【Android论文栏目提醒】:网学会员,鉴于大家对Android论文十分关注,论文会员在此为大家搜集整理了“[精品]基于Android系统的智能终端软件行为分析方法 - 期刊论文”一文,供大家参考学习!
技 术 研 究 2012年第03期 10.3969/j.issn.1671-1122.2012.03.009 doi : 基于
Android 系统的 智能终端软件行为分析方法 卜哲,徐子先 (工业和信息化部电信研究院通信标准研究所网络与信息安全中心,北京 100191) 摘 要 :文章主要阐述通过动态监控及静态分析等手段对
Android 系统智能终端软件进行行为分析,以 判断软件是否有恶意吸取话费、恶意订购业务、窃取用户手机隐私、控制手机发送垃圾短信、传播不良信息 等恶意行为,并结合实例剖析静态反汇编分析原理及方法。
关键词 :智能终端 ;移动互联 ;软件行为 ;
Android 中图分类号 :TP393.08 文献标识码 :A 文章编号 :1671-1122(2012)03-0032-03 A Behavior Analysis Method to
Android Mobile Application Software BU Zhe XU Zi-xian Network amp Information Security Center Institue of Communicaion Standards Research China Academy of Telecommunication Research of MIIT Beijing 100191 China Abstract: This article discusses dynamic monitoring and static analysis methods to analyze mobile application software running on
Android intelligent terminal in order to know whether the software have malicious calls get user privacy unauthorized order telecommunications business without notice push illegal messages and other malicious behaviors. The article also gives an example to show the process to analyze code after compilated. Key words: intelligent terminal mobile Internet software behavior
Android 0 引言 随着我国 3G 业务的商用, 近年来, 智能终端便于携带, 移动互联网使用便捷、 使得用户数量不断增长。
智能手机的市场逐年上升, 未来必将成为市场主体,其用户基数和产业规模都将远超 PC。
据 IDC 数据统计,2010 年全球智能手机出货量达到了创纪录的 2.696 亿部,环比增长 55.4 ,预计 2011 年将达到 3.3 亿部。
据赛迪数据统计,2010 年中国正规渠道智能手机出货量 2220.3 万部,约 占据全国同期手机总出货量的 22.7%。
移动互联技术给我们的生活带来方便、快捷的同时,无形中也增加了安全隐患。
1 移动互联网安全 凡事皆有利弊,移动互联网的流行和相对滞后的移动互联网安全保障让移动网络上的安全问题日益凸显。
移动互联网的爆炸性增长以及其巨大的经济效益正在诱惑着黑色产业链的不断入侵。
利用手机病毒进行恶意吸取话费、利 用山寨机内置软件进行恶意订购业务、贩卖用户手机隐私、控制手机发送垃圾短信、传播不良信息等堪称移动黑色产业链中的五 大杀手锏。
由于移动网络与用户的储值帐户息息相关,这也吸引了黑客参与其中。
另外,由于手机拥有极度私密的特性,也让罪犯们垂涎欲滴。
