• Day 1-2:6 个团队全部启动,互不阻塞
• Day 2:Alpha 产出核心接口契约(关键路径)
• Day 3:Beta/Delta 从 Mock 切换到真实接口
• Day 5:Gamma 交付全部 IoC 数据
• Day 7:4 模块集成,首版可运行
• Day 10:MVP 验收测试
• Day 14:Phase 1 完整交付
项目地基 · 所有关键路径的起点
| ID | 任务 |
|---|---|
| A-001 | 创建 Android 项目 (Kotlin 1.9+, minSdk 26) |
| A-002 | 配置 Compose + Material 3 |
| A-003 | 配置 Hilt 依赖注入 |
| A-004 | 配置 Room 数据库 |
| A-005 | 配置 OkHttp + Retrofit |
| A-006 | 创建多模块结构 (app/core/modules/data-*) |
| A-007 | 启用 Gradle 依赖锁定 + 校验 |
| A-008 | 配置 detekt 静态分析 |
⚠ 关键路径 — 完成后立即通知 Beta/Delta/Epsilon 对接
| ID | 接口 | 说明 |
|---|---|---|
| A-009 | ScanModule | 检测模块统一接口 |
| A-010 | Finding | 检测结果数据模型 |
| A-011 | RiskLevel | 🔴🟠🟡🟢 四级枚举 |
| A-012 | ScanResult | 完整扫描结果 |
| A-013 | ScanContext | 扫描上下文 |
| A-014 | RiskScore | 三维评分模型 |
| A-015 | Scanner | 调度器接口 |
| A-016 | ReportEngine | 报告引擎接口 |
| A-017 | ScanPriority | NIST 易失性优先级 |
| ID | 任务 |
|---|---|
| A-018 | ScannerImpl 扫描调度器(NIST 易失性优先) |
| A-019 | RiskEngine 风险评分(三维×5级响应) |
| A-020 | SimpleReportEngine 简版报告 |
| A-021 | ScanProgressNotifier 进度通知 |
| A-022 | ScanResultRepository 结果存储 + JSON |
| ID | 任务 |
|---|---|
| A-023 | Hilt 模块绑定 |
| A-024 | MainActivity + Compose Navigation |
| A-025 | Material 3 主题(含暗色模式) |
| A-026 | 底部导航骨架 |
| A-027 | README + 架构文档 |
其他团队依赖的核心接口定义
4 大模块 · 37 项检测 · 核心战斗力
NIST 最易失 → 最先采集
| 检测项 | 阈值 | 风险 |
|---|---|---|
| ADB 调试状态 | 开启即告警 | 🟠 |
| ADB 无线调试 | 开启即告警 | 🟠 |
| 开发者选项 | 开启即提示 | 🟡 |
| 异常电池消耗 | >10%/h 持续1h | 🟠 |
| 异常流量 | >500KB/min 持续5min | 🟠 |
| 异常 CPU | >20% 持续10min | 🟠 |
| USB 调试状态 | 仅提示 | 🟡 |
| 安装未知来源 | 开启即提示 | 🟡 |
| 检测项 | 风险 |
|---|---|
| 高危权限组合 (8种规则) | 🔴 |
| 隐藏图标应用 | 🟠 |
| 伪装系统应用 | 🔴 |
| 应用签名异常 | 🟡 |
| 动态代码加载 | 🟠 |
| 多进程守护 | 🟠 |
| 非官方来源 | 🟡 |
| 伪装卸载 | 🔴 |
| 后台服务异常 | 🟡 |
8 种高危权限组合:
| 检测项 | 无Root | ADB | Root | 风险 |
|---|---|---|---|---|
| 设备管理器滥用 | ✅ | ✅ | ✅ | 🔴 |
| 无障碍服务滥用 | ✅ | ✅ | ✅ | 🔴 |
| 开机自启广播 | ✅ | ✅ | ✅ | 🟠 |
| 前台服务保活 | ❌ | ✅ | ✅ | 🟠 |
| JobScheduler滥用 | ❌ | ✅ | ✅ | 🟠 |
| AlarmManager定时 | ❌ | ❌ | ✅ | 🟠 |
