2020年第12期信f、通信2020 (总第 216 期)INFORMATION&COMMUNICATIONS(Sum.No 216)
移动互联网环境中手机病毒的一种检测及研判模式的研宄 仲桂芳\闫建新2
(1.中国电信股份有限公司呼和浩特分公司;2.中国佚塔股份有隊公司内蒙古自治区分公司,内蒙古呼和浩特010020)
摘要:近年来,随着科技与移动互联网的快速发展,各类手机应用的用户规模不断上升,场景更加丰富,线下场景使用特 点突出,移动互联网已经成为最重要的网络接入途径和信息共享渠道。基于开放的网络和系统的移动互联网,在新业务 新应用不断出现为用户提供便利服务的同时,以窃听用户通话、窃取用户信息、破坏用户数据、搐自使用付费业务、发送 垃圾信息、推送广告或欺诈信息为目的的移动互联网恶意程序也大量出现,在移动终端存放用户大量用户敏感信息的情 况下,移动互联网恶意程序对用户隐私和财产构成了巨大威胁,因此手机病毒的检测和研判是研究的重要内容之一。 关键词:移动互联网;手机病毒;恶意程序检测;广谱特征;研判模式
中图分类号:TP309.5 文献标识码:A文章编号:1673-1131(2020)12-0126-05
〇引言
近些年,随着科技与移动互联网的快速发展,人们日常生 活中越来越离不开移动终端,智能手机、平板电脑给人们的生 活带来了极大便利,移动支付、电商类、资讯类和社交类等APP 己经成为生活的一部分》在现有的移动端操作系统中,Android 因其开放自由的特性获得很多开发者的青睐,与此同时,也有 人为谋取利益开发恶意软件去侵犯和伤害用户。
为加强移动互联网恶意程序人工分析研判工作,丰富移 动互联网恶意程序样本库,遏制移动互联网恶意程序发展蔓 延趋势,充分保障用户信息,保障移动互联网资产安全,减轻 恶意程序造成的危害,急需开展对移动互联网恶意程序检测 分析和研判工作的研宄。能,如 Binder进程通信、LM K(Low Memory K ille r)等。 2移动互联网恶意程序分析
2.1移动互联网恶意程序概述
2.1.1移动互联网恶意程序定义
移动互联网恶意程序定义是指运行在移动终端设备上,存在侵犯用户利益或隐私的恶意程序,受到最多的恶意程序 的困扰的是私下开启付费业务、发送垃圾短信、推送广告或垃 圾短信等。国家计算机网络应急技术处理协调中心(以下简 称CNCERT)承担对移动互联网恶意程序样本进行认定命名 的职责,其主要表现如下。
(1)可执行文件或者程序片段是在用户未知或者未授权的 时候下安裝的,且这些可执行文件对用户信息构成侵犯,甚至
1基本理论及关键技术
1.1 Android系统架构
A ndroid系统架构四层结构如图1所示,由下往上依次为 L in u x内核层、系统运行库层、应用框架层和应用层。
A p p licatio n s
C om aas1Phone Browser
Application framework
Libraries Android Runtime
C o re Libraries
Oalvik Virtual
Machine
图1 A ndroid平台系统架构
1.2 L in u x内核层
A ndroid系统的核心服务主要依靠L in u x内核来承载的,基于L in u x内核主要实现设备驱动、内存管理、网络通信等功 能,除L in u x内核层功能,A ndroid还有其特有的移动端的功违反国家法律法规。
(2) 存放移动互联网恶意程序的文件实体,可以是独立的 恶意程序载体文件、被感染型恶意程序感染后的文件,也可以
是非文件载体恶意程序的文件镜像(包括但不限于引导型恶意
程序的文件镜像、内存恶意程序的文件镜像)。
(3) 能够完成恶意程序行为的全部可执行文件及其必要的 关联文件(包括但不限于库文件、配置文件等)的集合。
(4) 包含移动互联网恶意程序主体的安装载体,可以在相 应版本的移动终端系统中安装运行。
2.1.2移动互联网恶意程序类型
根据工业和信息化部《移动互联网恶意程序监测与处置
机制》文件规定,移动互联网恶意程序根据行为属性共分八类:
恶意扣费、信息窃取、远程控制、恶意传播、资费消耗、系统破
坏、诱骗欺诈及流氓行为,其定义如下:
(1)恶意扣费;(2)信息窃取;(3)远程控制;(4)恶意传播;
(5)资费消耗;(6)系统破坏;(7)诱骗欺诈;(8)流氓行为。
2.2恶意程序的检测及研判方法
2.2.1静态分析
静态分析技术典型分析如下:
(1) 安装待分析软件:adb install test.apk。
(2) 判断其权限:android-sdk-windows\platfann-tools>aapt dpennissionstestapk,如果有 sms_read,sms_write等特殊权限
则进入细判,判断权限命令如图■所示:"
收稿日期:2020*10*26
作者简介:仲桂芳(1982-),女,本科,主要研宄方向:移动互联网恶意程序监测分析。现任中国电信股份有限公司呼和浩特分公司副总经理; 闫建新(19820,男,研究生,主要研究方向:网络技术与应用。
126
ANDROID_LOC_TACS - tfben u s e d w ith t h s lo g c a t o p t i o n , o n ly t lw s e de
bug t «g t «r« p r i n t e d .
