基于反编译的Android 平台恶意代码静态分析

Android平台占有很大的市场份额,但由于Android系统的开放性,使得针对Android平台的恶意代码呈现出爆炸式的增长．因此对这些恶意代码的分析和检测显得十分必要．在传统计算机恶意代码的检测方法中,反编译和静态分析技术占有十分重要的地位,因此根据Android平台和智能手机的特点,重点研究基于反编译的Android平台恶意代码静态分析方法,并进行相关实验获取了初步的检测结果．     

基于特征阈值的恶意代码快速分析方法

当前恶意代码具有种类多、危害大、复杂程度高、需要的应急响应速度快等特点,针对现有恶意代码分析方法难以适应现场快速分析处置与应用实践的需求的问题,研究了基于特征阈值的恶意代码分析方法,构建了恶意代码快速分析处置的具体环节,包括环境分析、文件细化、静态分析、动态分析,并通过构建的阈值判断来定位代码的功能和家族属性,并给出清除恶意代码的具体方法。实际应用结果证明,此方法对恶意代码安全特性相关的意图、功能、结构、行为等因素予以综合,实现在现场处置层面上对恶意代码安全性的分析研究,为当前网络安全恶意代码的现场快速响应和处置提供了重要支撑。     

静动态结合的恶意Android应用自动检测技术

随着移动互联网的快速发展,移动终端及移动应用在人们日常生活中越来越重要,与此同时,恶意移动应用给网络和信息安全带来了严峻的挑战。Android平台由于其开放性和应用市场审查机制不够完善,使其成为了移动互联网时代恶意应用的主要传播平台。现有的恶意应用检测方法主要有静态分析和动态测试两种。一般而言,静态分析方法代码覆盖率高、时间开销小,但存在误报率较高的问题;而动态测试准确度较高,但需要实际运行应用,所需的时间和计算资源开销较大。针对上述情况,本文基于静动态结合的方法,自动检测恶意Android应用。首先,使用静态分析技术获取应用API的调用情况来判定其是否为疑似恶意应用,特别是可有效检测试图通过反射机制调用API躲避静态分析的恶意应用;然后,根据疑似恶意应用UI控件的可疑度进行有针对性的动态测试,来自动确认疑似恶意应用中是否存在恶意行为。基于此方法,我们实现了原型检测工具框架,并针对吸费短信类恶意行为,对由465个恶意应用和1085个正常应用组成的数据集进行了对比实验。实验结果表明,该方法在提高恶意应用检测效率的同时,有效地降低了误报率。     

一种Android应用加固方案

Android应用安全问题日益突出,大量Android应用遭受逆向、非法复制及恶意代码注入等攻击。对Android应用安全机制进行研究,在分析静态逆向和动态逆向攻击原理的基础上,提出一种移动应用加固保护方案。方案综合运用加壳、反调试、签名校验及反编译等应用加固技术,对目标应用进行加固;经测试,该加固方案能够很好地对抗常见的静态分析和动态分析等逆向攻击。     

面向Android应用程序的代码保护方法研究

近年来,Android操作系统快速发展,逐渐成为移动设备最常用的操作系统之一.与此同时,Android系统的安全问题也日益明显.由于Android系统自身的安全体系不够健全以及Android应用代码保护方法缺失,大量Android应用面临逆向工程、盗版、恶意代码植入等威胁.文章针对Android应用所面临的这些安全问题进行分析,并指出问题存在的原因.在此基础上,设计了一个完整的Android应用程序代码保护方法,该方法由PC端处理模块、Android端处理模块以及Android代码开发规范构成.为使该方法更具可操作性,文章还给出了一些关键技术的实现,包括基于AES算法的加密保护、伪加密、加壳、代码混淆以及特殊编码规则等.文章提出的面向Android应用程序的代码保护方法借鉴了传统的保护方法,结合Android系统的自身特性,采用文件加密、代码混淆、反动态调试、完整性校验以及加壳等技术,从对抗静态攻击和对抗动态调试两个方面提高了应用抗攻击的能力.因此,该方法不仅具有一定的理论意义,还具有一定的实际应用价值.     

基于软件基因的Android恶意软件检测与分类

随着移动互联网的发展,针对Android平台的恶意代码呈现急剧增长。而现有的Android恶意代码分析方法多聚焦于基于特征对恶意代码的检测,缺少统一的系统化的分析方法,且少有对恶意代码分类的研究。基于这种现状,提出了恶意软件基因的概念,以包含功能信息的片段对恶意代码进行分析;基于Android平台软件的特点,通过代码段和资源段分别提取了软件基因,其中代码段基因基于use-def链（使用-定义链）进行形式化。此外,分别提出了基于恶意软件基因的检测框架和分类框架,通过机器学习中的支持向量机对恶意软件基因进行学习,有较高的检测率和分类正确率,其中检测召回率达到了98.37%,验证了恶意软件基因在分析同源性中的作用。     

基于行为分析的黑客攻击软件自动化分析工具的设计与实现

静态分析和动态分析是两种主流的恶意代码分析技术.随着反调试、程序补丁、代码混淆、多态和变型等技术的出现,静态分析技术的局限性越来越明显.该文设计了一种基于内核调用和正则表达式技术的恶意软件自动化分析工具,并用熊猫烧香病毒进行了验证,此工具提高了自动化分析的效率.     

一种基于文档的移动平台间UI控件对应方法

多平台开发是移动应用软件开发的一个重要特点,同时还具有版本演化快和开发周期短的要求,这给移动开发带来了巨大的挑战。由于目前主流的移动平台大多采用MVC架构模式,并且在开发上体现出了UI驱动和事件驱动的特点,因此不同平台(如iOS和Android等)之间的UI控件具有较强的对应性,这给移动应用的开发人员在多平台开发时提供了重要的参考。提出了一种基于文档来理解不同平台之间UI控件对应性的方法,该方法以iOS和Android两种移动平台为研究对象,通过自然语言处理技术来分析从官方文档中抓取的UI控件描述文字,基于空间向量模型计算控件之间的相似度,并针对移动应用的特点设计了同义词集来保证匹配的准确性。基于所提方法,对iOS和Android平台上的典型UI控件进行了具体实验,结果表明,在单控件对应性方面,该方法能找到大部分的控件对应性,具有较高的准确度。     

基于动态分析的JavaScript代码推荐

针对现有基于静态分析的JavaScript代码推荐技术准确度低且响应速度较慢的问题,提出一种基于动态分析的JavaScript代码提示方法,并设计基于Eclipse插件的代码推荐工具。采用事先建模的方法保存模拟运行环境,并且对上下文对象建立特征索引。同时在用户代码抽象语法树的基础上进行代码分块,按程序分块顺序对用户代码进行模拟执行,利用对象之间的相似度在用户运行时修正运行变量,并对模拟执行时产生的异常进行处理,实现针对用户代码的动态分析JavaScript代码提示。实验结果表明,与现有使用静态分析方法的JavaScript代码推荐技术相比,该方法具有更高的可推荐性和更快的响应速度。     

代码向量深度学习的恶意Android应用检测方法

目前针对恶意Android应用的静态检测方法大多基于对病毒哈希值的分析与匹配,无法迅速检测出新型恶意Android应用及其变种,为了降低现有静态检测的漏报率,提高对新型恶意应用的检测速度,提出一种通过深度网络融合模型实现的恶意Android应用检测方法。首先提取反编译得到的Android应用核心代码中的静态特征,随后进行代码向量化处理,最后使用深度学习网络进行分类判别。该方法实现了对恶意应用高准确度的识别,经过与现存方法的对比分析,验证了该方法在恶意代码检测中的优越性。