一些筆記,名詞基本都是自翻
DroidRanger:第一個系統的研究官方和非官方市場的軟件。
最廣泛的 使用兩種模式
1.permission-based behavior footprinting scheme(基於權限的行爲足跡匹配)
從已知的安卓惡意程序家族中檢測到新的樣本。
2.heuristics-based filtering scheme(基於啓發式的過濾模式)
用於確定未知的惡意程序。
設計上:
KEY:accuracy,scalability,efficiency(準確性,可擴展性,有效性)
2.1
1)基於權限 permission-based filtering
選擇過濾權限時要從基本的基礎庫裏選擇,不然容易發生誤判。
e.g. ZSone
send SMS messages 爲了隱藏消息,提供保險號碼給惡意方,引起用戶的財產損失,監控消息並移除賬單提醒。
在Android下,需要SEND_SMS and RECEIVE_SME兩個權限。
2)行爲匹配 behavior footprinting matching
行爲特徵:i>manifest裏註冊的組件及其目的
ii>特定組件的代碼解析,提取API調用序列
iii>代碼結構佈局
e.g. ZSone
①監聽。a receiver
②發送信息給“10621900”etc. 泄漏信息
③攔截短信。“10086”etc. 攔截賬單提醒
2.2
1)基於啓發式的過濾 heuristics-based filtering
i>從遠程未可信網站上動態下載Java二進制代碼。
DexClassLoader 下載文件.apk .jar 廣告庫
Plankton spyware
ii>從本地動態下載原代碼(native code)
DroidKungFu 在非默認路徑里加載本地代碼執行提取代碼。
2)動態執行的監測 dynamic excution monitoring
i>對動態加載的jar和dex記錄其API調用及參數
SendTextMessage
ii>對動態加載的native code 記錄其發生的敏感系統調用
sys_mount
人工對這些日誌進行分析。
3.評估
發現Plankton 下載jar文件前,會將一些權限通過遠程服務器賦予app。