Android平臺(tái)下基于行為的惡意代碼檢測技術(shù)研究.pdf

1、在2012年6月到2013年第二季度這一時(shí)間段內(nèi),Android平臺(tái)上惡意軟件安裝包的數(shù)量呈現(xiàn)出激增的態(tài)勢。到2013年底,Android平臺(tái)上產(chǎn)生的惡意軟件占所有移動(dòng)平臺(tái)惡意軟件的97％,而2012年這一比例僅僅為79％,Android平臺(tái)的安全形勢變得愈發(fā)嚴(yán)峻。因此,如何對移動(dòng)應(yīng)用程序進(jìn)行行之有效的惡意檢測就成為一項(xiàng)亟待解決的問題。
　　由以上現(xiàn)狀,本文給出了一種綜合動(dòng)態(tài)跟蹤為主靜態(tài)分析為輔的惡意代碼檢測方法。其中動(dòng)態(tài)追蹤方法

2、采用污點(diǎn)標(biāo)簽追蹤技術(shù)對應(yīng)用程序的惡意行為進(jìn)行實(shí)時(shí)監(jiān)控與記錄。本文的動(dòng)態(tài)污點(diǎn)追蹤系統(tǒng)實(shí)現(xiàn)于Dalvik VM層,在最大限度保證系統(tǒng)穩(wěn)定的前提下監(jiān)聽并記錄應(yīng)用程序在虛擬機(jī)中運(yùn)行時(shí)的惡意行為。靜態(tài)分析方法,對被檢測應(yīng)用的源代碼進(jìn)行分析。我們通過對應(yīng)用軟件的APK安裝包進(jìn)行反編譯,獲取其中關(guān)鍵的XML文件和Dex可執(zhí)行文件,提取其中與程序行為有關(guān)的函數(shù)調(diào)用、請求權(quán)限等關(guān)鍵信息,以此作為動(dòng)態(tài)監(jiān)測的補(bǔ)充。通過綜合兩種分析方法所取得的信息,可以最大限

3、度的還原被檢測應(yīng)用程序可能存在的惡意行為。通過對自行編寫的惡意樣本和真實(shí)惡意樣本的測試表明,本文方法不僅能對應(yīng)用程序的源文件進(jìn)行全面的分析,通過提取其中的高危權(quán)限和函數(shù)調(diào)用判斷其可能存在的惡意行為,還能很好的追蹤記錄程序運(yùn)行過程中的行為信息,準(zhǔn)確的還原樣本程序在實(shí)際運(yùn)行過程中的惡意行為特征。
　　本文方案通過惡意代碼的行為分析,對已知和未知的惡意程序均能有效分析其惡意行為,記錄分析詳細(xì)的行為信息,為以后快速分析,建立特征庫、黑名單