一种Android应用程序恶意行为的静态检测方法

目前Android应用程序的安全问题得到越来越多的关注. 提出一种检测Android应用程序中恶意行为的静态分析方法, 该方法采用静态数据流分析技术, 并实现了常量分析算法, 通过跟踪应用程序对常量值的使用来检测恶意订购、资费消耗等多种类型的恶意行为. 实验结果表明, 该方法可以有效检测出Android应用程序的恶意行为, 具有较高的实用性.     

Android应用的恶意代码注入

本文分析了Android应用文件和Android系统广播机制的特点,介绍了一种基于SDK的Android应用恶意代码注入的方法,并且用该方法测试了30款Android应用,通过实验说明了Android应用软件缺少防止恶意注入的安全机制.     

基于函数调用图的Android恶意代码检测方法研究

随着移动互联网的迅猛发展和智能设备的普及,Android 平台的安全问题日益严峻,不断增多的恶意软件对终端用户造成了许多困扰,严重威胁着用户的隐私安全和财产安全;因此对恶意软件的分析与研究也成为安全领域的热点之一;提出了一种基于函数调用图的 Android 程序特征提取及检测方法;该方法通过对 Android 程序进行反汇编得到函数调用图,在图谱理论基础上,结合函数调用图变换后提取出的图结构和提取算法,获取出具有一定抗干扰能力的程序行为特征;由于 Android 函数调用图能够较好地体现 Android 程序的功能模块、结构特征和语义;在此基础上,实现检测原型系统,通过对多个恶意 Android 程序分析和检测,完成了对该系统的实验验证;实验结果表明,利用该方法提取的特征能够有效对抗各类 Android 程序中的混淆变形技术,具有抗干扰能力强等特点,基于此特征的检测对恶意代码具有较好地识别能力。     

On Identifying and Explaining Similarities in Android Apps

Journal of Computer Science and Technology - App updates and repackaging are recurrent in the Android ecosystem, filling markets with similar apps that must be identified. Despite the existence of...     

一种基于Native层的Android恶意代码检测机制

Android现有的恶意代码检测机制主要是针对bytecode层代码，这意味着嵌入Native层的恶意代码不能被检测，最新研究表明86%的热门Android应用都包含Native层代码。为了解决该问题，本文提出一种基于Native层的Android恶意代码检测机制，将smali代码和so文件转换为汇编代码，生成控制流图并对其进行优化，通过子图同构方法与恶意软件库进行对比,计算相似度值，并且与给定阈值进行比较，以此来判断待测软件是否包含恶意代码。实验结果表明，跟其他方法相比，该方法可以检测出Native层恶意代码而且具有较高的正确率和检测率。     

“挂马”

网页挂马就是在网页的源代码中加入一段恶意代码,利用系统漏洞实现将木马程序自动下载到用户电脑之中。     

Mitigating Malicious Code

ABSTRACT

Mitigation of malicious code is increasingly complicated by multi-staged and mutli-variant attacks taking place daily on the Internet today. It is now common for computers to be infected for long periods of time, with malicious browser help objects, rootkits, and similar stealth codes. Identification and removal from a computer can be especially difficult. In some cases, the only reasonable effort may be to completely wipe and reinstall an image of the system, known to be free of malicious code. Manual mitigation of malicious code is a sophisticated process of threat identification, research, mitigation, and monitoring to properly remove all threat components related to an attack.     

一种优化安卓应用3G/4G网络请求能耗的方法

智能手机后台应用的网络请求极大地影响着待机时间.已有的工作提出了节省手机能耗的应用网络请求调度算法,然而,如何将算法自动地应用到既有手机系统,仍面临着巨大挑战：（1）在没有应用源代码的情况下,实现单个应用内的网络请求合并;（2）在不对操作系统进行任何修改的情况下,按需合并多个应用中的网络请求.以安卓应用为目标,给出了一种通过自动程序转换来支持现有移动应用中网络请求延迟调度的方法及其框架实现——DelayDroid,用以提升手机整体待机时间.通过字节码分析和程序自动转换技术解决以上挑战.与已有工作相比,DelayDroid有两大特色：一是程序转换自动执行;二是转换后的应用可支持多应用的后台网络请求调度,该调度机制可以降低安卓应用的待机耗电.此外,DelayDroid被设计为可对只有dex字节码的安卓应用进行转换,更具实用性.     

恶意后门代码审计分析技术

现有代码安全审计主要是关注语言自身的缺陷,即语言所包含的API函数的风险,无法理解软件源代码中逻辑和核心资产与外界的关系,更无法判断源代码中所存在的恶意后门代码,因此,外包开发团队或者恶意开发人员设置的后门代码将无法查找和定位。为了解决上述现有方案的缺点和盲点,在现有的代码安全审计的基础之上,结合最小攻击面和保护资产列表,分析所有受保护的信息资产与攻击面的关系,查找保护资产在系统内对所有代码元素的影响,并审查其相关路径,找出不期望的代码执行路径,从而达到定位恶意代码功能。识别恶意程序,降低源代码安全风险。     

Android APP加固方案的研究

Android应用程序在未经任何加固处理的情况下极容易受到反编译攻击,存在较大的安全隐患。APP加固技术为应用程序提供了有效的防护措施,增加了反编译的难度,本文针对目前常用的反编译手段提出了一种APP加固方案,该方案首先针对需要保护的资源文件进行加密处理;然后针对DEX文件的反编译,采用混淆代码技术加固处理,针对二次打包,本文采用签名校验技术。实验表明,本文提出的加固方案能够有效地防患APK被反编译,加大了二次打包的难度。     