| 电池优化白名单 | ✅ | ✅ | ✅ | 🟠 |
| 唤醒锁滥用 | ❌ | ✅ | ✅ | 🟠 |
| 系统级持久化 | ❌ | ❌ | ✅ | 🔴 |
| /data/local/tmp残留 | ❌ | ❌ | ✅ | 🟠 |
| 覆盖窗口权限 | ✅ | ✅ | ✅ | 🟠 |
| 通知监听服务 | ✅ | ✅ | ✅ | 🟠 |
无Root: 6项 | ADB: 10项 | Root: 12项
| 检测项 | 风险 |
|---|---|
| Root状态 (su/Magisk) | 🟡 |
| /system分区修改 | 🔴 |
| 模拟器检测 | 🟡 |
| 调试器附加 | 🟠 |
| Xposed/LSPosed | 🟠 |
| Frida注入 | 🟠 |
| SELinux状态 | 🔴 |
| Verified Boot | 🔴 |
完全独立 · Day 1 即全力产出
| 家族 | IoC 内容 | 交付日 |
|---|---|---|
| Kimwolf v7 | C2域名(5)/进程(4)/文件(3)/socket/区块链/ADB端口 | Day 1 |
| Vo1d | 恶意APK包名/系统分区文件/安装路径 | Day 1 |
| BTMOB | 包名特征/C2域名/无障碍滥用 | Day 2 |
| Rafel RAT | 包名特征/C2域名/设备管理器 | Day 2 |
| Anubis | 银行钓鱼包名/overlay特征/C2 | Day 3 |
| Cerberus | 无障碍包名/2FA拦截/C2 | Day 3 |
| 白名单 | 用途 |
|---|---|
| 系统应用 (50+包名) | A2 检测排除 |
| 合理无图标应用 | A2 隐藏图标排除 |
| 合理高耗电应用 | A5 异常电池排除 |
| 合理前台服务 | A3 前台服务排除 |
| 多进程应用 | A2 多进程排除 |
| 开发者调试应用 | A2 签名排除 |
| ATT&CK ID | 技术 | 模块 |
|---|---|---|
| T1437.001 | 设备管理器 | A3 |
| T1437.002 | 无障碍服务 | A3 |
| T1400.001 | 开机自启 | A3 |
| T1633.001 | 前台服务保活 | A3 |
| T1633.002 | JobScheduler | A3 |
| T1404 | 电池白名单 | A3 |
| T1625.001 | 覆盖窗口 | A3 |
| T1417.001 | 通知监听 | A3 |
| T1407.001 | 高危权限组合 | A2 |
| T1407.002 | 隐藏图标 | A2 |
| T1027.005 | 伪装系统应用 | A2 |
| T1027.006 | 动态代码加载 | A2 |
| T1624.001 | Root检测 | A6 |
| T1624.002 | 模拟器检测 | A6 |
Android 优先期间同步推进 PC 端骨架
| 天数 | 任务 |
|---|---|
| Day 1-2 | Python 项目结构搭建 |
| Day 2-3 | 核心接口定义 (Python版) |
| Day 3-4 | 扫描调度器原型 + 风险引擎 |
| Day 5 | CLI 框架 (click/argparse) |
| Day 5-6 | HTML 报告模板 (Jinja2) |
| Day 6-7 | 共享资源对接 (加载 Gamma JSON) |
| Day 7-10 | Windows API 调研 (psutil/winreg) |
| Day 10-12 | M1 网络审计原型 |
| Day 12-14 | M3 持久化审计原型 (14项) |
| 时间 | 内容 |
|---|---|
| 09:00 | 各团队站会 (15min) — 昨天完成/今天计划/阻塞 |
| 14:00 | 跨团队集成检查 (10min,仅集成日) |
| 18:00 | 更新任务看板 — 完成/进行中/阻塞 |
| 风险 | 概率 | 影响 | 缓解 |
|---|---|---|---|
| Alpha 接口延迟 | 中 | 高 | Mock 先行 |
| 误报率超标 | 高 | 中 | 白名单+测试+渐进告警 |
| Android 权限限制 | 高 | 中 | 三模式设计 |
| 接口不兼容 | 中 | 高 | I-1 提前确认契约 |
| 性能不达标 | 中 | 中 | Day 7 开始监控 |