# APP特征整理测试-安然

| ID | Creation Date | Assignee | Status |
|----|----------------|----------|--------|
| OSS-239 | 2022-06-17T12:22:19.000+0800 | 安然 | 完成 |


---

核实、整理目前咱们获得的APP特征，系统192.168.44.72，app ID8092-8172。如果系统里的APP和咱们最近提取新疆APP重复的，进行整合一下。ID8092-8172范围内的APP均需要核实特征配置情况并测试结果，填写测试记录表。

1、要求每一个环节都得做到严谨。

2、同一个Signature中，不允许跨协议类型使用Attributes作为Condition，TCP/IP/General Attributes除外。

3、参照数据包采集与特征提取 

4、根据APPid循序填写整理测试记录表 [https://docs.geedge.net/pages/viewpage.action?pageId=71797774]**anran** commented on *2022-06-20T18:08:12.064+0800*:

总80个应用,今日整理了52个应用到confluence,

[https://docs.geedge.net/pages/viewpage.action?pageId=71797774]

计划明日将剩余28个应用整理好并下载



---

**anran** commented on *2022-06-21T18:03:55.838+0800*:

测试了应用8092-8107

下载了8145-8152部分OA到windows

 



---

**anran** commented on *2022-06-22T18:09:25.287+0800*:

应用特征已经全部检查一遍,待新建有阻断效果的特征并导出特征json配置



---

**anran** commented on *2022-06-24T16:51:08.828+0800*:

2022年6月23日

1.整理72tsg平台应用的时候遇到不能导出内置ip的问题,暂时无法在288平台新建应用特征

2.重新捕获ios应用软件 QQ QQ邮箱 QQ音乐 QQ浏览器 腾讯会议 企业微信 微信 数据包并分析特征 .在分析数据包过程中发现问题“测试应用特征符合http.host和ssl.handshake.extensions_server_name匹配的阻断条件,但是从捕获的数据包来看,并未阻断,而是建立连接后有数据交互" 

!image-2022-06-24-16-50-41-444.png!

!image-2022-06-24-16-48-57-500.png!

 



---

**anran** commented on *2022-06-24T16:55:16.963+0800*:

成功阻断ios 应用 QQ邮箱 QQ音乐

测试腾讯会议时候发现之前发现的问题依然存在,可以复现,已经将此问题上报给研发,待回复

 



---

**anran** commented on *2022-06-24T17:23:01.192+0800*:

成功阻断 QQ浏览器

通过捕获数据包进行分析,添加tcp.payload 特征

User-Agent: mttlite

User-Agent: MQQBrowser

QQ-S-ZIP: gzip

 



---

**anran** commented on *2022-06-27T18:07:23.108+0800*:

1.对应用QQ 进行抓包分析,添加tcp.payload 特征 

Q-Guid:
Q-UA:
Q-UA2:
QQ-S-ZIP: gzip
User-Agent: QQ
Host: circlevideo2.photo.qq.com  

但还没有成功阻断

-2.上周提交的问题研发给出建议:配置tcp_payload特征条件,条件内容为: conn.wemeet.tencent.com-

-已经对应用tencentmeeting 特征作出修改,重新验证发现问题依然存在,已将重新捕获的数据包提交至研发,等待答复-



---

**anran** commented on *2022-06-28T17:11:08.063+0800*:

1.对ios应用QQ进行抓包分析,添加tcp.payload 特征

486f73743a20737164642e6d796170702e636f6d    Host: sqdd.myapp.com
557365722d4167656e743a205151    User-Agent: QQ
486f73743a20712e716c6f676f2e636e    Host: q.qlogo.cn
486f73743a207775702e696d74742e71712e636f6d3a38303830    Host: wup.imtt.qq.com:8080
512d477569643a    Q-Guid:
512d55413a20    Q-UA: 
512d5541323a20    Q-UA2: 
51512d532d5a49503a20677a6970    QQ-S-ZIP: gzip
512d417574683a20    Q-Auth: 
486f73743a2063646e696d672e33672e71712e636f6d    Host: cdnimg.3g.qq.com

但还没有阻断成功

2.验证研发给出建议:配置tcp_payload特征条件,条件内容为: conn.wemeet.tencent.com

已经对应用tencentmeeting 特征作出修改,重新验证,测试通过

3.成功阻断ios应用  58同城,知乎,腾讯会议,微信



---

**anran** commented on *2022-06-29T17:36:18.568+0800*:

1、对ios 应用QQ进行抓包分析,添加tcp.payload特征

2a2e717069632e636e    *.qpic.cn
2a2e70686f746f2e71712e636f6d    *.photo.qq.com
2a2e70686f746f2e73746f72652e71712e636f6d    *.photo.store.qq.com
2a2e716c6f676f2e636e    *.qlogo.cn
2a2e73746f72652e71712e636f6d    *.store.qq.com
717069632e636e    qpic.cn
2a2e74656e63656e742e636f6d    *.tencent.com
74656e63656e742e636f6d    tencent.com

但还没有阻断成功

2、对ios应用 阿里巴巴Alibaba 进行抓包分析,添加tcp.payload特征
2a2e74616f62616f2e636f6d    *.taobao.com
6163732e6d2e74616f62616f2e636f6d acs.m.taobao.com
557365722d4167656e743a20416c6962616261    User-Agent: Alibaba
682d6164617368782e75742e74616f62616f2e636f6d    h-adashx.ut.taobao.com
676d2e6d6d737461742e636f6d    gm.mmstat.com
486f73743a20616d64632e6d2e74616f62616f2e636f6d    Host: amdc.m.taobao.com
2a2e6d6d737461742e636f6d    *.mmstat.com

