Android恶意软件检测的方法分析.docVIP

Android恶意软件检测的方法分析 　　摘 要：文章首先就Android恶意软件的安装和触发特点进行分析，通过分析Android平台中的恶意行为，制定了Android恶意代码检测方案。结合Android平台的特点，分析了现有的恶意软件检测行为，并指出了现有Android恶意软件检测方法的不足和未来发展趋势。 　　关键词：Android；恶意软件；检测 　　当前恶意检测方法主要包含静态分析和动态检测技术，静态分析主要是利用程序自身的静态结构、代码来判断其是否具有恶意性，其中涉及反编译、静态系统调用、逆向分析和模式匹配等相关技术。而动态检测主要是通过手机监视程序来对恶意行为进行检测监视。但是这两种技术在判断恶意软件时，仍然存在一些缺陷，没有充分结合实际应用中恶意软件变种、升级等问题。基于Android恶意软件的特征情况，本文提出了静态的综合检测方法以及动态分析技术，更好地解决Android系统的安全问题。 　　1 Android恶意软件的基本特征 　　为深入了解Android恶意软件的特征，文章从软件的安装方式、触发方式以及恶意负载种类等几个方面进行描述，同时为后文中检测Android恶意软件提供技术基础。 　　1.1 安装方式 　　Android恶意软件通常在形式上比较吸引用户注意，伪装成一些实用软件，进而让手机用户下载安装，迅速蔓延传播。恶意软件在手机中的安装传播方式主要分为三种：重打包下载、更新包下载、偷渡软件下载以及其他方式进入手机。 　　1.1.1 重打包下载 　　在一些流行的软件中植入恶意代码，然后进行重新编译，提供给Android手机软件官方市场，这种恶意软件隐藏特征非常强，很难分辨出来，，它们挂上合法安全的命名，具有欺骗性，在软件安装时运用了代码混淆技术和运行时解密技术。 　　1.1.2 更新包下载 　　在下载手机中已有的软件更新包时，恶意软件会在apk文件中植入恶意代码，运行更新包时，通过运行动态获取并下载安装恶意代码，一般运用静态扫描无法检测出更新包中的恶意负载。 　　1.1.3 偷渡软件下载 　　利用未开发的软件吸引用户在不安全的小网站中下载安装偷渡软件，其实这些偷渡软件就是伪装后的恶意软件，对手机Android系统存在很大的威胁。 　　1.1.4 其他方式 　　利用间谍软件安装入Android手机系统中，伪装成手机常用软件，但是没有伪装应用的实际功能，山寨软件，在软件中隐藏软件的恶意功能。 　　1.2 触发方式 　　当恶意软件进入Android手机系统中，一般通过这两种方式进行触发：诱导用户点击、媒体系统。 　　1.2.1 诱导用户点击 　　当恶意代码隐藏在重打包应用进入手机中，会伪装成某些重要功能诱导用户点击程序，进而触发恶意软件，导致恶意软件自动运行。 　　1.2.2 媒体系统 　　媒体系统主要包括手机中自带的广播系统、短信软件、音乐电影等软件。恶意代码可以隐藏在某段音频视频中，当用户播放广播、音乐或视频时，就会触发恶意软件；还有一种方式是通过短信发送给手机用户一段网址信息，用户点击网址时，就会自动跳转到恶意软件中，触发运行恶意负载。 　　1.3 恶意负载种类 　　Android恶意软件的恶意负载种类主要分为这样几类：提升特权、远程操控、恶意吸取话费、盗取隐私信息以及自我保护。 　　1.3.1 提升特权 　　提升特权主要表现在恶意软件可以自行突破手机的运行权限，恶意软件利用各种不同的Root攻击程序对Android系统本身的Root权限进行攻击、偷渡，从而提高Root权限，在攻击的过程中使用了代码混淆技术和代码加密技术，使Android系统静态分析恶意代码的难度提高了，有的恶意代码还会混淆伪装在手机自带的软件中。恶意软件除了利用ROOT攻击程序之外，还会利用Android系统本身的漏洞混淆安全清理吗，提升Android系统特权。 　　1.3.2 远程操控 　　当一些恶意软件进入手机中后，可以利用远程操控系统对手机进行远程操控，更新系统中的恶意负载，把系统信息传输会恶意软件总部。恶意软件中最常用的远程操控模式是利用http网络接收服务器控制指令，因此可以发现恶意软件只有在有网络的时候才能实现远程操控，可以增加网络服务器的隐蔽性，实行加密，从而抵挡恶意软件的远程操控。 　　1.3.3 恶意吸取话费 　　恶意软件提前在手机中植入花费吸取代码，然后利用SP服务强行吸取手机用户的话费，同时恶意软件还可以隐藏掉服务商的通信短信，秘密扣除掉手机中的话费。利用远程操控可以增值号码中的一些无用服务，提高话费使用数额。 　　1.3.4 盗取隐私信息 　　通过盗取隐私模块对手机中的通讯录、短信、录音、音频视频信息和一些隐私数据进行盗取，通过盗取这些隐私信息实现