恶意代码检测.pptVIP

移动恶意代码检测 主要内容 恶意代码简介 主要检测方法 逐步研究计划 恶意代码简介 恶意代码简介 恶意代码简介 恶意代码简介 典型恶意代码 Adrd Adrd又名HongToutou，首次发现于2011年2月15日。它被植入十余款合法软件中，通过多家论坛、下载站点分发下载 实现大范围传播。主要行为包括：每6小时 向控制服务器发送被感染手机的IMEI、IMSI 、版本等信息；接收控制服务器传回的指令； 从数据服务器取回30个URL；依次访问这些 URL，得到30个搜索引擎结果链接；在后台 逐一访问这些链接；下载一个.apk安装文件 到SD卡指定目录。 恶意代码简介 典型恶意代码 DroidDream DroidDream最早出现于2011年2月15日， 并在3月2日被发现。它被植入谷歌官方 Android市场的五十余款软件中，通过多 个账号发布，是第一个通过官方市场大范 围传播的Android恶意代码。 DroidDream利用了一个名为rageagainstthe- cage的提权工具，利用Android系统漏洞使 自己获得root权限。 恶意代码简介 典型恶意代码 Zitmo和Spitmo Zitmo和Spitmo，是PC平台最大的网银盗号木马Zeus和Spyeye的移动版本。到目前为止，Zitmo已经出现在Android、Symbian、Windows Mobile、BlackBerry RIM OS系统中。 Zitmo和Spitmo均拦截并回传用户 用于网银登陆的手机一次性随机 验证码（mTAN，用于与账号、 密码一起，登陆网银）。通过社 会工程学，攻击者成功地将用户 的网银账户与其手机关联，从而 对支付安全中所谓双因素认证进 行了有效地攻击。 恶意代码简介 典型恶意代码 Droiddg Droiddg预装入多款Android手机和平板电脑中，通常伪装成名为“Google搜索（已增强）”的软件， 隐蔽地收发短信，消耗用户手机 费用，并大量下载和安装其他应 用软件。 恶意代码简介 典型恶意代码 a.remote.lbs52loc.[隐秘追踪] 该病毒安装后会强制开机启动，隐藏桌面图标，同时拦截特定短信，以获取用户GPS位置信息，并上传远程服务器，严重泄漏用户隐私。 a.remote.mzx.[卧底大盗] 该软件安装后无图标开机自启动，启动后会监听手机的通话内容、发送短信并使用GPS跟踪您的行踪，同时会拦截短信内容、通话记录、邮件、手机号码等隐私内容上传到服务器，给用户的隐私安全带来严重威胁 恶意代码简介 典型恶意代码 a.payment.smsspy.[短信间谍] 该病毒安装后无图标，开机自动启动，启动后会发送扣费短信，并同时会删除短信信息和获取用户GPS位置，给用户的财产安全和个人隐私造成严重威胁。 a.consumption.servicr 该病毒伪装成Google Service类软件骗取用户下载，开机自动启动，安装后无图标，病毒启动后分别从远程服务器“http://s2.m***:9899/”和“http://s2.a***:9899/”站点可能会下载其它恶意应用，并强制安装到用户手机，浪费用户手机流量，给用户带来一定的经济损失，并可能给用户造成严重的安全威胁。 恶意代码简介 病毒特征 开机自动运行 隐蔽性（隐藏自身、隐蔽通信） 异常行为（扣费、获取用户隐私信息） 常见行为流程 主要检测方法 静态检测 动态检测 静态检测方法 在不运行恶意代码的情况下，利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。恶意代码从本质上是由指令构成的，根据分析过程是否考虑构成恶意代码的指令的语义，可以把静态分析方法分成基于代码特征的分析方法和基于代码语义的分析方法两种类型。 静态检测方法 基于代码特征的检测方法 基于代码特征的分析方法在分析过程中，不考虑恶意代码的指令意义，而是分析指令的统计特性、代码的结构特性等。特征量分析方法常用于对执行程序类型的恶意代码进行分析。 静态检测方法 基于代码语义的检测方法 基于代码语义恶意代码分析方法要求考虑构成恶意代码的指令含义，通过理解指令语义建立恶意代码的流程图和功能框图，进一步分析恶意代码的功能结构。 静态检测方法 特征码扫描技术 静态检测方法 完整性检查 对于系统文件资源，事先记录文件的MD5、SHAl等Hash值 对于系统内存资源，校验内存中可执行文件映像的完整性 静态检测方法 启发式方法 静态启发式分析 动态模拟启发式技术 动态检测方法 动态分析是指在恶意代码执行的情况下，利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的