基于Android內(nèi)存鏡像的惡意軟件檢測研究.pdf

1、Android系統(tǒng)由于其秉承開放特性，導(dǎo)致其比iOS等封閉系統(tǒng)更容易受到攻擊，同時巨大的市場份額也讓攻擊者覺得有利可圖，因此惡意軟件已在Android系統(tǒng)上泛濫成災(zāi)。對Android系統(tǒng)下惡意軟件檢測是一個值得研究的課題，而現(xiàn)階段的研究大都是在惡意軟件感染前對其進(jìn)行檢測，不能有效檢測出已感染的Android設(shè)備中的惡意軟件。
　　本文致力于研究如何檢測已感染的Android設(shè)備中的惡意軟件。通過對Android設(shè)備的內(nèi)存鏡像進(jìn)行分

2、析，找出其中的惡意軟件，包括具有進(jìn)程隱藏行為的系統(tǒng)級惡意軟件和具有惡意行為的Android應(yīng)用。
　　對于隱藏進(jìn)程的檢測，提出了一種通過對比進(jìn)程號列表的檢測方法。通過分析Android系統(tǒng)的內(nèi)存鏡像，找到多種不同視圖下的進(jìn)程列表，對比其中的不同進(jìn)而找到其中的隱藏進(jìn)程。對于可疑應(yīng)用的檢測，提出了通過檢測網(wǎng)絡(luò)鏈接、私有鏈接庫以及結(jié)合 Android系統(tǒng)的權(quán)限機(jī)制的鑒別方法。最后提出了基于 API調(diào)用的可疑應(yīng)用分類檢測方法：以逆向技術(shù)獲

3、取 Android應(yīng)用可執(zhí)行文件中的敏感 API調(diào)用，并當(dāng)作應(yīng)用的行為特征，使用裝袋集成概率神經(jīng)網(wǎng)絡(luò)(Bagging_PNN)進(jìn)行可疑應(yīng)用的分類檢測。
　　一些惡意應(yīng)用會采用加殼、加密等方法防止逆向分析，導(dǎo)致沒有辦法提取可疑應(yīng)用中敏感 API的調(diào)用序列，使得靜態(tài)行為檢測方法失效。針對此問題，本文結(jié)合具體的檢測環(huán)境，提出了一種從進(jìn)程核心轉(zhuǎn)儲中暴力搜索.dex文件的方法。對前面檢測出的所有可疑應(yīng)用，通過暴力搜索.dex文件然后逆向提取

4、敏感API，同時對大量已知分類樣本采用Bagging集成的方式訓(xùn)練出不同的PNN，最后使用訓(xùn)練好的Bagging_PNN進(jìn)行分類，檢測出真正的惡意應(yīng)用。
　　最后進(jìn)行了實(shí)驗驗證，結(jié)果表明：基于進(jìn)程對比的隱藏進(jìn)程檢測方法能夠找到所有不是采用直接修改內(nèi)核對象方法實(shí)現(xiàn)的隱藏進(jìn)程，以及所有處于就緒狀態(tài)的隱藏進(jìn)程；暴力搜索.dex文件的方法能夠抽取出所有可疑應(yīng)用的.dex文件，并成功提取敏感 API調(diào)用次數(shù)；在可疑應(yīng)用分類檢測上，對惡意應(yīng)用