手机病毒不断收集用户隐私、卧底软件监听通信过程、手机 木马软件控制用户手机行为、山寨手机内置后门上报用户信息这些都让所有的手机用户防不胜防,并且,一旦这些敏感信息泄露 将会给用户自己带来无穷的烦恼甚至灾难。
据网秦公司统计,2010 年,移动终端病毒总数超过 2500 种,同比增长 193,累计感染手机 800 万部以上,病毒变种数量 在 231 次以上,如图 1 所示。
收稿时间 :2012-02-10 基金项目 : 课题 863 《移动应用软件的认证管理软件开发》资金资助 2012ZX03002029 作者简介 : , 安徽, 卜哲(1980-) 男, 工程师,硕士研究生,主要研究方向 :网络攻防技术、业务安全、 IT 移动互联网安全、 治理等 ;许子先(1984-), 男,黑龙江,安全测试工程师,主要研究方向 : 渗透测试、应用安全、无线安全。
32 2012年第03期 技 术 研 究 术手段、政策法规对无线网络行为进行约束及管理,保障智 能终端软件市场正常健康发展。
就技术而言,需要对软件的行为进行检查,挖掘出其隐 藏的恶意行为。
就现阶段研究发现,软件行为的分析主要从 主动、被动角度,对应以下两种方式 :外部行为被动监控方 式及内部行为主动发掘方式。
2.2 动态监控技术概述 图1 2005-2010年病毒新增和累计增长比例 动态监控技术是将待检查软件安装到测试机上并运行, 终端病毒的危害形式趋向多样化,主要包括 :恶意吸费、 然后使用软件各项功能,并同时检测其对资源的调用,如在终端系统 / 数据破坏、用户隐私内容窃取、账号密码盗用等。
测试过程中是否未经提示请求联网、访问的网址、发送短信同时,出现一种病毒同时造成多种危害的现象,如图 2 所示。
号码及内容、上传下载文件等等。
通过使软件动态运行,并 检测其行为来判断其是否存在吸费、窃密、非法内容传播等 恶意行为及操作。
这种方法实施简单,难度适中,效率较高,对简单病毒 及恶意软件可以做到高效的批量检查。
但其在检查深度及挖 掘粒度方面仍存在不足,对一些隐蔽性高,具有一定潜伏能 力的恶意行为挖掘效果不是很好。
如当某恶意软件接收到带 有恶意指令的短信时会将本机通话及短信记录发送到指定手 图2 2010年新增手机病毒类型分析 机号码,而在未接到恶意指令时软件并不表现出恶意行为, 移动互联网的特性决定了在其之上的威胁更要远甚于传 这样在一定程度上可以逃避动态监控检查。
因此需要更有效、统的互联网。
同时这些威胁也将给参与移动互联网的各方造 更细粒度的技术手段对其行为进行更细致的分析及检查。
成损失。
比如,对于用户而言,不仅将面临着经济上的损失, 2.3 静态反汇编分析概述还将面临着隐私泄露和通信方面的障碍,对于运营商而言, 静态分析是指在不安装运行待测软件的前提下,通过反这些威胁不仅会让他们的业务运营成本增加,还将大大降低 汇编将软件执行文件逆向为可阅读编码形式,对其进行逐行他们在用户心目中的好感度,对于终端厂商而言,售后服务成 阅读,分析程序运行流程及系统资源调用情况,通过该手段本增加与手机耗电量的上升是他们不得不面对的问题,内容 可以更深入地挖掘程序恶意行为。
下面对该技术做详细阐述。
服务商与政府主管部门同样会为这些威胁焦头烂额。
3 静态反汇编分析技术2 基于
Android 系统的智能终端安全 静态反汇编分析的思路是在计算机平台下将开发者发布的 目 前 常 用 移 动 智 能 终 端 操 作 系 统 主 要 有 Linux、 APK 格式(基于
Android 系统的软件安装格式)的软件安装包BlackBerry、Windows Mobile、Palm、Symbian、iPhone OS、 进行解包分析。
由于 APK 包是经过编码加密的,因此需要对
Android 等,其中
Android 是 Google 于 2007 年 11 月 5 日宣布 其中文件进行编码转换,通过分析转换后的代码来检查软件的基于 Linux 平台的开源手机操作系统,该平台由操作系统、 运行所需要的权限以及对系统资源(接口函数、文件等)的调中间件、用户界面和应用软件组成,号称是首个为移动终端打 用情况。
