软件行为监控系统简介
定位软件的恶意行为,一般是通过动态和静态两个方面来入手。静态分析即分析软件的汇编代码和java 字节码并定位其恶意代码。动态分析是直接运行软件并通过监控系统捕捉其行为,与静态分析的结果相印证,这种方式能有效确认应用软件的行为。软件行为监控系统主要用于动态分析阶段,可全面监控手机上的敏感行为并实时记录到监控日志中。
Android 平台软件行为监控系统设计
Android 平台上的恶意软件与传统的PC 上的恶意软件的特点有很大的不同,一方面因为手机上的恶意软件与传统的电脑病毒产生的危害并不一样,手机相对于电脑具有更多的用户隐私信息以及直接涉及用户的账单费用;另一方面,Android 平台采用了基于Linux 系统的文件访问控制模型和基于Linux之上的Framework 权限访问控制的安全模型[7]。本文描述的软件行为监控系统则是基于这一套安全模型之上的一套软件行为监控系统。
Android 平台的Binder 通信机制
Linux 系统采用的进程间通信方式主要有:共享内存、管道、信号量和Socket。而Android平台进程间通信采用一种新的IPC 机制,来满足系统对通信方式,传输性能和安全性的要求,这就是Binder机制[8]。Binder机制采用Client-Server 通信方式[9],采用了代理设计模式[10],系统进程作为Server 提供相机拍照,短信收发,拨打电话,获取地理位置信息等服务;普通应用程序作为Client 向Server 发起服务请求,调用这些服务。Android 系统中,为了向应用开发者提供丰富多样的功能,大量地采用了这种通信方式,诸如媒体播放,视音频捕获,以及各种让手机更智能的传感器(加速度、方位、温度、光亮度等)都由不同的Server 负责管理,应用程序只需作为Client与这些Server建立连接便可以使用这些服务,程序设计者花很少的时间和精力就能开发出令人眩目的功能。
结论
随着智能手机的快速发展,智能终端上的恶意软件也越来越多。而Android 平台作为目前市场上占有率最高的手机平台,成为杀毒厂商和黑客关注的重点。对于杀毒厂商来讲,如何快速精确地定位软件的行为成为一个亟待解决的问题。
本文首先提出了Android 软件行为定位的问题,然后给出了基于Android 平台的软件行为监控系统的设计,详细的描述了软件行为监控系统与原生系统的关系以及软件行为监控系统的技术架构,详细地描述了软件行为监控系统各个模块的功能设计。通过演示软件行为监控系统的实际监控结果,证明了监控功能和系统设计的可行性。该系统不需要重新编译Android 系统源码,只需要在Android 手机上安装监控软件并授予Root 权限即可。
但是该系统仍有不完善的地方,例如由于Android 机型比较多,机型之间具有较大的差异,并且Android系统的版本也比较多,该系统目前只在主流手机厂商的Android2.2 版本到Android4.0 版本上进行了测试。未来的软件行为监控系统主要朝兼容性,健壮性发展。首先,还需要大量的针对不同机型不同版本Android 系统的测试,其次,需要考虑进一步优化中间检测的逻辑,保证不影响正常的行为触发。
(责任编辑:悠悠论文网)
1350
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
