虚假Android应用检测的研究与实现(2)
时间:2018-09-02 11:13 来源:毕业论文 作者:毕业论文 点击:次
1.1.1 Android操作系统 Android系统是目前最受欢迎的智能移动设备操作系统,根据Gartner机构的发布的报告,2014年Android设备的市场占有率为49%,成为了全球第一大智能手机操作系统,并预计在2015年达到59%。 Android(安卓),是一个以Linux为基础的开源移动设备操作系统,主要用于智能手机和平板电脑,由Google成立的Open Handset Alliance(OHA,开放手持设备联盟)持续领导与开发中。2007年11月,Google与多家制造商、开发商及电信营运商一同成立开了放手持设备联盟来共同研发改良Android系统,随后,Google发布了Android的源码。 安卓手机系统的一大优势在于其开放性和免费的服务,Android是一个对第三方软件完全开放的平台,开发者在为其开发程序时拥有更大的自由度,和iPhone的封闭性完全相反,所以安卓获得了更好产商的支持,例如:HTC、三星、摩托罗拉、LG、中国移动等。 1.1.2 Android应用安全现状 正因为Android系统的开放性,Android平台的病毒也最为泛滥。根据2014年上半年网秦全球手机安全报告,中国大陆地区以18.20%感染比例高居全球智能手机病毒重点感染区域第一。中国已经成为了智能手机病毒的重灾区。该报告数据表明, 全球智能手机病毒主要通过第三方应用商店、手机论坛和二文码等途径传播。受感染平台96%来自于Android平台。 1.1.3 Android恶意软件特征 Android手机病毒目前根据安装的方式大致分为以下几类: 1, 重打包应用。 这一类的病毒利用反编译手段,在正版的Android程序中植入恶意内容,然后重新编译并提交到第三方市场上。同时,该方法还能够利用代码混淆技术等反静态分析技术隐藏恶意的内容。 2, 动态更新包应用。 与上面的重打包不同的是,这种方式的应用不会在APK文件中加入恶意的内容,而是在运行时,动态访问开发者的服务器,获取恶意内容或者上传隐私信息,所以静态扫描这类应用也没有办法捕获到而已内容。 3, 偷渡式下载应用。 常见于各种恶意网站,在没有获取到用户允许时,后台下载并安装伪装过得恶意软件。 4, 其他形式。 间谍软件,伪装软件,山寨应用等等。 在骗取下载和安装之后,恶意软件而需要想办法获得运行的机会,一般来说,恶意软件通过以下两种方式触发执行: 1, 骗取点击。 这种方式的应用通常会将自己伪装成别的正版应用,如QQ,微信等,骗取用户的直接点击和运行。 2, 注册监听器,监听系统时事件。 通过Android的广播和监听机制,应用可以通过监听系统的关键事件,获取相关信息和自启动。在这种情况下,程序只要被安装,即使没有得到用户的点击也能够自动运行。 在所有的系统事件中,BOOT_COMPLETE事件,即开机完成事件,是最容易遭到侦听的,许多应用都会注册针对该事件的广播侦听器,实现开机自启动。 1.1.4 Android应用检测方法 当前检测Android虚假应用的方法总体上可以分为两大类:静态检测和动态监测。两种技术各有优缺点口在现实中,大量的实例都是同时包含动态和静态检测技术。 静态分析涉及到二进制相关的技术,其中包括反编译、逆向分析、模式匹配和静态系统调用分析等。静态分析技术有一个共同的特点:应用程序不被执行。基于Android平台手机端应用的扫描技术一般都采用签名静态比对。静态分析的优点是简单并且快速,节约系统成本和资源,但是它最大的缺点是扫描恶意软件前需要知道已知恶意软件信息,如签名、行为模式、权限申请等,使得它不能实现自动扫描并适应未知恶意程序的功能。 (责任编辑:qin) |