浅析智能手机恶意代码的检测与防护技术.doc

浅析智能手机恶意代码的 检测与防护技术 王菲飞 北京交通大学 【摘要】随着智能手机市场的发展，智能手机已经变得越来越普及，然而其安全问题却成了重大潜在 威 胁。 本 文首 先 说 明 了 Symbian、Android 和 iOS 操 作 系 统存 在 的 安 全 隐 患，然 后 介 绍 了 手 机 恶意 代 码 的 主流检测与防护技术，并在此基础上详细介绍了杀毒软件广泛采用的特征值扫描技术，以及该技术所基 于的 BM 匹配算法。 【关键词】智能手机 ；恶意代码 ；特征值 ；BM 算法 1 引言 Doomboot、Eardtrap、Fontal、Appdisabler 等各种各样的病毒先后在该平台爆发，给手机 用户造成巨大的损失。 Android是Google开发的基于Linux平台的 开源手机操作系统，它是一个移动终端平台， 包括了移动电话工作所需的全部软件，由操作 系统、中间件、UI（User Interface）及应用程 序组 成。 相比 Sy mbi an平台 ，由 于Androi d平 台相对较为开放，可支持大???的第三方应用， 使其正在逐渐成为用户的掌上隐私中心，从通 话记录、短信到手机中存储的照片、账户密码 信息等都正在成为黑客的关注对象。近年来， 在包括谷歌A n d ro id 应用商店以及第三方应用 程序下载平台中，频繁出现伪装成正常手机软 件的恶意插件，在用户下载后实施扣费和窃取 隐私行为。仅在中国，北京网秦天下科技有限 公司发布的《2011年第二季度全球Android手机 安全报告》数据显示，2 0 1 1 年第二季度查杀到 A n d roid 手机恶意软件及其变种达到了2 386款 （其中恶意软件1 214款），其中超过43.5%的恶 意软件存在隐私窃取行为，包括远程窃听手机 随着现代科技发展，人们的手机从传统的 GSM、TDMA数字手机转向了拥有能够 处 理 多 媒 体资源、提供网页浏览、电话会议、电子商务 等多种信息服务的智能手机（Smart Phone）。 然而，品种日益繁多的手机恶意代码攻击[ 1 ] ，以 及形势日益严峻的个人数据安全问题也随之而 来，越来越多的手机病毒让智能手机用户饱受 其苦。 Symbian Operation System（Symbian OS），早期也称为EP O C系统，最早是由P s ion 公司开发的一个专门用于手持移动设备的操作 系统。2004年6月14日，反病毒公司Kaspersky Labs发现了首例能够在手机网络上传播的手 机病毒。 这种名为C abi r的 网络蠕虫，是 第一 个在S ymb ia n 平台下的概念验证性（Pro o f - of-concept）病毒，它的变种病毒会不停的 搜索蓝牙 设备，迅速消耗手 机电池。以C abi r 病毒为代表的手机恶意代码的出现，标志着 “手机病毒”时代的到来。在随后的时间里， 通话。 i O S是由苹 果公 司开 发的手 持设备 操作 系 统。2 0 0 7 年7 月2 4 日，iP hone首个漏洞曝光。 Independent Security Evaluators（ISE）研 究人员表示，通过Wi- Fi连接或诱骗用户访问 包含有恶意代码的Web网站，他们就能够控制 iPhone。尽管苹果在iPhone中采用了相当多的 安全措施，但只要发现这个缺陷，就能够完全 控制它。2008年5月14日，智能网络集成应用解 决方案供应商Radware称，Radware安全运营 中心的漏洞研究小组发现，苹果公司为iP hone 制作的1.1.4版本Safari浏览器中存在一个拒绝服 务攻击的安全漏洞。iP hone 用户一旦打开一个 包含显示这个安全漏洞的Java Script 的HTML 网页，黑客便可利用这个安全漏洞来发送垃圾 邮件和垃圾短信。而用户被引诱至相关网页 后，极易遭受应用级的拒绝服务攻击，这些攻 击将使Safari浏览器崩溃，甚至可能会使整个 iPhone崩溃。 3.1 攻击手机本身系统, 影响其正常服务 这种类型的恶意代码主要是利用手机漏洞 来传播，比如Cabir蠕虫利用Symbian系统的漏 洞搜索临近的蓝牙设备并复制和传播自身，很 快地消耗掉手机电池；或者是发送精心构造的 短 信 （ SMS） 或 者 彩信 （ MMS） ， 造 成 手 机 内 部程序出错，从而导致手机不能正常工作。 3.2 攻击WAP（无线应用协议）服务器， 使WAP手机无法接收正常信息 这种类型的恶意代码一旦攻击成功就会影 响所有通过 该服务器上网的手 机。W AP （无线 应用协议）可以使小型手持设备如手机等方便 地接入互联网，完成一些简单的网络浏览、操 作功能。手机的W AP 功能需要专门的WA