毕业答辩-Android恶意软件静态检测方法研究.ppt

Android恶意软件静态检测方法研究 目录 研究背景 研究现状 方案设计 方案步骤 创新之处 不足之处 致谢 研究背景 1、Android 是Google公司推出的手机操作系统，由于手机生产商可以免费使用Android系统，还有Android帮助手机制造商打造售价更低的低端手机，因此，Android 系统的智能手机的市场占有率很高； 2、针对 Android 平台的攻击也日益增强，由于Android最具创新的特点是开发性，这就允许任何一个人都可以开发自己的应用程序，用户可能会下载并且安装了一些恶意软件，而这些恶意软件中携带了很多病毒，这将会导致手机不能正常使用，给用户带来很大的安全隐患。 返回 研究现状 二种主要的Android手机平台上的反病毒措施的研究方法： 1、基于特征码的检测方法； 2、基于行为的检测方法： （1）动态：运行过程中； （2）静态：运行之前。 返回 方案设计 对 Android 恶意程序(后缀为.apk)包进行反编译，获取Manifest.xml文件和DEX文件，将它们分别恢复为未经编译的格式，然后归纳恶意代码中经常出现的恶意权限，进行检测软件的编写，设计静态分析规则，进行相关计算，再进行比较得到结果。 返回 方案步骤 恶意软件的实现 反编译的实现 静态分析规则的设计 检测软件的实现 恶意软件的实现 在新建的Android项目下，添加自己定义的恶意权限，编写一个简单的恶意软件,添加的恶意权限： 1）添加访问手机位置的权限 android.permission.ACCESS_COARSE_LOCATION 2）添加访问手机状态的权限 android.permission.READ_PHONE_STATE 3）添加授予发送短信的权限 android.permission.SEND_SMS 返回 反编译的实现 由于本人编程水平有限，这里的反编译是通过反编译工具apktool实现的。 Apktool工具下反编译的命令为： apktool d Telephone.apk 获取反编译后的AndroidManifest.xml文件、TelephonyStatus.tet文件（Telephone.apk中DEX文件反编译的出来是TelephonyStatus.smali文件，由于安卓文件读取不到smali格式，所以将其改成了txt格式） 返回 静态分析规则的设计 根据已有学者归纳的相关的权限和API，我们在读取文件时设计了如下的静态分析规则： 1、如果没有发现恶意权限，则判断其不是恶意软件； 2、如果发现恶意权限，则继续读取反编译后的DEX文件，然后由匹配条数、各项风险等级，计算加权平均值X(保留两位小数)。 静态分析规则的设计 具体计算方法为： X1 =（∑（单项匹配条数*风险等级））/ 匹配条数 3、最后根据其加权平均值，与我们定义的权值3相比，若大于我们定义的权值，则判断为恶意软件；若小于我们定义的权值，则判断其不是恶意软件。 返回 检测软件的实现 在新建的Android项目中，添加读取AndroidManifest.xml文件和TelephonyStatus.tet文件的方法，即readfile()和readDex()。 具体方法则是根据静态分析规则，抓取相关恶意权限和API。 检测软件的实现 用例检测结果如下图： 返回 创新之处 将反编译和静态分析引入到Android恶意代码的检测中，进而进行研究： 1、关于反编译，我们可以借助相关反编译工具来实现，本文中利用的是apktool。 2、关于静态分析规则的设计，本文中采取了根据常用权限列表，读取分析反编译后的Manifest.xml文件及DEX文件，然后由匹配条数、各项风险等级，计算加权平均值，最后进行比较。 返回 不足之处 1、由于本人编程水平有限，关于Manifest.xml文件和DEX文件，没有能够实现通过代码来反编译，而是通过apktool工具来实现反编译的，所以在检测的准确性中存在一些误差； 2、由于恶意软件代码较少，本文中采取的是自己编写一些带有恶意权限的恶意软件，所以也给静态检测带来局限性，只能检测自己定义的恶意软件，因此下一步工作应侧重于收集更多样本。 返回 致谢 在这里特别感谢我的导师--张迎周老师，他对我关于本课题进行了无私的指导和帮助，不厌其烦的帮助我进行论文的修改。 感谢在这次毕业设计过程中给予我帮助的同学们。 最后感谢在百忙之中抽出时间来指导此次答辩的老师们，谢谢！ 返回