CsNDownl 〇A d s >A n d ro id -s d k _i46-w in d o w s N a n d ro id -s d k -v in d o w s N p l«tfo r<i-to o li>A d b in tt
•11 t e s t.a p k
241 KB^> <498669 b y t»« in 2.019*>
p k g : /d a C a /lo c a l/C n |»/te s C .«p k病毒样本
S u c c e ss
图2权限判断命令
(3)
使用 dex 2jar 工具把 classes .dex :转化为 c lasses .dexDex 2janjar 。
(4) 然后使用JD 打开即可开始查看相应的类并进行分析,
JD 命令查看方法如图3所示:
QD C:\W1NDOWS\system32\cmd^xe
-
□
d71\. classes\org\apache\hariD 〇ny\misc\SysteniUtils. Generating D
:\Analysis_Tools\apk2src_python\715e65dfa7d598cbll57belb32ffdd71\src71 5e65dfa7d598cbll57belb32ffdd71\org\apache\hanD 〇ny\niisc\SysteniUtils. jav a
fileNameOld: 715e65dfa7d598cbll57belb32ffdd71. apk fileNameNew : 715e65dfa7d598cbll57belb32ffdd71. apk_
I: Using Apktool 2.0.0-RC2 on 715e65dfa7d598cbll57belb32££dd71. apk
搜狗拼音输入法全:
图3 JD 命令查看方式
(5) 判断源代码中是否联网代码,记录联网U R L :
im port j a va .HttpURLConnection ;new URL (param Stringl ).openCormection ();
(6) 有没有,记录内容和手机号,查
HTTP /SM S/IM EI 等字符串:
im port android .telephony .TelephonyManager ;im port android .telephony .gsm .SmsManager ;im port android .telephony .gsm .SmsMessage ;
2.2.2动态分析
恶意程序的动态分析过程中,分析试验环境需要与业务 网络完全断开,并在分析完成后尽快恢复恶意程序运行平台, 以清除恶意程序遗漏的文件和系统影响。基于此准则,恶意 程序动态分析是,需要监控和观察恶意程序的运行情况,在激 活恶意程序进行分析后,由于不能完全充分地掌握恶意程序 对系统所造成的影响,因此需要系统恢复机制。总的来说,动 态分析对系统状态、framework 层函数和底层系统调用等方面 进行监控,从而分析恶意程序行为。
(1) 系统属性分析
针对恶意代码对系统属性造成的变化和可能带来的影响 进行分析。其中主要包括系统关键文件是否被修改或替换、 是否安装新的应用、是否修改开机启动项等。但对于恶意程 序动态分析存在一定的缺陷,特别针对移动平台恶意程序行 为,主要恶意行为是中间过程的本地行为和网络行为,并不是 对系统造成持久性影响的相关行为。基于系统基本属性的分 析所获得的恶意程序报告局限于对系统造成影响的部分行为, 是属于粗粒度、不够全面的行为集合,无法提供如何造成系统 状态影响行为的细节信息。
