- 1、本文档共3页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
Android恶意代码――木马APK分析.doc
Android恶意代码――木马APK分析
摘 要
中国 1/vie
近年来,Android系统以极高占有率制霸智能手机市场,但由于其开放性,使得针对Android平台的恶意代码数量呈现出爆炸式增长,导致隐私数据泄露、程序越权操作、电池耗尽攻击、恶意进程交互等手机安全事件频繁涌现。近期,公安机关接连接到若干通过安卓平台远程控制木马从而实施诈骗的案件,诈骗者依靠伪基站设备发送钓鱼,给用户手机植入Android木马,从而实施诈骗。因此,对恶意代码进行分析成为一个亟待解决的问题。文章结合Android平台的特点和一线公安机关办理的恶意窃取隐私案件中的相关apk,重点进行apk反编译分析和动态调试,为公安机关打击移动网络下的违法犯罪活动提供了技术支持。
【关键词】Android 木马 APK 恶意代码
1 安卓体系结构
安卓体系从上到下可以分成4层,第1层是应用程序层(Application)。这一层包括电话、浏览器、联系人及各种第三方应用。应用程序使用Java语言编写,所有源代码及资源文件都包含在一个.apk文件当中,以供安装时使用。
第2层是应用程序框架层(Application Framee)。这一层分为两部分:库包含一系列C/C++语言编写的原生库,这些原生库可供所有上层组件调用;安卓运行时环境包含dalvik虚拟机和核心库,其中提供了所有用来访问本地库、硬件和操作系统的接口。
最底层是Linux内核层(Linux Kernel)。提供诸如设备驱动、文件系统等最核心的系统服务。
2 基于安卓平台恶意代码的静态分析技术
静态分析法就是在不运行恶意代码的情况下,利用分析工具对恶意代码的静态特征和功能模块进行分析的方法,利用静态分析方法,可以找到恶意代码的特征字符串、特征代码段等,还可以得到恶意代码的功能模块和各个功能模块的流程图。
基于静态分析机制的逆向分析技术主要优点包括:
(1)不需要真正执行恶意代码,可以避免对恶意攻击者发现;
(2)误报率低;
(3)不受具体进程执行流程的制约,可以对代码进行详尽的细粒度分析。
我们通过对一线公安机关办理的相关恶意窃取隐私案件中的apk样本进行反编译,对木马部分源码进行静态分析后可以掌握犯罪嫌疑人的手机号码及电子邮箱等个人信息,并能掌握木马取证的恶意操作:如读取短信、监控短信收发、读取联系人、后台发送邮件等操作。
3 基于安卓平台恶意代码的分析
3.1 分析工具
AndroidKiller是一款可视化的安卓应用逆向工具,集Apk反编译、Apk打包、Apk签名,编码互转,ADB通信(应用安装-卸载-运行-设备文件管理)等特色功能于一身。它包含了adb、apktool、dex2jar、jd-gui等反编译工具。其中apktool能将android中的.apk文件转换成.dex文件;dex2jar能将第一步的.dex文件反编译成.jar文件;jd-gui能将.jar文件反编译成.java文件进行分析。
3.2 安卓木马固定
文件名称:l文件,用来描述应用的名字、版本、权限和引用的库文件等信息;
(4)smali文件,是java源代码反编译后的格式代码。
3.3.1 AndroidManifest.xml文件
AndroidManifest.xml 是每个Android程序中必须的文件。它位于整个项目的根目录,描述了package中暴露的组件(activities, services, 等等),他们各自的实现类,各种能被处理的数据和启动位置。除了能声明程序中的Activities, ContentProviders,Services,和Intent Receivers,还能指定permissions和instrumentation(安全控制和测试)。用AndroidKiller打开AndroidMainfest.xml,可以看到该apk一共申请了17个权限,其中值得注意的有如下权限:
android.permission.RECEIVE_BOOT_PLETED 允许程序开机自动运行
android.permission.READ_CONTACTS 允许应用访问联系人通讯录信息 android.permission.READ_PHONE_STATE 访问电话状态
android.permission.READ_SMS 允许程序读取短信息
android.permission.RECEIVE_SMS 接收短信
android.permission.S 允许程序写短信
android.permission.SEND_SMS 发送短信
an
您可能关注的文档
- 09会计专业论文开题报告.doc
- 09年金融学专业毕业论文题目参考.doc
- 10%丙硫唑悬浮剂防治水稻穗颈瘟药效研究.doc
- 10kV架空线常见故障及防范策略.doc
- 10kV真空断路器非全相分闸的原因分析及处理措施.doc
- 10kV配电线路带电作业危险点及预控对策研究.doc
- 10kV配电线路故障抢修危险点研究.doc
- 1151m3燃料罐TCS模块设计.doc
- 18世纪中国音乐文化在法国的传播研究.doc
- 1930年前后赣南剥削关系变化考察.doc
- GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs).pdf
- 中国国家标准 GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs).pdf
- 《GB/T 39560.10-2024电子电气产品中某些物质的测定 第10部分:气相色谱-质谱法(GC-MS)测定聚合物和电子件中的多环芳烃(PAHs)》.pdf
- GB/T 39560.302-2024电子电气产品中某些物质的测定 第3-2部分:燃烧-离子色谱法(C-IC)筛选聚合物和电子件中的氟、氯和溴.pdf
- 中国国家标准 GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样.pdf
- 中国国家标准 GB/T 39560.302-2024电子电气产品中某些物质的测定 第3-2部分:燃烧-离子色谱法(C-IC)筛选聚合物和电子件中的氟、氯和溴.pdf
- GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样.pdf
- 《GB/T 39560.2-2024电子电气产品中某些物质的测定 第2部分:拆解、拆分和机械制样》.pdf
- 《GB/T 39560.303-2024电子电气产品中某些物质的测定 第3-3部分:配有热裂解/热脱附的气相色谱-质谱法(Py/TD-GC-MS)筛选聚合物中的多溴联苯、多溴二苯醚和邻苯二甲酸酯》.pdf
- 中国国家标准 GB/T 39560.303-2024电子电气产品中某些物质的测定 第3-3部分:配有热裂解/热脱附的气相色谱-质谱法(Py/TD-GC-MS)筛选聚合物中的多溴联苯、多溴二苯醚和邻苯二甲酸酯.pdf
文档评论(0)