手机病毒木马简介与分析方法医学课件.ppt

谢谢！ Dalvik是Google公司自己设计用于Android平台的Java虚拟机。Dalvik虚拟机是Google等厂商合作开发的Android移动设备平台的核心组成部分之一。它可以支持已转换为。dex（即Dalvik Executable）格式的Java应用程序的运行，.dex格式是专为Dalvik设计的一种压缩格式，适合内存和处理器速度有限的系统。Dalvik 经过优化，允许在有限的内存中同时运行多个虚拟机的实例，并且每一个Dalvik 应用作为一个独立的Linux 进程执行。独立的进程可以防止在虚拟机崩溃的时候所有程序都被关闭。 * Android平台 手机文件系统检查 通过对手机可疑位置文件的检查，有助于发现和分析病毒文件。一般用户的权限只能打开有限的文件夹,特别是sd卡可以在电脑上进行比较. 具体见虚拟机操作 Android平台 手机运行任务检查 对于手机系统来讲，为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 具体操作见虚拟机。 Android平台 手机联网检查 特别是手机木马要运行时，一般会采取多种方式和外部进行数据传输，这就需要进行联网。 Android平台 对于联网情况还可以通过以下网络拓扑实现(wifi功能). Android平台 手机功能检查 检查手机是否有莫名奇妙的短信或彩信交互。 目前手机都有备份功能，可以在运行病毒木马前进行备份，和运行后进行比较。（较少用到） Android平台 模拟器行为监控 Android平台 模拟器并不是万能的，有些情景模拟器无法进行模拟，因此还需要在真实的手机上进行测试验证。 Android平台 要进行静态分析，最好具有相应的开发基础，这样分析其源代码更加方便。 先简单介绍一下Android关键类 Activity Service BroadcastReceiver ContentProvider Intent Activity Activity是为用户操作而展示的可视化用户界面。比如说，一个activity可以展示一个菜单项列表供用户选择，或者显示一些包含说明的照片。一个短消息应用程序可以包括一个用于显示做为发送对象的联系人的列表的activity，一个给选定的联系人写短信的activity以及翻阅以前的短信和改变设置的activity。尽管它们一起组成了一个内聚的用户界面，但其中每个activity都与其它的保持独立。每个都是以Activity类为基类的子类实现。 Service 服务没有可视化的用户界面，而是在一段时间内在后台运行。比如说，一个服务可以在用户做其它事情的时候在后台播放背景音乐、从网络上获取一些数据或者计算一些东西并提供给需要这个运算结果的activity使用。每个服务都继承自Service基类。 BroadcastReceiver 广播接收器是一个专注于接收广播通知信息，并做出对应处理的组件。很多广播是源自于系统代码的。比如，通知时区改变、电池电量低、拍摄了一张照片或者用户改变了语言选项。应用程序也可以进行广播──比如说，通知其它应用程序一些数据下载完成并处于可用状态。 应用程序可以拥有任意数量的广播接收器以对所有它感兴趣的通知信息予以响应。所有的接收器均继承自BroadcastReceiver基类。 ContentProvider 内容提供者将一些特定的应用程序数据供给其它应用程序使用。数据可以存储于文件系统、SQLite数据库或其它方式。内容提供者继承于ContentProvider 基类，为其它应用程序取用和存储它管理的数据实现了一套标准方法。然而，应用程序并不直接调用这些方法，而是使用一个 ContentResolver 对象，调用它的方法作为替代。ContentResolver可以与任意内容提供者进行会话，与其合作来对所有相关交互通讯进行管理。 Intent 当接收到ContentResolver发出的请求后，内容提供者被激活。而其它三种组件──activity、服务和广播接收器被一种叫做intent的异步消息所激活。intent是一个保存着消息内容的Intent对象。对于activity和服务来说，它指明了请求的操作名称以及作为操作对象的数据的URI和其它一些信息。比如说，它可以承载对一个activity的请求，让它为用户显示一张图片，或者让用户编辑一些文本。而对于广播接收器而言，Intent对象指明了声明的行为。比如，它可以对所有感兴趣的对象声明照相按钮被按下。 对于每种组件来说，激活的方法是不同的。 An