(2) 系统调用分析一般应用程序编程接口是操作系统框架的一部分,用户 层应用程序通过调用操作系统的A P I 去执行应用程序的命令。 应用程序可调用A P I 实现连接网络、读写文件、读取系统数据 库、等。基于系统调用的分析方法实质是对应用程 序调用的A P I 实现HO O K ,从而确定应用程序行为。对于安 卓平台,fram ew ork 层A P I 函数使用了面向对象的设计方式, 使每个A P I 接口很好地体现其功能和行为。随着研宄的深入, 相同行为的实现方式变得更多,己经证明可以使用反射等机
制调用更底层的函数实现同样的功能。如sendRawPdu 。因
此,在实现过程中,选择系统调用流程中较底层部分可能会获 得更好的归一化效果。
(3) 抓包分析
动态抓包分析的目的是辅助静态代码分析,静态分析代 码前首先,通过抓包进行动态了解程序本身的主要功能,可以
快速地为静态分析到突破口,提高分析效率,下面介绍两种
常用的抓包方法。
(4) tcpdum p 抓包分析
基本原理:tepdump 将网络传输的数据包头截取下来,并
且支持关键字的提取和信息的分类。
(5) android 实例分析
第一步:将tepdump 复制到/data /local /tm p 目录,执行命令:adb push tepdump /data /local/tmp
第二步:给tepdump 权限,执行命令:adb shell chmod 755 /data /local /tmp/tcpdump
第三步:通过执行下面指令后,按回车键,开始抓包,具体 命令如图4所示:
图4抓包命令
第四步:按C trK :结束抓包,执行命令adb pull /sdcard /1 .cap D :/,将数据导出到D 盘根目录下。
第五步:通过WireShark 进行分析,W ireShark 分析网络交 互如图5所示:
N .
' m r
■ 10.0.2.11
14M. IJ««110.0.2.3 SSSI K M.40M 210.0.2.1S S9S9 14M.47Z2?10.0.2.3
i m o u M . m r o io .o .?.u
t M l MB*. 10.0.7.1 SB70 M B l.O Q m 10.0.I.1S
14n.MUl 10.0.2.1
si.w K n. mor 10.0.2.1)
S97I X491.44M610.0.2.)
O n iin a io B
10.0.2.1
10.0. 2. IS
10.0. 2.1
10.0.7.IS 10.0 ? I
10.0 3 If
M ita M v d query A |ya rti.caij M Standva a w ry r855ns?7s«rvi
9.2.19.2.1S
〇
>%
S M S BM
U StM0«rd qaery a y tJk.cai
66 stanMrd Mrv«r
U tu n trn d q ttry A jr*A tea
6t tta n d jrd q»»ry
M 〇u«ry *M s tin o v a QMry r
M i t m u r t a s try ]M.<
U sta iH jrd paery responte. Server
I T r npem e^S er ver B
10.0.3.11
s a ?r u «.u «i o io .o .}.i
S a riI4U.M 2S 6 10.0.2.1)
)N 1 14U.OOUI 10.0.2.1 S9M 10.0.2.11
l6.6 } 1? IM S
U S t M M O qgery r^pow *.IMS M fta n d jrd qaary * juto-cca (M S
MMUrd qMcy r»icom«. s«rv»r QMry Apj5"cw
qo *ry rkpon;t, Iw -vr-msi
$«M t 10.0.
3.)
10.0 7.
