浅析基于Rootkit技术的手机安全.doc

浅析基于Rootkit技术的手机安全 庄 棪 （国家计算机网络应急技术处理协调中心四川分中心，成都610072） 摘 要: 智能手机的广泛普及给用户带来了很多方便，种类繁多的应用程序让我们的工作和生活带来很多便利，但是手机信息安全问题也日益突出，手机Rootkit比一般手机病毒更复杂更隐蔽，修改手机系统代码和内核，带来严重威胁。本文分析了手机Rootkit技术、隐蔽原理、攻击流程和防范检测技术。 关键词： 智能手机 手机木马 Rootkit 在当今手机的广泛普及在各个方面都给人们生活、工作带来了极大的便利。特别是智能手机的出现，更是掀起移动互联网的快速发展的浪潮，信息技术和媒体顾问公司Analysys Mason发布的最新报告显示，预计到2014年全球智能手机销量将达到17亿部报告显示，预计全球智能手机销量年均增长率为32%。2014年，智能手机将占整体手机销量的26%。360安全中心发布《2011年上半年中国手机安全报告》（以下简称报告”）指出，今年1月至6月，国内新增手机木马和恶意软件2559个，感染手机用户数高达1324万，Android（安卓）平台与Symbian平台并列成为手机木马重灾区”，手机木马的危害主要集中在恶意扣费和窃取用户隐私。报告》称，相较2010年，中国手机安全领域无论从手机木马种类、数量，还是感染手段的多样性与感染用户数上，都呈现出几十倍的大幅增长。但超过60%的手机木马仍活跃在老牌智能操作系统Symbian平台上，新增恶意软件及木马1591个，感染手机用户数更高达1206万人次。《报告》分析称，国内手机木马的恶意行为，正在由过去的系统破坏转向恶意扣费和窃取用户隐私。比如的X卧底”木马，其本质就是一款黑客间谍软件，不仅会回传受害者手机短信，甚至还能任意监听其通话。《报告》还列举了今年上半年五大最恶”木马，分别为系统终结者”、超级大盗”、勾魂美女”、X卧底”及水货固件木马白卡吸费魔”。研究人员指出，ootkit使用了各种技术，以保证其不备传统安全软件检测出，但是，相比于桌面平台，移动平台上的安全软件严重匮乏。智能手机上的ootkit检测技术将会由于手机处理能力限制以及其他因素，面临着重大挑战。rookie模块的隐藏： _this_module.list prev-next=_this_module.list next; _this_module.list next-next=_this_module.list prev; _this_module.list next=LIST_POISON 1; _this_module.list prev=LIST_POISON 2; 任务隐藏 手机防毒软件不光对手机文件系统的文件进行监视，还对手机的运行的任务进行监视。如果病毒木马程序可以对自身的存储进行一个隐藏的话，但是在后续任务运行的过程中还是依然会被防毒软件作为一个“不正常”的程序被监视到，如果此时这个病毒、木马程序又符合防毒软件提供的病毒特征码的话，那么这个程序就被杀除。所以说在任务运行阶段的隐藏是非常重要的。但是由于智能手机系统和计算机操作系统存在区别，对于传统计算机操作系统中的任务隐藏方法还比较复杂。因为在手机系统中，任务的运行决定着手机系统的正常运行，如果想要隐藏手机上的任务的话，很容易造成手机系统的崩溃和“死机”，导致手机关机。 虽然说对于任务的隐藏比较难以实现，但是基于Rootkit还是可以找到漏洞。手机系统中也存在一个系统缓存，系统缓存中存放着手机的核心数据，这些核心数据一般还会进行加密存储，有特殊的格式，手机系统有点类似与计算机系统，它将运行任务的数据保存在缓存中，以便于随时调用和修改。如果对这些数据进行破解并修改，手机系统中的关键显示也相应发生变化。由于手机系统不像计算机操作系统那样复杂，手机系统可能只是面向一些基础应用居多，从而在设计的时候就存在巨大的安全漏洞。但是对于手机Rootkit制造者来说，发现了这些漏洞并找到利用方法，那么后果很严重。 比如，在操作系统设计的时候，系统自身的代码都会在高地址的内存中运行，这个地址拒绝用户程序访问。当手机Rootkit程序直接访问到了，又恰好手机系统的开发者没有设置拒绝代码的话，那么Rootkit可以直接修改这部分内存中的内容，那么系统本身和其他防毒监视软件都无法再查询到这种改变了。 3. 将Rootkit通过驱动程序运行 驱动程序是指直接工作在各种硬件设备上的软件，让硬件和软件之间能够进行通信，通过驱动程序，各种硬件设备才能被系统调用运行，达到使用目的。这些驱动程序一般都是工作在手机系统中底层部分。智能手机系统也是类似于计算机操作系统的原理，利用应用程序将手机上的硬件设备进行调用的，让使用者都能够使用这些硬件，比如进行通话、地理