Android病毒行為自動(dòng)分析工具的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，移動(dòng)智能終端設(shè)備在全球范圍內(nèi)得到了迅速地普及。Android作為一款應(yīng)用于移動(dòng)智能手機(jī)上的操作系統(tǒng)，以其開源的特性受到了眾多用戶的青睞。然而，開源的代碼也會(huì)引發(fā)更多的手機(jī)安全問題。病毒程序可以在用戶毫不知情的情況下竊取它的賬戶信息與個(gè)人隱私，甚至進(jìn)一步破壞系統(tǒng)影響用戶的正常使用。目前，基于智能手機(jī)的安全問題研究尚處在起步階段。傳統(tǒng)的靜態(tài)碼病毒分析方法很難適應(yīng)手機(jī)病毒的快速變異速度。本文針對(duì)智能手機(jī)安全問題，分析了A

2、ndroid手機(jī)病毒的行為特征，進(jìn)而設(shè)計(jì)并實(shí)現(xiàn)了一款病毒行為的自動(dòng)分析工具。本文的主要工作分為以下四點(diǎn)。
　　 第一，本文首先介紹了Android手機(jī)的安全現(xiàn)狀與傳統(tǒng)計(jì)算機(jī)病毒的檢測方法。針對(duì)Android手機(jī)病毒問題，本文采用特征行為分析的方法考察病毒程序的系統(tǒng)調(diào)用行為。
　　 第二，本文在分析ARM Linux系統(tǒng)調(diào)用與可加載內(nèi)核模塊原理的基礎(chǔ)上，利用LKM模塊擴(kuò)展了Android操作系統(tǒng)的內(nèi)核功能。其中包括在內(nèi)核空

3、間中動(dòng)態(tài)搜索系統(tǒng)調(diào)用表地址，修改系統(tǒng)調(diào)用表，hook系統(tǒng)調(diào)用函數(shù)以及記錄目標(biāo)病毒程序的系統(tǒng)調(diào)用行為。
　　 第三，本文通過研究Android SDK提供的模擬器功能，借助LKM模塊設(shè)計(jì)并實(shí)現(xiàn)了Android病毒行為自動(dòng)分析工具。利用Android模擬器的封閉隔離性，將其作為病毒程序運(yùn)行的沙盒，從而記錄下病毒程序的系統(tǒng)調(diào)用行為，生成系統(tǒng)調(diào)用日志。
　　 第四，本文在ARM Linux內(nèi)核源碼的基礎(chǔ)上采用hook技術(shù)實(shí)現(xiàn)了對(duì)