10.0. 2.1
10.0.2.1>
10.0.2.1
IU 10.0.2. J
10.0.2.1S B 1IA.0.2.H
1B.0.M
U ft«nd«d
M UMlird M MMdird M standvd A C O B
M R andva ascfy response, M rv tr
C S standard aacrv A
图5 W ireShark 网络交互
(6)F id d le r 工具使用代理抓包
Fiddler 可以为支持HTTP 协议的应用程序体统抓包服务。
当我们需要为手机进行抓包时,需要将手机与计算机相连,并
且对手机W lan 进行相应设置。我们打开手机功能-> 工具->设 置->连接->接入点,点击该网络接入点名称,2点击左下角“选 项”->“高级选项”,在高级设置中,填入代理服务器IP 和端口 号,端口号固定为:8888.,将代理服务器IP 地址改为127.0.0.1, 即可实现抓包,faddler 抓包页面如图6所示。
127
图6 Faddler 抓包
3病毒检测与研判模式的研究设计
近些年,中国境内活跃的移动互联网用户呈现爆发式增
长态势,随着安卓开源软件的日益増多,移动互联网恶意程序
目前具有明显的増长趋势。通过人工对样本进行详细或者快 速研判的方式,虽然具有准确率高,研判详细的优点,但是对 病毒研判的效率很低,仅通过人工分析的方式已经不能满足 当前检测病毒效率的需求,因此本文提出了一种新的病毒检 测与研判模式的设计,即基于广谱特征自动化方式实现病毒 的检测及研判。通过本文提出的这种机制,可实现大批量病 毒样本的检测和研判,较大地提髙病毒研判的效率。3.1现有特征化_技术的不足
恶意软件多维度特征检测主要是通过扫描恶意软件,从 而提取恶意软件的SH 1、敏感字、软件包名、字节码、资源名、网 络字符串等特征码,再通过手机文件格式的全量解包对每个文 件进行十六进制级别的快速特征定位。建立多维度的特征扫描 机制,需搭配一个强大的恶意程序特征散列知识库。该库是通 过将人工逆向技术分析提取的恶意程序散列特征,按照自定义 的结构形成多维度的恶意程序特征码序列。当进行软件审计识 别时,通过动态匹配知识库中的恶意程序特征码序列达到检测 恶意程序的目的,确保不存在吸费的网络^r 、短信等恶意行为。
3.2广谱特征提取模块的设计
广谱特征提取在整个检测与研判技术中起着重要的作用, 在此有必要着重讲解。对于单纯的通过人工自己去解析病毒,
提取广谱特征,可能会出现A P P 文件结构比较复杂导致工作 量很大问题,因此需要自动化提取所有广谱特征,供人工分析 提取,以便快速提取特征,升级病毒特征库。基于广谱特征码 可将相当数量的类似的病毒査出来。
人工方式对病毒样本的特点进行分析研宄后,通过特征 提取模块对Android 进行解包,自动提取classes .dex 文件、清单文件、内嵌子包,再解析出样本的子包、所有类、字符 串、函数等信息,之后对提取的各类数据进行格式化,将提取 的所有字符串通过解析模块分为手机号特征、邮箱特征、URL 特征、加密字符串等特征,样本分析基本原理图如图7所示。
图7样本分析基本原理图
4病毒检测
燙电拎2£
W 8E A #
为测试该检测与研判模式的实际效果,特选定了有代表
性的两款A PP 进行案例测试,测试情况如下:句(变形偷窥王) 为隐私窃取病毒,手机银行盗号木马A .Privacy .SmsServices.a 为目前爆发较多的病毒,主要是通过钓鱼方式获取用户银行 卡、身份信息等,进而通过监听窃取用户短信验证码的方式, 进行钱财盗取,以上病毒均可通过提取特征码进行病毒家族 及变种的査杀。4.1硬件实验环境
⑴手机型号和配置
手机软件需要在真实的安卓机器上测试,本次测试的手机 为三星 c 5、Android 6.0 系统、主频 2.0GHZ、RAM 4G , ROM 32G 。
(2)计算机型号与配置 Windows 7, HP 笔记本。
图 § Java Decompiler 运行图
128
ff d ir «e c a e c h c x u
F| .aertoii cpMcsTac^PX <»nic>S)V
.lOOhlS 1
in v o k e -U s e ex (p 〇}a L ia v a. la n g O b^ecc.; -x i n i o o V r <e x :v?n- v o id -end method
0 .a e s fio d p u fi-lie s t a t i c g e c C A n R e trie v «ffln d o v C o n c e n <c (L a A dr-oid. A c c e s s i b i l l^y s e r v i e e A c c e f f s lb lli.i e y 5e r v le «In £e : i Z
•4pch :9 二 _________________________________________________________
-p a ro a pOr "I n f o * t B liftfliF nl r l^a r r a n i h i l
I T l/j>W lT tiiM 1l1111B ig il|;fT lffit_T B Tiftf~
.p x e lo -ffu e
.l i n «invoke -vircu^l ■ipO} r Landroid/acc«aalbi 1 ic^aervice 'Accessibi 1 icy3«rvice-Inlor- -geeCanR«rrieveHIndowConce
L eccux:& \r 〇
.e n d B«?bo>di
T
.sjech o d p u b l i c sxac I c gecIV eacrlp clo iai ;L «n d ro i<l,a c c «»a l b i l i 'c y a c 'r A r ic «'A c c e a a lb ilic y S c r v lc e ln f o ; iL ^av a lA n g ^S tr
.ldCAl» : ____ __ ______
i 3E H h *
j com n a tiv ity
