android应用恶意代码静态注入的研究.docxVIP

android应用恶意代码静态注入的研究 1 android平台成为恶意程序的“思维场” andr是基于linux内核的软件平台和操作系统。这是google于2007年11月5日发布的。它最初是由google开发的，然后由开放移动联盟（openhadle彝ance）开发的。最新版本是androiddroid4.3（jellidleybe5an）。自问世短短数年以来, A n d r o i d发展速度异常迅速。根据Kantar公司的市场调研, 2013年Android操作系统占全球智能手机市场份额的64%, 在智能移动终端盛行的今天稳坐头把交椅。在Android系统日趋火爆的同时, 基于Android的应用程序数量也呈爆炸式增长。2012年年底, Google宣布, 搭载Android系统的移动设备可供下载的应用程序总数已经达到70万余款。到目前为止, 其应用程序数量应该已达到百万级别。与此同时, 由于Android生态环境的开放性, 使得Android用户接触非官方市场应用的机会更多, 而这些应用很容易被黑客利用。根据《2013年上半年网秦全球手机安全报告》数据显示, 2013年上半年, Android平台依然是手机恶意软件感染的重点平台, Android平台感染比例高达95%, 第三方应用商店仍是病毒传播的重要途径。因此, 对Android平台及其应用程序的安全性进行深入研究很有意义。 2 android应用程序结构介绍 对Android应用程序进行静态恶意代码注入, 必须先要了解Android应用程序内部结构, 这里对此进行简要介绍。 2.1 android应用程序文件上传 APK是Android Package的缩写, 它是Android应用的安装包文件。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。APK文件其实是zip格式, 但后缀名被修改为apk, 通过Un Zip解压后, 可以看到Dex (Dalvik VM executes) 文件, 即Android虚拟机可执行程序, 是Dalvik字节码。 2.2 android库 (1) 源文件, 源文件都在src目录中。 (2) R.java文件, 在该文件中Android对下文即将介绍的资源进行了全局索引, 如果res文件夹中的内容发生了改变, R.java会重新编译。 (3) Android Library, 这个是应用运行的Android库。 (4) assets目录, 放置多媒体等文件。 (5) res目录, 放置应用到的资源文件:drawable里面放置用到的图片资源;layout里面放置用到的布局文件, 这些文件都是xml格式;values里面放置字符串文件 (strings.xml) 、颜色文件 (colors.xml) 、数组文件 (arrays.xml) 。 (6) Android Manifest.xml是应用的配置文件, 包括程序使用的各类组件的声明:Activity、Service等;程序的入口点, 一般是包含android.intent.action.MAIN的Activity;程序使用受保护API或订阅特定广播消息时所需权限的声明等。 3 android应用漏洞利用 A n d r o i d应用的恶意代码注入基本上有两种方法。一种是利用Android应用程序开发者在设计或者编写代码时存在的漏洞, 在应用运行时通过某种方式进行漏洞利用 (exploit) 。由于Android应用程序数量极其庞大, 这种方式需要针对每一个应用进行相应的漏洞挖掘, 而且难度很大, 漏洞利用技术门槛较高。另一种是对应用程序APK文件进行逆向分析, 在其中注入恶意代码并伪装成正常应用进行发布和传播, 这是黑客们攻击使用的最主要方式, 也是本文阐述的主要内容, 即Android应用程序恶意代码静态注入方法。 3.1 恶意代码静态注入点 3.1.1 原程序入口点actity的静态注入点 每个应用程序都存在程序入口, 在Android应用中, 程序运行后的第一个Activity就是其应用程序入口点。在Android应用中替换原程序入口点Activity的做法, 是恶意代码静态注入最常见的方式。Android Manifest.xml文件中描述了Android应用程序运行时的入口点, 一般是包含android.intent.action MAIN的Activity。如果我们把此配置文件中的入口点Activity替换成精心编写的恶意Activity, 便可以执行在恶意Activity中设计的威胁代码, 达到盗取信息甚至是破坏系统的目的。 3.1.2 基于android应用程序的注册 A n d r o i d系统的广播机制是,