通过对程序反汇编代码的逐行分析,可最大程度上了造的真正开放和完整的移动软件系统。
解程序运行流程、操作行为及所调用的系统资源。
因此静态 作为一款开源的操作系统
Android 的发展极其迅速,系统 反汇编分析技术是一种对软件恶意行为深度挖掘的手段,但版本不断升级,应用软件也不断丰富。
也正是由于开源、成本低、 其对分析人员有较高的技术要求,并且相对于动态监控分析应用易开发等特点
Android 逐步受到恶意软件开发者的青睐。
要耗时,因此可以作为动态监控分析方法的进一步补充。
2.1 智能终端软件行为分析技术概述 3.1 静态分析的步骤 目前,智能终端软件涵盖了日常生活的许多方面,包括 静态反汇编分析的步骤如下,首先是对 APK 包进行解析,办公、即时通讯、网上交易、网络游戏等等。
但就软件行为 提取出程序主要代码文件(经过编码加密的)及资源文件,将的安全性而言,业内还没有相关的要求、标准对其进行规范, 主要代码文件解码,并分析解码后的主要代码文件和资源文在市场上充斥着形形色色的打着正规软件旗号的流氓软件, 件,检查是否有恶意信息及恶意资源调用。
下面是静态分析对用户的隐私及利益构成严重威胁。
因此,目前业内急需技 具体步骤及方法。
33技 术 研 究 2012年第03期 3.1.1 APK文件格式解包 为的挖掘重点也是这个部分,首先是对其进行编码解密,将 APK 是
Android PacKage 的缩写,即
Android 安装包 anapk。
其转换为 jar 包格式,然后再将 jar 包反编译为 java 源文件进 通过将 APK 文件直接传到
Android 模拟器或
Android 手机中 行编码阅读。
这部分主要是检查程序中是否调用了与软件功 执行即可安装。
能无关的系统 api 函数,是否存在恶意操作行为,如垃圾短信 APK 文件是把使用
Android sdk 编译的工程打包成一个安 发送、恶意拨打电话等等。
装程序,文件格式为 。
“.apk” APK 文件其实是 Zip 格式,但 3.2 实例分析 后缀名被修改为 apk,通过 UnZip 即可对其解压。
下面结合上述分析技术,通过一个实例来展示如何静态 一个 APK 文件结构为 : 分析一个程序的恶意行为。
样本采用我们截获的一个短信窃 “META-INF”目录——Jar 包信息目录 ; 听器程序。
“res”——存放资源文件的目录 ; 首先对其进行解压获得如图 3 文件及目录结构 : “AndroidManifest.xml”——程序全局配置文件 ; “classes.dex”——Dalvik 字节码文件 ; “resources.arsc”——编译后的二进制资源文件。
其中得到了 Dex 格式文件,DEX 是 Dalvik VM executes 的 全称,即
Android Dalvik 执行程序,classes.dex 文件并非 Java 图3 目录结构 ME 的字节码而是 Dalvik 字节码。
因此要通过 dexdump 命令 使用 Apktool 对 androidmanifest.xml 文件进行编码转换, 可以反编译转化为可阅读的 java 代码。
然后对其进行检查。
从上面分析我们发现
Android 在运行一个程序时首先需 1)检查广播接收者及意图过滤器部分发现如图 4 内容 : 要 UnZip,加载解压后获得编译后的 androidmanifest.xml 文件 中的 permission 分支相关的安全访问权限,并运行 dalvik vm 的执行文件。
其中我们主要关注的是资源文件、全局配置文件和 Dalvik 图4 androidmanifest.xml内容 字节码文件。
下面对上述文件逐一分析。
由图 4 可知广播接收者“qieqie”订阅了短信接收服务, 3.1.2 androidmanifest.xml文件还原及分析 也就是说当手机接收到短信时,会将短信意图广播给“qieqie” 由于解压后得到的 androidmanifest.xml 文件是经过编译 的接收子程序,至于“qieqie”子程序做了什么操作,需要结 的,因此需要将其解码。