但还没有阻断成功

另外发现将特征内容gm.mmstat.com配置到域名+tcp.payload后,抓包中可以看到会话没有被阻断,还可以继续会话,已经创建工单给研发 https://jira.geedge.net/browse/OMPUB-542,等待研发答复

3、成功阻断ios应用 美团,boss直聘,wifi万能钥匙

其中对boss直聘,添加了tcp.payload特征

557365722d4167656e743a20424f5353   User-Agent: BOSS
2a2e7a686970696e2e636f6d    *.zhipin.com



---

**anran** commented on *2022-06-30T17:51:48.574+0800*:

1、对ios 应用全民K歌进行抓包分析,添加tcp.payload特征

2a2e61706463646e2e74632e71712e636f6d    *.apdcdn.tc.qq.com   
61706463646e2e74632e71712e636f6d    apdcdn.tc.qq.com
2a2e717069632e636e    *.qpic.cn
2a2e70686f746f2e71712e636f6d    *.photo.qq.com
2a2e70686f746f2e73746f72652e71712e636f6d    *.photo.store.qq.com
2a2e716c6f676f2e636e    *.qlogo.cn
2a2e73746f72652e71712e636f6d    *.store.qq.com
7069632e636e    qpic.cn

但还没有阻断成功

2、验证研发的答复https://jira.geedge.net/browse/OMPUB-542,确认多个应用包含同一个特征最大上限不能超过8个,如果超过8个,后面应用引用的效果会无效

3、为阻断alibaba,筛选之前重复的域名配置

4、因平台不能删除域名问题,需要将原应用导出json,修改后重新导入平台才可以特殊删除域名(问题已经上报)



---

**anran** commented on *2022-07-01T17:58:57.051+0800*:

1、为阻断ios应用alibaba,筛选之前重复域名的配置,下列域名在多个app中引用

acs.m.taobao.com
.taobao.com
gw.alicdn.com
g.alicdn.com
*.mmstat.com
gm.mmstat.com

因需要一边测试一边导出json,修改后重新添加,还未完全筛选完

2、导出新疆app特征,每一个应用生成一个json文件,将文件标题,内容大写替换成小写,整理成列表



---

**anran** commented on *2022-07-04T18:01:23.108+0800*:

1、对ios 应用企业微信进行抓包分析,添加tcp.payload特征


776f726b2e77656978696e2e71712e636f6d    work.weixin.qq.com
77776d656574696e672e77656978696e2e71712e636f6d    wwmeeting.weixin.qq.com
6b662e77656978696e2e71712e636f6d    kf.weixin.qq.com
696d706f72742e71712e636f6d    import.qq.com
2a2e71796170692e77656978696e2e71712e636f6d    *.qyapi.weixin.qq.com
2a2e7274786170702e636f6d    *.rtxapp.com
2a2e776f726b2e77656978696e2e636f6d    *.work.weixin.com
776f726b2e77656978696e2e636f6d     work.weixin.com
71796170692e77656978696e2e71712e636f6d    qyapi.weixin.qq.com
2a2e776f726b2e77656978696e2e71712e636f6d    *.work.weixin.qq.com
646f632e77656978696e2e71712e636f6d    doc.weixin.qq.com
6f70656e2e7765636f6d2e74656e63656e742e636f6d    open.wecom.tencent.com

但还没有阻断成功

2、对ios 应用QQ进行抓包分析但还没有阻断成功

 



---

**anran** commented on *2022-07-05T16:56:50.391+0800*:

1、对ios 应用QQ进行抓包分析但还没有阻断成功

2、对ios 应用全民K歌进行抓包分析,添加

udp_dst.port 8000

tcp_dst.port 14000

tcp_dst.ip等特征

但还没有阻断成功



---

**anran** commented on *2022-07-06T17:57:35.954+0800*:

1、对ios 应用QQ进行抓包分析但还没有阻断成功

尝试通过分析oicq协议获取特征



---

**anran** commented on *2022-07-07T18:00:33.798+0800*:

编写python脚本提取数据包payload,进行比对分析(还未完成)



---

**niuxiang** commented on *2022-07-11T09:58:48.271+0800*:

本周集中处理新疆部分有效果和无效果的APP，需要提供特征json，每天更新进度

https://docs.geedge.net/pages/viewpage.action?pageId=71801232



---

**anran** commented on *2022-07-11T17:49:37.128+0800*:

QQ IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

微信电话本 android已经下载安装待测试

千牛 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

派派 IOS 已经成功阻断,android已经下载安装待测试

YY语音 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

探探 IOS 已经成功阻断,android已经下载安装待测试



---

**anran** commented on *2022-07-12T17:46:32.203+0800*:

QQ IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

微信电话本 android已经下载安装待测试

千牛 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

派派 IOS 已经成功阻断,android已经成功阻断

YY语音 IOS 已经下载安装添加特征,但未完全阻断,android已经下载安装待测试

探探 IOS 已经成功阻断,android已经成功阻断



---



## Attachments

**29096/image-2022-06-24-16-48-57-500.png**

---

**29097/image-2022-06-24-16-50-41-444.png**

---