Dynamic Analysis of Malicious Code

Malware analysis is the process of determining the purpose and functionality of a given malware sample (such as a virus, worm, or Trojan horse). This process is a necessary step to be able to develop effective detection techniques for malicious code. In addition, it is an important prerequisite for the development of removal tools that can thoroughly delete malware from an infected machine. Traditionally, malware analysis has been a manual process that is tedious and time-intensive. Unfortunately, the number of samples that need to be analyzed by security vendors on a daily basis is constantly increasing. This clearly reveals the need for tools that automate and simplify parts of the analysis process. In this paper, we present TTAnalyze, a tool for dynamically analyzing the behavior of Windows executables. To this end, the binary is run in an emulated operating system environment and its (security-relevant) actions are monitored. In particular, we record the Windows native system calls and Windows API functions that the program invokes. One important feature of our system is that it does not modify the program that it executes (e.g., through API call hooking or breakpoints), making it more difficult to detect by malicious code. Also, our tool runs binaries in an unmodified Windows environment, which leads to excellent emulation accuracy. These factors make TTAnalyze an ideal tool for quickly understanding the behavior of an unknown malware.     

恶意代码自动脱壳技术研究

恶意程序普遍使用一些高级的软件保护技术躲避检测工具等的查杀,而复杂的程序加壳技术就是其中的典型代表,必须对其进行脱壳操作才能进行彻底的分析。文章以对壳程序特征的分析为基础,提取样本程序的外壳特征,自动提取加壳程序隐藏的代码和数据,并提出了基于动态分析平台的自动脱壳系统的设计方案。实验结果表明,该系统可以有效处理常见的外壳程序类型,一方面提高了脱壳技术的自动化程度,另一方面大大增强了脱壳技术的通用性。     

恶意代码动态分析中的反虚拟化问题研究

反虚拟化是当前影响恶意代码动态分析系统全面获取样本行为数据的重要因素.本文提出从恶意代码动态分析环境的主机环境,网络环境和用户交互环境进行系统的反虚拟化对抗方法,并将反虚拟化对抗实现在已有的动态分析系统上,实验结果表明反虚拟化对抗有效的增强了动态分析系统获取样本行为数据的能力.     

BiLSTM在JavaScript恶意代码检测中的应用

传统的机器学习方法在检测JavaScript恶意代码时,存在提取特征过程复杂、计算量大、代码被恶意混淆导致难以检测的问题,不利于当前JavaScript恶意代码检测准确性和实时性的要求.基于此,提出一种基于双向长短时神经网络(BiLSTM)的JavaScript恶意代码检测方法.首先,将得到的样本数据经过代码反混淆,数...     

自动化检测Android应用反射型跨站脚本漏洞的方法

提出一种自动化检测Android应用反射型跨站脚本漏洞的方法,通过对Android应用组件的识别和分类,自动化输入测试例和点击与输入框关联的按钮,监测运行结果判断应用是否具有潜在的反射型跨站脚本漏洞,并通过图像处理方法实现了对WebView的支持。基于该方法实现了一个原型工具。实验表明,该方法可以有效的检测Android应用的反射型跨站脚本漏洞,具有较高的实用性。     

基于DynamoRIO的恶意代码行为分析

提出一种基于动态二进制分析的恶意代码行为分析方法,以动态二进制分析平台DynamoRIO为基础设计实现恶意代码行为分析的原型系统.实验结果证明,该系统能够全面地获取恶意代码的API调用序列和参数信息,通过对API调用的关联性进行分析,准确得到恶意代码在文件、注册表、服务及进程线程操作等方面的行为特征.     

恶意程序的发展趋势分析

在对比分析07年到08年上半年期间恶意代码发展特点的基础上,指出了恶意代码今后将具有对抗安全软件加剧、利用热点事件进行攻击、社会工程学攻击、利用僵尸网络等发展趋势,并提出了防御恶意代码的策略和建议。     

结合CNN和Catboost算法的恶意安卓应用检测模型

针对恶意安卓应用程序检测中存在的特征维度大、检测效率低的问题,结合卷积神经网络CNN良好的特征提取和降维能力以及catboost算法无需广泛数据训练即可产生较好分类结果的优点,构建一个CNN-catboost混合恶意安卓应用检测模型.通过逆向工程获取安卓应用的权限、API包、组件、intent、硬件特性和OpCode特...     

有临时免疫的恶性代码传播模型

研究恶性代码的一个带时延SIRS模型。恶性代码和反病毒软件的斗争使得易感的计算机被恶性代码感染,而被感染的计算机由于反病毒软件的安装具有免疫力,但恶性代码的进一步变种和升级让这些安装了反病毒软件的计算机仅仅具有临时的免疫功能。对所建立的模型,分析了平衡点以及平衡点的稳定性,得到恶性代码的传播阈值,同时还研究了时延传播的影响。该模型通过引入时延更真实地反映了恶性代码传播的长期状况。     

基于密码隔离的恶意代码免疫模型

基于访问控制的恶意代码防御模型对恶意代码实行的是逻辑隔离,它可能被旁路且防御效果受限于访问控制策略的有效性.本文基于密码学原理建立了一个恶意代码免疫模型,以克服逻辑隔离的脆弱性;定义了代码植入规则、保护规则和执行规则,实现代码存储和执行的安全;证明了在系统初态安全且代码加、解密密钥安全的条件下,任何时刻恶意代码都不会被执行和传播.