可使用相关工具对其解码,阅读解 合 classes.dex 进行进一步的分析。
码后的 androidmanifest.xml 文件可以发现,其中包括程序的全 2)检查权限信息发现如图 5 所示 : 局配置信息,在这里我们可以得到程序的 activity 信息、广播 接收者信息、服务信息、意图过滤器信息以及权限信息等等。
图5 权限信息 其中 activity 信息和服务信息需要对应到 classes.dex 中进 由图 5 可知,程序申请了短信接收和发送的权限,即程序 行进一步分析。
有权接收并读取手机接收到的短信,并有权向任意其他手机 我们关注的是广播接收者、意图过滤器以及权限部分的 号码发送短信。
信息,其中在广播接收者、意图过滤器部分信息中可以检查该 3)检查 Activity 信息、服务信息等其他配置,发现改程 软件订阅了哪些广播意图,是否有与该软件功能无关的系统 序没有相关配置信息。
由于没有 Activity 信息,说明程序没有 广播意图(如开机、接受短信等等)。
权限部分则要检查软件 运行界面,当用户运行该程序时不会有任何显示。
申请了哪些系统权限,是否存在与软件功能无关的权限。
然后检查资源文件中是否存在非法信息。
使用 Apktool 对 3.1.3 资源文件分析 资源文件进行解密后开始检查,检查中并未发现欺诈、淫秽、 资源文件夹中主要包括了软件运行所需要的图片、文字等 反动等不良信息。
信息。
解压后的资源文件夹中的图片是未进行编码加密的,可 最后对 classes.dex 进行分析,可以使用 dex2jar 对该文件 以直接检查,但是其中以 xml 格式为主的字符信息是经过编 进行编码转换,然后使用 java decompiler 读取转换后的 jar 包。
码的,需要对其进行编码解密。
解密后可对其进行检查,主 在代码中发现如图 6 内容 : 要查看是否含有欺诈、淫秽、反动等不良信息。
上图代码中可以看出广播接收者“qieqie”会在手机接到 3.1.4 java类反编译 短信后在短信意图中通过关键字“pdus”获取短信相关内容。
Classes.dex 文件是软件功能的主要实现部分,因此恶意行 继续分析发现如图 7 代码 : 下转第 48 页 34技 术 研 究 2012年第03期 量清洗设备的集中管理,并根据异常流量监测设备上报的异 个 Internet 的 DDoS 攻击的监测及防御都将永远是一个难点及 常流量告警通过邮件、短信的方式通知运营商运维人员或者 热点。
本文对城域网中常见的 DDoS 攻击监测及预防措施进 用户,并下发防御策略。
行了分析,针对城域网中如何提高网络安全做出了一些有益性 常见的流量清洗设备部署架构及工作原理模型如图 3 所示。
探索,但是由于 DDoS 攻击防御是一项系统性工程,依靠文中 所述的防御方法,难以完全避免城域网免受 DDoS 攻击。
在 宽带业务日益成为全民的一项基础服务时,国家有关部门有必 要立法加大对恶意 DDoS 攻击的行为的严惩,以净化互联网环 境,保障互联网应用安全。
(责编 张岩) 参考文献: 1 盖凌云 黄树来 . 分布式拒绝服务攻击及防御机制研究 .J 通信技 图3 流量清洗系统组成及工作模型 : 术,2007,40(06) 40-41. 2 李蓬 .DDoS 攻击原理及防御机制的研究 .J 通信技术,2010,43 4 结束语 : (04) 97-98. 3 韩健,张延彬,王仔强 . 电信网络 IP 化的安全问题分析及应对策 随着接入带宽的不断提升及宽带用户规模的扩大,DDoS 略 J. 信息通信,2010, : (02) 82-84. 攻击将变得越来越容易,Internet 上每天都可发现大量肉鸡, 4 百度文库 . 宽带流量清洗解决方案技术白皮书 EB/OL. http:// 甚至部分不法服务商专门经营攻击流量,因此城域网甚至整 wenku.baidu.com/view/2d0ba73143323968011c92f8.html 2011-12-29. 上接第 34 页 应健全应用软件的检测机制,成立移动互联网监测平台,完 善被感染.