本文收集了信息安全顶会中关于Android恶意软件分析及隐私保护的论文,详细介绍了Mobile-Sandbox、TaintDroid、DissectingAndroidMalware、DetectingPassiveContentLeaksandPollutioninAndroidApplications等研究,并探讨了恶意软件的特征、动态分析过程以及如何有效监控和防止隐私泄露。
本文收集了信息安全顶会中有关Android方面的论文,点击文章标题就可以直接跳转到该论文的下载。
转载请注明出处:http://blog.csdn.net/chichoxian/article/details/17919095
1. Mobile-Sandbox:Having a Deeper Look into Android Applications
文章语言:英文
文章的摘要:
[摘要]
随着Android平台上恶意代码的激增,为了使安全工作者能够提高对恶意代码的分析效率,文章介绍了一个自动化的分析工具——Mobile SandBox。该工具通过两种方式来对恶意代码进行分析:静态分析和动态分析。(1)通过静态分析来指导动态分析,扩大动态分析的执行范围。(2)动态分析用于对native层的API进行监控和日志分析输出。
【文章的大致内容】:
[静态分析]
1. 通过VirusTotal 数据库进行特征值匹配
2. 解析AndroidManifest文件,提取敏感权限
3. 分析samli-code查找敏感的API
4. 提取App需要的定时器和广播
5. 生成包含上述内容的xml文件
[动态分析]
动态分析分为了三部分,监控了三个部分的代码:
1. DroidBoxfile 用于记录java层的行为
2. ltrace logfile 用于记录native C层的行为
3. PCAP log 用于监控3G网络
[总结]
该系统完成的任务:
1. 启动模拟器初始化环境
2. 使用adb安装app
3. 启动app
4. 使用ltrace 关联Dalvik VM
5. 使用monkeyrunner进行行为触发
6. 增加额外的事件比如说打电话发短信之类的
7. 再次使用monkeyRunner做行为触发
8. 收集三个日志文件
2. TaintDroid:An Information-Flow Tracking System for Realtime Privacy Monitoring on Smartphones
论文语言:英文
TaintDroid是一个动态分析的工具,实现的是污点跟踪,可以用于检测Android手机用户的隐私数据跟踪
文章来源:InOSDI,pages1–6,2010
【OSDI简介】:按照USnews的分类,Computer Science被分为四个大类:AI, Programming Language, Systems, Theory.。毫无疑问,Systems是这四个大类中最要紧也是最大的一个。根据citeseer在2003年5月排出的所有计算机学科会议和期刊的影响因子排名[1],在前十位中的属于Systems的有7个,在前15个中占据了11个。Systems的内容十分广泛,包括OS, Architecture, Network等等。在citeseer排名中,最好的会议是OSDI,这是一个收录范围相当广的会议。提到OSDI,就得提到排名第11的另一个会议: SOSP。这两个是OS最好的会议,每两年开一次,轮流开,比如今年是OSDI,那么明年就是SOSP。由于这两个会议方向很广,因此影响很大。除此之外,在OS方向还有一些
方向比较专一,但是水平仍然很高的会议,比如FAST就是File and storage system最好的会议,NSDI偏重Networked System Design and Implementation,2004年才第一次,USENIX Sponsor,号称要办成Network最好的System的会议。RTSS是Real system最好的会议。在Architecture领域,最好的会议是ISCA,HPCA和MICRO。还有像ASPLOS则是OS, Architecture, Programming language三个领域交叉的最好会议,近年来貌似Architecture霸占。可以说Systems的会议非常多,一直是计算机的热门领域。本文仅仅针对OSDI和SOSP这两个最top的OS会议,尤其是OSDI来了解一下这个最顶级的会议都是哪些人物,哪些组在上面发表论文,这些牛人现在又在研究什么,我们中国人在这个会议上又有什么表现。
【会议历史】
OSDI 一个年轻的会议,它的全称是Operating Systems Design and Implementation。它是由USENIX主办的。USENIX是一个于1975年成立的Advanced Computing Systems Association。它所举办的都是一些非常好的会议,比如前面提到的OSDI,FAST等等。OSDI是USENIX于1994年创办的,基本上是两年一次,至今为止举办了7届(94,96,99,2000,2002,2004,2006)。每届会议举行3天,早期的OSDI每届收录20篇左右的文章,从2002年开始稳定在27篇,一般是每个小方向有3篇文章。
