基于Android平臺(tái)的惡意代碼行為分析研究.pdf

1、從2009年我國正式開展3G業(yè)務(wù)之后，3G建設(shè)進(jìn)展迅速。伴隨著3G網(wǎng)絡(luò)的發(fā)展，越來越多的用戶開始使用智能移動(dòng)終端，而其中Android智能手機(jī)由于其開源性以及高性價(jià)比正在迅速搶占智能手機(jī)市場(chǎng)。隨著 Android市場(chǎng)份額的急劇擴(kuò)大，針對(duì)Android智能手機(jī)的惡意程序數(shù)量正以驚人的速率增長，使得用戶面臨非常嚴(yán)峻的安全性問題。
　　針對(duì)Android的安全性問題，現(xiàn)在已經(jīng)提出了一些解決方法，但它們大多采用的仍是傳統(tǒng)的靜態(tài)分析方法，并

2、不能分析程序運(yùn)行期間執(zhí)行的惡意操作，而少數(shù)提出的動(dòng)態(tài)分析方法也在穩(wěn)定性等方面存在缺陷。
　　根據(jù)上述現(xiàn)狀，本文提出了在虛擬機(jī)層應(yīng)用動(dòng)態(tài)分析技術(shù)來分析Android平臺(tái)惡意代碼的方法。該方法不同于傳統(tǒng)的靜態(tài)分析技術(shù)，而是主動(dòng)監(jiān)控并記錄目標(biāo)程序運(yùn)行期間的各種行為特征。在該方法的基礎(chǔ)上，本文還設(shè)計(jì)了一個(gè)新的基于沙箱的Android惡意代碼行為分析系統(tǒng)，該系統(tǒng)是通過修改Android原生系統(tǒng)實(shí)現(xiàn)的，它可以對(duì)敏感數(shù)據(jù)源流出的數(shù)據(jù)進(jìn)行跟蹤。在

3、實(shí)現(xiàn)該系統(tǒng)的過程中，首先需要分析惡意代碼常用的數(shù)據(jù)源和程序接口庫，并據(jù)此定義數(shù)據(jù)標(biāo)簽；然后在多個(gè)對(duì)象層次上設(shè)計(jì)了數(shù)據(jù)標(biāo)簽的嵌入方式，并通過Binder IPC機(jī)制完成了標(biāo)簽傳遞，使得標(biāo)簽?zāi)芨S數(shù)據(jù)在程序間進(jìn)行傳遞；最后是標(biāo)簽提取功能的設(shè)計(jì)，通過標(biāo)簽提取功能可以從標(biāo)簽中獲取有用的信息；此外在該系統(tǒng)中還有輸出日志記錄的功能，實(shí)現(xiàn)對(duì)相關(guān)數(shù)據(jù)的記錄。
　　同時(shí)為了驗(yàn)證該系統(tǒng)的正確性，本文設(shè)計(jì)了相關(guān)的測(cè)試。測(cè)試用的 Android應(yīng)用程序包

4、括兩部分，一是根據(jù)常見惡意代碼的行為特征編寫的樣本，其行為特征包括文件訪問、獲取敏感信息以及后臺(tái)自動(dòng)連接網(wǎng)絡(luò)等；二是從網(wǎng)絡(luò)上獲取的惡意代碼樣本。本文所設(shè)計(jì)的測(cè)試樣本的優(yōu)勢(shì)在于調(diào)用了全部嵌入點(diǎn)提供的接口方法，相比真實(shí)惡意代碼零散的行為特征，更能集中體現(xiàn)惡意代碼常見的發(fā)作情況，反映測(cè)試樣本使用各種數(shù)據(jù)的方式。
　　本文實(shí)現(xiàn)的分析系統(tǒng)的優(yōu)勢(shì)體現(xiàn)在它能在虛擬機(jī)層分析運(yùn)行時(shí)程序的行為，并動(dòng)態(tài)地跟蹤敏感數(shù)據(jù)的傳遞，能彌補(bǔ)靜態(tài)分析技術(shù)不能發(fā)現(xiàn)程