了。

另一种解决办法

如果手机有ROOT,可以使用替换adbd (阻止通过adb) 与 使用系统应用占用空包名 来阻止安装MFSocket

替换abbd :

$ su
# cd /system/bin
# mv adbd adbd.bak
# echo "#!/system/bin/sh" > adbd
# chmod +x adbd

复制空包 (已打包好)

$ cd ./FuckMFS/empty
$ su
# setenforce 0
# mount -o remount /system
# cp empty_mfsocket.apk /system/app
# cp EmptyMFSocket.apk /system/app
# chmod 644 /system/app/empty_mfsocket.apk
# chmod 644 /system/app/EmptyMFSocket.apk
# reboot

最后

还是物理隔离安全 (

You can’t perform that action at this time.