返回
android恶意代码――木马apk分析

android恶意代码――木马apk分析

ID:21591825

大小:25.50 KB

页数:5页

时间:2018-10-23

android恶意代码――木马apk分析_第1页
android恶意代码――木马apk分析_第2页
android恶意代码――木马apk分析_第3页
android恶意代码――木马apk分析_第4页
android恶意代码――木马apk分析_第5页
资源描述:

《android恶意代码――木马apk分析》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、Android恶意代码――木马APK分析摘要近年来,Android系统以极高占有率制霸智能手机市场,但由于其开放性,使得针对Android平台的恶意代码数量呈现出爆炸式增长,导致隐私数据泄露、程序越权操作、电池耗尽攻击、恶意进程交互等手机安全事件频繁涌现。近期,公安机关接连接到若干通过安卓平台远程控制木马从而实施诈骗的案件,诈骗者依靠伪基站设备发送钓鱼网址,给用户手机植入Android木马,从而实施诈骗。因此,对恶意代码进行分析成为一个亟待解决的问题。文章结合Android平台的特点和一线公安机关办理的恶意窃取隐私案件中的相关apk,重点进行apk反编译分析和动态调试,为公

2、安机关打击移动网络下的违法犯罪活动提供了技术支持。【关键词】Android木马APK恶意代码1安卓体系结构安卓体系从上到下可以分成4层,第1层是应用程序层(Application)。这一层包括电话、浏览器、联系人及各种第三方应用。应用程序使用Java语言编写,所有源代码及资源文件都包含在一个.apk文件当中,以供安装时使用。第2层是应用程序框架层(ApplicationFramework)。包含众多供应用程序调用的应用程序编程接口,这些接口多数是由安卓软件开发工具包提供的。第3层是库(Libraries)和安卓运行环境层(AndroidRuntime)。这一层分为两部分:库

3、包含一系列C/C++语言编写的原生库,这些原生库可供所有上层组件调用;安卓运行时环境包含dalvik虚拟机和核心库,其中提供了所有用来访问本地库、硬件和操作系统的接口。最底层是Linux内核层(LinuxKernel)。提供诸如设备驱动、文件系统等最核心的系统服务。2基于安卓平台恶意代码的静态分析技术静态分析法就是在不运行恶意代码的情况下,利用分析工具对恶意代码的静态特征和功能模块进行分析的方法,利用静态分析方法,可以找到恶意代码的特征字符串、特征代码段等,还可以得到恶意代码的功能模块和各个功能模块的流程图。基于静态分析机制的逆向分析技术主要优点包括:(1)不需要真正执行恶

4、意代码,可以避免对恶意攻击者发现;(2)误报率低;(3)不受具体进程执行流程的制约,可以对代码进行详尽的细粒度分析。我们通过对一线公安机关办理的相关恶意窃取隐私案件中的apk样本进行反编译,对木马部分源码进行静态分析后可以掌握犯罪嫌疑人的手机号码及电子邮箱等个人信息,并能掌握木马取证的恶意操作:如读取短信、监控短信收发、读取联系人、后台发送邮件等操作。3基于安卓平台恶意代码的分析3.1分析工具AndroidKiller是一款可视化的安卓应用逆向工具,集Apk反编译、Apk打包、Apk签名,编码互转,ADB通信(应用安装-卸载-运行-设备文件管理)等特色功能于一身。它包含了a

5、db、apktool、dex2jar、jd-gui等反编译工具。其中apktool能将android中的.apk文件转换成.dex文件;dex2jar能将第一步的.dex文件反编译成.jar文件;jd-gui能将.jar文件反编译成.java文件进行分析。3.2安卓木马固定文件名称:weizhang.apk文件类型:apkMD5校验值:3b49ef4f2c385bff9a700e5a3dd6882c文件大小:198317bytes3.3木马分析安卓应用程序的扩展名为apk,可以直接用AndroidKiller进行反编译操作。打开工程管理器可以看到apk文件的内容。比较重要的

6、文件有:(1)META-INF目录,用来存放签名信息,保证apk包的完整性和系统安全;(2)res目录,用来存放资源文件,包括程序图片等内容;(3)AndroidManifest.xml文件,用来描述应用的名字、版本、权限和引用的库文件等信息;(4)smali文件,是java源代码反编译后的格式代码。3.3.1AndroidManifest.xml文件AndroidManifest.xml是每个Android程序中必须的文件。它位于整个项目的根目录,描述了package中暴露的组件(activities,services,等等),他们各自的实现类,各种能被处理的数据和启动位

7、置。除了能声明程序中的Activities,ContentProviders,Services,和IntentReceivers,还能指定permissions和instrumentation(安全控制和测试)。用AndroidKiller打开AndroidMainfest.xml,可以看到该apk一共申请了17个权限,其中值得注意的有如下权限:android.permission.RECEIVE_BOOT_COMPLETED允许程序开机自动运行android.permission.READ_CONTACTS允许应

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。