日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
Android惡意軟件模擬器檢測(cè)技術(shù)

前言

下面的報(bào)告來(lái)自SophosLabs實(shí)驗(yàn)室的Android安全專家陳宇,還有來(lái)自Android組的成員William Lee, Jagadeesh Chandraiah and Ferenc László Nagy的幫助。

隨著Android惡意軟件的數(shù)量的持續(xù)增長(zhǎng),它緊隨Windows下的應(yīng)用采用的用于逃脫模擬器的技術(shù),用來(lái)防止被動(dòng)態(tài)分析。在這篇文章中,我們將展示一些用于模擬器檢測(cè)的技術(shù)。

模擬器是一種可以允許一臺(tái)電腦(主機(jī))模擬另外一臺(tái)電腦(客戶機(jī))的硬件或軟件。通常,它允許主機(jī)系統(tǒng)運(yùn)行軟件或者使用外部設(shè)備來(lái)模擬器客戶機(jī)系統(tǒng)。在安全方面,用它很容易檢測(cè)惡意軟件的行為,這也是為什么惡意軟件的作者很想避免運(yùn)行于模擬器。

模擬器檢測(cè)技術(shù)在許多不同的Android惡意軟件家族中均被發(fā)現(xiàn)了,最近的一款是在Google Play發(fā)現(xiàn)的Android加載廣告的惡意軟件。

于是,下面是SophosLabs實(shí)驗(yàn)室發(fā)現(xiàn)的6中常用的模擬器檢測(cè)技術(shù):

1. 檢測(cè)手機(jī)服務(wù)信息

所有模擬器檢測(cè)的關(guān)鍵是確定模擬器和真機(jī)設(shè)備的運(yùn)行環(huán)境之間的差異。首先,模擬器上面的設(shè)備ID、手機(jī)號(hào)、IMEI號(hào)和IMSI號(hào)都不同于真機(jī)設(shè)備。

android.telephony.TelephonyManager類提供了用于獲取設(shè)備信息的方法。Android應(yīng)用程序可以通過(guò)該類里面的方法用于檢測(cè)手機(jī)服務(wù)和狀態(tài),訪問(wèn)一些運(yùn)行商信息,注冊(cè)用于接收手機(jī)狀態(tài)變化通知的監(jiān)聽(tīng)器。例如,你能用getLine1Number方法來(lái)獲取卡1上的手機(jī)號(hào)信息。在模擬器上面,它將是“1555521”后面緊跟模擬器端口數(shù)字。例如如果模擬器端口是5554,它將返回15555215554。

Andr/RuSms-AT使用下面這種代碼用于檢測(cè)模擬器:

2. 檢測(cè)制造商信息

我們發(fā)現(xiàn)許多惡意軟件家族通過(guò)檢測(cè)制造商信息來(lái)判斷它是否運(yùn)行在模擬器中。例如,下面這款銀行類的惡意軟件使用如下的模擬器檢測(cè)代碼:

其中的字符串被加密了,解密后的內(nèi)容如下:

上面的方法是被一個(gè)廣播接收器調(diào)用的。在這款A(yù)PP的manifest文件中,這個(gè)廣播接收器被定義為用于接收android.intent.action.BOOT_COMPLETED和 android.intent.action.SCREEN_ON事件。這意味著它將在手機(jī)啟動(dòng)時(shí)或者被喚醒時(shí)調(diào)用。這是惡意軟件常用來(lái)啟動(dòng)它們惡意行為的地方。但是,這款惡意軟件在模擬器檢測(cè)函數(shù)返回true時(shí)將什么都不做,如下所示:

3. 檢測(cè)系統(tǒng)屬性

另外一種方法是檢測(cè)系統(tǒng)屬性。模擬器上面的一些系統(tǒng)屬性和真機(jī)上面的不同。例如,設(shè)備廠商、硬件和model。下面這張表展示了模擬器上面一些系統(tǒng)屬性的值:

4. 檢測(cè)模擬器相關(guān)文件

這是另外一種在惡意軟件樣本中使用的技術(shù)。它們檢測(cè)QEMU (Quick Emulator)或者其他模擬器相關(guān)的文件是否存在。例如,下面的代碼片段在Andr/Pornclk變種中發(fā)現(xiàn)的。

5. 檢測(cè)調(diào)試器和安裝器

下面這種方法不是為了檢測(cè)模擬器,但是主要目的也是為了阻止動(dòng)態(tài)分析。像下面這款詐騙廣告軟件,它使用Debug.isDebuggerConnected()和Debug.waitingForDebugger()來(lái)檢測(cè)是否存在調(diào)試器。更有趣的是,它同時(shí)也通過(guò)getInstallerPackageName獲取安裝器來(lái)查看它是否是通過(guò)Google Play安裝的(com.android.vending)。因此,像大部分的逆向分析者一樣,如果你是通過(guò)adb安裝應(yīng)用程序到設(shè)備上的,這個(gè)應(yīng)用程序就不會(huì)運(yùn)行了。

6. 時(shí)間炸彈

下面是另外的一種方法,許多惡意軟件/廣告軟件利用這種方法在被動(dòng)態(tài)分析時(shí)隱藏它們自身。在安裝后,它們?cè)诘却付ǖ臅r(shí)間后才啟動(dòng)Activities。例如,某款惡意廣告軟件中發(fā)現(xiàn)了下面的配置文件:

 
 
 
 
    
  
  
  
  
  1. “settings”: { 
    2.   
  
  
  
  2.    “adDelay”: 180000, 
    3.   
  
  
  
  3.    “firstAdDelay”: 86400000, 
    4.   
  
  
  
  4.    “unlockDelay”: 2, 
    5.   
  
  
  
  5.    “bannerDelay”: 180000, 
    6.   
  
  
  
  6.    “bannerPreDelay”: 10000, 
    7.   
  
  
  
  7.    “bannersPerDay”: 25 
    8.   
  
  
  
    9.

firstAdDelay是第一條廣告被投遞到客戶端的毫秒時(shí)間,在上面的例子中是24小時(shí)。這也可以防止用戶懷疑。

我們相信,android惡意軟件和惡意廣告軟件的作者將會(huì)繼續(xù)編寫模擬器檢測(cè)技術(shù)的代碼,同時(shí)他們也已經(jīng)獲得了一定程度的成功。安全公司必須使用較好的檢測(cè)方法匹配它們。


網(wǎng)頁(yè)題目:Android惡意軟件模擬器檢測(cè)技術(shù)
網(wǎng)站URL:http://www.5511xx.com/article/cdsjsog.html