Android手机木马病毒提取与分析.docVIP

Android手机木马病毒提取与分析 　　摘要：为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件，对手机木马病毒的特点、植入方式、运行状态进行了研究，利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例，讲述了如何提取关键代码与配置数据，并对手机木马病毒的危险函数、启动方式、权限列表进行分析，证明了该方法的可行性，提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。 　　关键词：安卓系统；手机木马；木马植入；木马提取；代码分析 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2015）22-0022-02 　　Abstract： In order to investigate and solve the criminal cases of swindle and theft ，researched implant， running status of the mobile phone trojan virus，used dex2jar，jdgui tools to decode APK files source code.With an example， it tells how to extract the key code and configuration data， and analyzes the risk function， startup mode and authority list of mobile phone trojan virus. It proves the feasibility of this method， and extracts the key clues of illegal crime. 　　Key words： Android； mobile phone trojan； trojan implanted； trojan extraction； code analysis 　　智能手机给用户带来便利的同时，手机恶意软件也在各种各样的违法活动中充当了重要角色，其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现，这种恶意短信中附的网址，其实就是诱导下载一个手机软件，安装后手机内并不会显示出该应用，但其中的木马病毒已植入，后台会记录下机主的一切操作，可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等，银行卡账号、密码就都被泄露了，黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒，如何提取分析，并固定证据成为一项重要工作。本文从Android手机木马病毒的特点入手，讲述了如何提取分析关键代码与配置数据，从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。 　　1 木马病毒的植入、提取 　　1.1植入 　　（1）很多用户不希望支付软件费用，含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。（2） 通过发送短信或彩信到用户手机，诱骗手机用户点击短信中URL或者打开彩信附件，从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式，短信内容不断变化，但诈骗、盗窃的目标不变，那就是诱导点击安装短信的链接网址中的木马。 　　木马植入到目标系统，需要一段时间来获取信息，必须隐藏自己的行踪，以确保木马的整体隐藏能力，以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能，主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。 　　1.2提取 　　对于手机系统来讲，为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 　　提取的方式，一是根据URL链接地址，从互联网上进行提取；二是根据手机存储的位置，找到安装文件进行提取，比较常见的提取位置有：一般存放在根目录下、DownLoad文件夹中、还有隐藏在系统文件system文件夹中；三是遇到URL无法打开，安装源文件被删除等情况，借助豌豆荚、360手机助手等工具软件，从应用程序找出木马病毒进行导出成apk文件。 　　2木马病毒的分析 　　Android木马程序由client端程序和server端程序组成，server端通过移动互联网控制client端，client端程序安装在目标手机上