r
切4^ci c M u iif.it I |_| kpktoal )«1
3] iQ kiacts
^ e jisfc
〇 IM tli
S t2i t &d r a i J i t2)E W 白•ocMS'ibilityicrTio
图9 A P K 改之理
基本信息
B 本雜
f ^sb.-apk
天罨行为M Q S :
6a a621 SSSOfc 14 3^ 51 c bcOa e 72 bS &ecc
班11行为上规斯APK
2018-03^23 21:14:12
文冊为运行妄说::
A n d ro id
网铯圩为4.3.0.1217 …43.0.1217
PACK £R:UPX 0.^9 6 - 1-02 / 1>〇5' - 124 -> M a r k u s
las.?l 〇
注册聚行为
子文件價洋谓與他抒为文件分析95邏
(PortEx )运行雖
图10某传统应用检测工具
4.2软件实验环境
⑴A P K 反编译源代码査看工具DJ Java Decompiler 开发者可通过DJ Java Decom piler 将反编译后的class 文 件,保存为文本文件,简单易操作,DJ Java D ecom piler 是W in dows 平台下的反编译工具,可通过反编译后的 class 二进制文
件恢复成为最初的源代码。DJ Java D ecom piler 是Windows 应用程序,无需开发者机器上安装JD K 和JRE , JavaDecompi - le r 运行图如图8所示:
(2) 修改A P K 程序文件工具A P K 改之理
A P K 改之理是一款帮助开发者定制并且修改A P K 源代
码文件的工具,它属于集成化的代码修改工具,例如ApkTool 、 JD -G U I 等,同时它支持特定关键词搜索功能,该工具极大的简
化A P K 源代码繁琐操作修改过程,修改更轻松,A P K 改之理 软件运行图如图9所示。
(3) 某恶意软件检测工具
某传统的恶意Android 文件系统分析平台如图所示,此系 统只可检测和分析出某款apk 据用恶意攻击的行为及其基本
信息,但对于其具体的攻击方式还需要进一步人工分析,因此 通过基于广谱特征的检测和研判模式去分析病毒的细节具有 重要作用,如图10是某传统A ndroid 文件分析平台对变态偷 窥狂应用的检测界面。5
总结与展望
移动互联网己经成为广大网民最重要和最普遍的连接网 络世界的桥梁,移动互联网基于开放的网络和系统,与传统互 联网相类似,在新业务、新应用不断出现的同时,移动互联网 恶意程序也大量出现,移动互联网智能终端存放用户更多重 要信息,直接关系用户的通信费用与安全,因此移动互联网恶 意程序的危害也更加严重,本文阐述基于移动终端安全的背 景及研究意义,分析手机病毒理论及检测关键技术、程序分析、 病毒检测方法等内容,提出了病毒检测与研判模式,并通过实 际具体案例,进一步说明应用前景和优势。后期将通过对该 模式的深入研宄,实现更加智能化的分析系统,便于更好地为 用户提供服务。
156.7890123 45678901234•& 67S .9-01 >
11
111111112222222222-33~
129
2020年第12期 信息通信2020
(总第 216 期)INFORMATION&COMMUNICATIONS(Sum.N o 216)
基于Web技术数据集中器的设计
孙国菊,季海涛,尹建丰,张云端,秦中海
(林洋能源股份有限公司,江苏启东226200)
摘要:针对智能电网对数据集中器和前端设备与云环境有更好的适用性,模块化、动态性、良好容错性的客观需求,文中 介绍基于W eb技术的数据集中器的设计。包括数据集中器框架、W eb服务开发技术、数据集中器分块设计方法、客户端 和服务器模式、任务管理机制。该方案提升设备承受高并发量通信能力,满足系统异步交互的需求。实现了数据集中器 与前置设备跨平台远程通信,对智能电网的设计有一定的参考意义。
关键词:智能电网;数据集中器;W eb服务;任务管理机制;远程通信
中图分类号:TM933 文献标识码:B文章编号:1673-1131(2020)12-0130-04
Design of Data Concentrator Based on Web Technology
Sun GuojuJiHaitaOjYinJianfeng^hang Yundun,Qin Zhonghai
(Linyang Energy Co”Ltd,QiDong226200, J iangsu,China)
Abstract:In response to the smart grid's customer needs for better adaptability,modularity,and fault tolerance to data concentrator and front-end equipment and the cloud environment,this paper introduce design o f data mechanism based on Web technology.Including the framework o f data concentrator Web development technology,block design method,client server mode, task management mechanism.This solution enhances the equipment's ab ility to withstand high-concurrency communication and meets the general interaction requirements o f the system.The cross-platform remote communication between the data concentrator and the front-end equipment is realized,which is useful fo r the design o f smart grid.
