Android動(dòng)態(tài)監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn).pdf

1、移動(dòng)互聯(lián)網(wǎng)飛速發(fā)展，智能終端成為人們生活或者工作的一個(gè)重要接入點(diǎn)，承載著越來越多的用戶個(gè)人隱私數(shù)據(jù)。作為全球最活躍的移動(dòng)終端平臺(tái)，Android平臺(tái)是惡意攻擊者的首要目標(biāo)，目前Android平臺(tái)上的軟件種類繁多，惡意軟件層出不窮且隱蔽性很強(qiáng)。另外，一些公司出于業(yè)務(wù)的需求和對(duì)大數(shù)據(jù)分析的需要，會(huì)利用應(yīng)用程序在后臺(tái)收集用戶的隱私數(shù)據(jù)。這種情況下，動(dòng)態(tài)監(jiān)控可以幫助一般用戶和安全研究人員掌握所有應(yīng)用程序的運(yùn)行狀況。因此，對(duì)于Android平臺(tái)應(yīng)

2、用程序動(dòng)態(tài)監(jiān)控技術(shù)的研究具有重要的理論價(jià)值和現(xiàn)實(shí)意義。
　　本文提出了以應(yīng)用程序敏感行為監(jiān)控和文件訪問監(jiān)控，兩種監(jiān)控方式相結(jié)合的設(shè)計(jì)方案，實(shí)現(xiàn)了一套Android平臺(tái)上的動(dòng)態(tài)監(jiān)控系統(tǒng)。在動(dòng)態(tài)監(jiān)控的基礎(chǔ)上，研究惡意軟件的分析檢測(cè)技術(shù)，提出了一種基于動(dòng)態(tài)監(jiān)控的，根據(jù)應(yīng)用行為進(jìn)行風(fēng)險(xiǎn)等級(jí)評(píng)估的方法。本文主要工作包括以下方面:
　　(1)介紹目前手機(jī)主要的安全威脅以及Android安全的研究現(xiàn)狀。Android安全研究的兩大主流方法

3、包括靜態(tài)分析和動(dòng)態(tài)分析，其中動(dòng)態(tài)監(jiān)控是動(dòng)態(tài)分析的一種重要手段。本文比較了動(dòng)態(tài)監(jiān)控的不同實(shí)現(xiàn)方案，包括修改系統(tǒng)內(nèi)核函數(shù)、重打包軟件和動(dòng)態(tài)注入內(nèi)存，并確定采用動(dòng)態(tài)注入內(nèi)存的方案。
　　(2)深入研究Android動(dòng)態(tài)監(jiān)控的相關(guān)技術(shù)。首先說明Android平臺(tái)的系統(tǒng)架構(gòu)，從宏觀上了解系統(tǒng)的設(shè)計(jì)布局;分析Android主要的安全機(jī)制，包括沙箱機(jī)制、權(quán)限機(jī)制和簽名機(jī)制;研究基于Binder的進(jìn)程間通信機(jī)制，為尋找hook的關(guān)鍵入口提供理論依

4、據(jù)。然后分析動(dòng)態(tài)共享庫(kù)注入的實(shí)現(xiàn)原理，包括Android平臺(tái)下應(yīng)用程序的動(dòng)態(tài)鏈接和加載機(jī)制，利用ptrace函數(shù)跟蹤調(diào)試目標(biāo)進(jìn)程;闡述ELF文件的解析過程，說明如何修改hook函數(shù)的入口地址。
　　(3)設(shè)計(jì)和實(shí)現(xiàn)一個(gè)Android平臺(tái)應(yīng)用程序動(dòng)態(tài)監(jiān)控系統(tǒng)。系統(tǒng)首先檢測(cè)并獲取root權(quán)限，然后執(zhí)行注入程序?qū)⒈O(jiān)控代碼注入到目標(biāo)系統(tǒng)進(jìn)程的內(nèi)存空間中，接著hook關(guān)鍵系統(tǒng)函數(shù)實(shí)現(xiàn)監(jiān)控功能，另外對(duì)于文件訪問的監(jiān)控手段是通過FileObse