基于日志之android体系恶意软件检验方案研究与实现

《基于日志之android体系恶意软件检验方案研究与实现》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、基于日志之Android体系恶意软件检验方案研究与实现第一章绪论1.1研究背景智能凭借其强大的功能，如：自由安装各类游戏软件，各种聊天软件，收发电子邮件，个人信息管理，用户自由选择使用2G/3G网络还是),低内存管理器（LooryKiller),匿名共享内存（ashinem)，AndroidPMEM(physical),AndroidLogger,AndroidAlarm,USBGadget马区动，AndroidRamuonsoie,Androidtimeddevice,Yaffs2文件系统。该版本采用POSIX安全机制（PortableOperatingInterfaceofU

2、nixUserSecurityMechanism)。Android系统给每一安装程序赋予不同且唯一ID。因此，各进程运行时，对应的程序ID号都不相同；此时我们可以对应ID号给每一个程序建立对应的沙箱，保证各程序被激发或者调用时，相关进程都始终运行在对应的沙箱中，拥有固定权限。Android系统中的文件访问控制直接继承Linux控制机制[?。系统文件相关权限由三个向量组(所属组号、拥有者和读写执行)联合控制。系统在创建文件时就赋予相应程序特定的ID号；各应用程序，在无相同ID号或者是全局读写设置的前提下，不能相互访问。另外，还使用了以下增强设计：所有重要的可执行程序和配置文件位于固

3、件（Firm模式匹配算法..........223.3.2语义分析模块的设计..........233.4日志监测模块的设计..........243.5本章小结..........30第四章基于日志的Android平台恶意软件..........314.1反编译模块的实现..........314.1.1反编译工具的获取..........314.1.2反编译的实现流程..........324.2语义分析模块的实现..........334.3日志分析模块的实现..........404.4本章总结..........44第五章方案的功能检测..........455.1测试

4、环境..........455.2测试样本的编写..........455.2.1恶意软件样本的总体设计..........455.2.2恶意软件样本的编写..........465.3检测方法..........475.4动态日志监测的可行性分析..........485.5方案的性能分析..........48第五章方案的功能检测5.1测试环境由于静态反编译和语义检测模块的功能已再第四章中成功展示，所以在这里不再加以测试。本章中只对日志监测部分进行检测验证方案的动态日志实时检测试环境如表5-1所示：由于相关法律法规的限制，Android恶意软件的样本在网上获取非常困难。测试中

5、的恶意软件样本由编写，该apk样本的恶意功能为自动拨打，在测试平台上直接通过日至分析模块对样本的行为进行检测，以验证动态日志检测模块检测恶意行为的可行性和准确性。针对多数恶意软件善于伪装的特性，对恶意软件样本的设计方法为：将样本设计为一个身高体重指数计算器，让用户输入身高和体重之后，点击计算按钮会在界面上输出计算结果。同时该程序捕捉用户按键，当用户点击HOME键、BACK键或者点击退出程序时，系统会退回到桌面上，同时在不出现拨打界面的情况下，有呼出。通过对恶意软件样本进行的两个功能性测试，可见当模块捕获到HOME键、BACK键或者退出程序键时，能够立刻发出有拨打的告警信息，实现了

6、对于日志实时监控的实时功能。可见，基于日志信息的实时监测是可行有效的。需要指出的是本模块的检测方法，同理可以监测后台短信、后台下载等恶意行为，因为所有的这些恶意行为，都会被记录在日志当中。结论本文提出的基于日志的Android平台恶意代码检测方案，采用静态检测与动态检测相结合，主要以Android系统日志为基础和研究对象，分为静态检测部分和动态实时监测部分。静态检测部分，利用dex2jar等工具及BM模式匹配算法，在Windoarket的服务器端，在用户下载安装到之前进行监测，成功将恶意软件阻止在Android系统之外。动态实时监测部分，采用Android后台Service技术，

7、通过在后台JT?启一个后台service，每隔1秒读取一次日志信息进行分析，并采用边读取边删除的方式，成功对日志信息进行了实时读取和分析，当系统有拨打行为时能够及时发出告警，并且本模块可以扩展到对隐蔽短信、恶意下载等行为进行监控。实现了高效、全面、低耗检测Android平台恶意软件的功能。