Keywords: smart grid;data concentrator;Web development technology;task management mechanism;remote communication
〇引言
用电信息采集系统是我国电力系统建设的重要组成部 分,也是我国建设高可靠性智能电网的关键一步。同时是电 力系统进行大数据分析,加强管理的重要信息来源,因此采 集系统的稳定性、可靠性运行直接影响到上述业务的精益化 管理水平。并且随着用电信息采集系统朝互动化和网络化 的方向发展,传统的信息安全问题日益突出[1M5]。W eb服务 的X M L易于理解和分析,标签可以协商,提炼文件的有效信 息,减少冗余信息,并且与第三方无关,有效地提高开发效率。使用W eb服务的SFTP和H TTPS为文件传输和通信提供安 全保障[6][w。在设备资源可用的情况下,W eb服务技术可以使 用已有的网络安全技术,解决各种已知的网络安全问题,同时有很好的延展性,可以升级对应的安全组件提高安全防护 水平。1数据集中器应用背景
智能计量系统在逻辑上可以分为三个部分,智能计量基 础设施、电表数据管理系统M DM S、智能计量运营中心SMOC (见图1)。
智能计量基础设施包括用户端的智能电表、数据集中器、通信信道、前端设备。智能电表实现电能计量、电网质量监测、用电负荷监测与预测、电能质量分析、线损统计分析等。数据 集中器对智能电表数据采集、存储;根据任务配置对采集到的 数据及时上传前端设备;执行主站的下发的命令,对电表进行 管理、监测。前端设备管理用户终端设备,采集智能电表用电 信息,为用电管理单位的能源管理
提供及时、准确的数据源, 并提供实时分析、报表输出、远程控制等一系列自动化生产的 辅助功能B]。前端设备管理客户管理体系,根据权限开放给电 力系统客户,用户界面为W E B界面。前端设备管理百万级电
收稿日期=2020-10-19
作者简介:孙国菊(1984-),女,安徽淮南人,硕士,工程师,研发方向为计量采集;季海涛(1984-),男,高级工程师,从事电力系统以及电能计 量方面的宄;尹建丰(1964-),男,高级工程师,从事电能计量与电力通信技术方面的研宄;张云端(1986-),男,江苏南通人,本科,工程师,研 发方向为计量采集;秦中海(1989-),男,江苏南通人,本科,工程师,研发方向为计量采集。
参考文献:
[1]《中国信息安全》编辑部.2016移动端恶意软件威胁分析
[J].中国信息安全,2017⑷:73-78.
[2]汪婷.A ndroid应用框架层权限机制增强[D].东南大学,
2015.
[3]蒋绍林,王金双,张涛,等.A ndroid安全研宄综述[J].计算机
应用与软件,2012(10):205-210.
[4]刘芄成.基于分布式计算的移动数据恶意行为检测研究与实现[D].北京邮电大学,2015.
[5]佚名.工信部严管移动互联网恶意程序将跨网监测[J].计
算机与网络,2011(23):8-8.
[6]洪双喜.A ndroid平台隐私保护方法研宄[D].北京邮电大
学,2017.
[7]刘阳.基于动态污点分析的A ndroid平台恶意软件检测技
术研宄[D].南京理工大学,2017.
[8]文伟平,梅瑞,宁戈,汪亮亮.A ndroid恶意软件检测技术分
析和应用研宄[JLiffl信学报,2014,35(08):78-85+94.
130
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议