而SOSP是一个相对古老的会议,它是由ACM下属的SIGOPS (the ACM Special Interest Group on Operating Systems)于1967年创办的。这个会议也是两年一次,迄今为止已经举办了20届,每届收录的文章在20篇左右。
关于更多有关OSDI的详细介绍:(请点击)OSDI, SOSP与美国著名计算机系的调查
[摘要]
现今,智能手机操作系统不能有效的提供给用户足够的控制权并且很清楚的了解到第三方的应用程序是如何使用其的隐私数据。我们使用了TaintDroid来阐明这个缺点,其是一个高效的,全系统动态污点跟踪和分析系统可以同时跟踪对个敏感数据来源。TaintDroid利用了Android虚拟机的执行环境提供了一个实时的分析。TaintDroid仅需消耗绑定的CPU为基准14%的性能开销对于第三方的应用程序的开销完全可以忽略不计。通过使用TaintDroid监控了Android第三方比较流行的30款软件的行为,我们发现在其中的20款软件中就有68个例子是误用用户隐私信息的。使用TaintDroid监控敏感信息有助于手机用户在使用第三方应用时获得很多的信息对于智能手机有价值的输入对于安全公司也可以有效的寻找出有恶意行为的软件。
3.Dissecting Android Malware: Characterization and Evolution
论文语言:英文
文章简介:蒋旭宪先生的文章,文章描述了作者在2010年之间收集到的1260个样本将其分为了49个家族病毒。其中还介绍了恶意代码所具有的恶意行为
文章根据统计的角度来进行了详细的分析,触发恶意软件的行为时需要的条件等。如何进行分类统计的。不同的样本之间有哪些恶意行为。
同时还介绍了恶意代码编写者是怎么获利的等等。
4.Detecting Passive Content Leaks and Pollution in Android Applications
文章语言:英文
[论文框架]
1.描述了content provider存在的设计缺陷
2.研究的主要目的
3.研究的主要方法
4.几款典型的使用的content provider程序的分析
5.相关工作和总结
主要原因:缺少必要的 权限控制。除了本 程序可以利用content provider其他的程序也可以起提供的接口对数据库进行访问
5.AppIntent:AppIntent: Analyzing Sensitive Data Transmission in Android for Privacy Leakage Detection
文章语言:英文
文章来源:2013年ACM CCS
作者信息:Zhemin Yang 杨珉 Yuan Zhang Guofei Gu(研究领域:网络安全,移动安全,系统安全等等)Ning peng(和蒋旭宪大牛一个学校的,怪不得人家这么厉害看来是有学术积淀的)XiaoYang Wang
文章中应用的会议以及WorkShop:CCS,S&P,NDSS,USENIX security(如果不知道是什么等级的会议,请猛戳),OSDI,ESEC、SIGSOFT,PLDI,POPL,ACM WiSec,SPSM,ISSTA,FSE
【文章摘要】
由于智能手机常常会存储用户的很多隐私信息,吸引了恶意软件的开发者在Android的应用程序中嵌入恶意代码来窃取用户的隐私数据。在目前的研究状况下,是可以很容易检测到Android手机是不是有敏感数据的传播。但是,敏感数据从的传播并不一定会造成用户的隐私泄露。一个很好的指示就是这些敏感数据的传播用户是不是知道的。在不是用户操作并且意识到这些敏感数据的时候这种情况很有可能就会是隐私泄露。文章要解决的问题就是:判断这些敏感数据的传播是不是隐私泄漏。为了解决这个问题,研究人员开发了一个分析工具叫做AppIntent(这个名字是怎么取得呢?我觉得可以顾名思义,Android之间的信息传递时通过Intent这个东西来进行,通过Intent来启动Activity以及Broadcast Receiver文章重点关注了这两个组件。因为其实大部分的恶意软件都是通过触发这两个组件完成恶意行为的。而且为了减少数据的输入,做一些标记工作减少检测的复杂度所以文章之关注了这两个组件。通过Intent标记,确定输入)通过AppIntent帮助分析人员有效的区分是否这些传播数据是用户意图或者不是。
【文章概述】
这篇文章虽然是叫:分析Android敏感数据传播中的隐私数据泄露。但是实质上的工具就是在做行为触发。如果你的研究工作和这个有关,那么你可以参看以下这篇文章,是非常有价值的。研究人员确实做了大量的工作,文章写得也很严谨。在这里主要用到的就是Symbolic execution技术。首先静态分析,提取出可行额路径之后,对这些行为进行触发。在这里主要是对GUI的控件进行行为触发,使用到的工具就是IntrumentationTestRunner。这个工具有一个缺点就是对于网络输入时无能为力的,所以这也是这个系统的弊端,对于网络的输入是无法做检测的。文章对750个恶意软件(2010年蒋旭宪收集的1490个样本49个家族中选取的750个,如果需要这些样本可以给我发邮件,*^_^*,很乐意能够帮到您。不过个人觉得这些样本确实是很老的,行为也不是很突出,要玩就要玩点新的 )和Google Play上面排行前1000个的样本进行了实验。
【文章涉及到的参考论文】
有关隐私泄露如何检测的文章:
未完待续。。。
扫一扫
1050
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
