做下载网站挣钱吗,wordpress下载5.0.3,做彩票网站代理犯法吗6,白云区专业网站建设本文介绍基于Android的手机恶意软件#xff0c;是一个基础性的介绍#xff0c;给新入门的人提供一个分析和工具指引。要分析的木马是一个2013年的syssecApp.apk#xff0c;这个木马的分析能对Android恶意软件有个大概了解。基础#xff1a;1 –Android应用基础Android是goo…本文介绍基于Android的手机恶意软件是一个基础性的介绍给新入门的人提供一个分析和工具指引。要分析的木马是一个2013年的syssecApp.apk这个木马的分析能对Android恶意软件有个大概了解。基础1 –Android应用基础Android是google开发基于Linux内核的开源的手机操作系统应用程序使用JAVA语言编写并转换成了Dalvik虚拟机而虚拟机 则提供了一个抽象的真实硬件只要和操作系统的API符合程序都可以在其上运行。应用则需要Linux的用户和组来执行所以目前所有的恶意软件都需要获 得权限。Android应用的格式是APK是一种包含AndroidManifest.xml的 ZIP文件媒体类文件实际代码是classes.dex和一些其他的可选文件。XML提供Android系统的重要信息比如用启动应用程序时需要什么 权限只有这个文件中列出的权限才提供给该应用否则返回失败或空结果。classes.dex是Android应用程序实现的逻辑部分是一个编译代码 可由Dalvik虚拟机执行打包成jar从而节约移动设备上的一些空间。2 –分析工具2.1DexterDexter可以将Android应用上传做分析提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系可以快速打开列表显示所有的class和功能。2.2AnubisAnubis也是一个WEB服务应用在沙箱里运行每个样品相互独立来分析文件和网络的活动。同时也提供一些静态分析包括权限XML在调用过程中的变化。2.3 APKInspectorApkinspector提供了很多工具APK加载后可以选择标签来执行其中的功能带有一个Java反编译器JAD能够反编译大多数类但经常报错。2.4 Dex2Jar可将dex 文件转成 Java 类文件的工具即使你是经验丰富的逆向工程师也可以考虑使用。3 – 实例分析3.1 AnubisAnubis的显著特点是给出了应用所需权限的大名单截图上包括了应用的部分权限。INTERNET权限是常见的游戏所需用来在线统计跟踪开启共享功能或者广告。还有一些WAKE_LOCK、 READ_PHONE_STATE用来读取手机状态防止在游戏中锁屏。但 READ_CONTACTS、 READ_HISTORY_BOOKMARKS则看起来就很奇怪不像是一个游戏该干的事情。对 127.0.0.1:53471的连接看起来也很奇怪。分析链接http://anubis.iseclab.org/?actionresult amp;task_id1a6d8d21d7b0c1a04edb2c7c3422be72fformathtml3.2 Dexter包的依赖关系图显示共有四个。可以忽视de.rub.syssec它只包含空类的默认构造函数。de.rub.syssec包括了一个叫做Amazed的游戏比较特别的是amazedactiviy的onCreate方法设置为每隔15秒重复闹钟。第3个class包含的事件比较多。onBoot在启动的时候就会进行闹铃SmsReceiver和alarmReceiver则是真正的木马 在任何一个短信到达的时候SmsReceiver会检查里面是否包含有”bank”,如果是则使用abortBroadcast丢弃短信。这意味着短信在手机上是看不到的。de.rub.syssec.neu有6个CLASS最重要的一条是“Runner”是实际的恶意代码。“work”调用alarmReceiver来检查设备是否连接互联网。如果在线则调用“steal()”收集信息添加到XML帮助的一个伪变量里。根据API的调用列表会收集信息IMSI、SIM卡序列号、姓名、设备ID、用户字典(自动补全)、联系人、通话记录、日历、浏览器搜索记录、浏览器收藏夹、发送和接收的短信、位置信息。3.3 EmulatorEmulator证实这个APK确实有一个关于迷宫的游戏。但在输出的日志里可以发现它其实做了很多事情并试图发送这些内容还有一些额外的信息包括安卓版本、IMEI、本地时间、steal()运行总量3.3 分析用到的网站http://anubis.iseclab.org/http://dexter.dexlabs.org/https://www.virustotal.com/http://www.apk-analyzer.net/http://www.visualthreat.com/http://androidsandbox.net/reports.htmlhttps://hackapp.com/游戏不仅仅是个游戏检查你的游戏。【编辑推荐】【责任编辑闫佳明 TEL(010)68476606】点赞 0
