基于Android平臺的惡意代碼行為分析研究.pdf

1、從2009年我國正式開展3G業(yè)務之后，3G建設進展迅速。伴隨著3G網(wǎng)絡的發(fā)展，越來越多的用戶開始使用智能移動終端，而其中Android智能手機由于其開源性以及高性價比正在迅速搶占智能手機市場。隨著 Android市場份額的急劇擴大，針對Android智能手機的惡意程序數(shù)量正以驚人的速率增長，使得用戶面臨非常嚴峻的安全性問題。
　　針對Android的安全性問題，現(xiàn)在已經(jīng)提出了一些解決方法，但它們大多采用的仍是傳統(tǒng)的靜態(tài)分析方法，并

2、不能分析程序運行期間執(zhí)行的惡意操作，而少數(shù)提出的動態(tài)分析方法也在穩(wěn)定性等方面存在缺陷。
　　根據(jù)上述現(xiàn)狀，本文提出了在虛擬機層應用動態(tài)分析技術(shù)來分析Android平臺惡意代碼的方法。該方法不同于傳統(tǒng)的靜態(tài)分析技術(shù)，而是主動監(jiān)控并記錄目標程序運行期間的各種行為特征。在該方法的基礎上，本文還設計了一個新的基于沙箱的Android惡意代碼行為分析系統(tǒng)，該系統(tǒng)是通過修改Android原生系統(tǒng)實現(xiàn)的，它可以對敏感數(shù)據(jù)源流出的數(shù)據(jù)進行跟蹤。在

3、實現(xiàn)該系統(tǒng)的過程中，首先需要分析惡意代碼常用的數(shù)據(jù)源和程序接口庫，并據(jù)此定義數(shù)據(jù)標簽；然后在多個對象層次上設計了數(shù)據(jù)標簽的嵌入方式，并通過Binder IPC機制完成了標簽傳遞，使得標簽能跟隨數(shù)據(jù)在程序間進行傳遞；最后是標簽提取功能的設計，通過標簽提取功能可以從標簽中獲取有用的信息；此外在該系統(tǒng)中還有輸出日志記錄的功能，實現(xiàn)對相關(guān)數(shù)據(jù)的記錄。
　　同時為了驗證該系統(tǒng)的正確性，本文設計了相關(guān)的測試。測試用的 Android應用程序包

4、括兩部分，一是根據(jù)常見惡意代碼的行為特征編寫的樣本，其行為特征包括文件訪問、獲取敏感信息以及后臺自動連接網(wǎng)絡等；二是從網(wǎng)絡上獲取的惡意代碼樣本。本文所設計的測試樣本的優(yōu)勢在于調(diào)用了全部嵌入點提供的接口方法，相比真實惡意代碼零散的行為特征，更能集中體現(xiàn)惡意代碼常見的發(fā)作情況，反映測試樣本使用各種數(shù)據(jù)的方式。
　　本文實現(xiàn)的分析系統(tǒng)的優(yōu)勢體現(xiàn)在它能在虛擬機層分析運行時程序的行為，并動態(tài)地跟蹤敏感數(shù)據(jù)的傳遞，能彌補靜態(tài)分析技術(shù)不能發(fā)現(xiàn)程