android全系统动态二进制分析--CopperDroid

最新推荐文章于 2024-08-22 15:47:00 发布
最新推荐文章于 2024-08-22 15:47:00 发布
阅读量2.1k 收藏 5
点赞数
分类专栏: 二进制安全 文章标签: android 二进制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gengzhikui1992/article/details/51299670
版权

1. 简介

CopperDroid通过直接监测System call,不但可以判断操作系统的一些动作(比如进程创建、文件创建),还可以判断进程内部的动作(比如短信发送,这种行为和android的对象有关),最终产生详细的、并且有意义的,有语义的行为信息。

2. android全系统动态二进制分析的难点

Android app的特性决定了我们很难依靠传统的基于system call的动态分析系统。比如:Android系统通过Binder进行进程内(IPC)和进程间(RPC)通信。仅仅依靠system call无法还原这些高级语义。
通过CopperDroid,我们证明了android app的行为,完全可以通过system calls构建出来。不管这些行为是来自于java还是来自于native code。我们只需要从system call向上构建IPC/RPC和android object等高级语义,就行了。
这个想法还是很具有挑战性的。

3. CopperDroid实现思路

CopperDroid使用了数据解码的技术,重新建立起复杂的android对象,这是CopperDroid的真实价值所在,包括:

  • Automatic IPC Unmarshalling
  • Value-based Data Flow Analysis
  • Behavioral Reconstruction

其它同类工具,比如:Droidscope依赖于具体的android操作系统和dvm;taintdroid则依赖于DVM。CopperDroid对android操作系统和dvm没有依赖,这使得它更加通用。
CopperDroid的整体架构如下图:
这里写图片描述

3.1 Tracking System Call Invocations

CopperDroid通过对QEMU进行intrument,根据swi指令,跟踪system call。

3.2 Behavior Reconstruction

程序的任何行为都可以通过system call和它的参数描述出来。CopperDroid通过对ioctl这个system call的payload进行分析,还原程序的高层语义,如下图所示:
这里写图片描述

参考:CopperDroid - Automatic Reconstruction of Android Malware Behaviors

网络安全研发随想
关注
专栏目录
Matlab读取二进制文件----fread
菜鸟进阶
08-02 5093
fread 读取二进制文件中的数据 页折叠 语法 A =fread(fileID) A =fread(fileID,sizeA) A =fread(fileID,sizeA,precision) A =fread(fileID,sizeA,precision,skip) A =fread(fileID,sizeA,precision,skip,machinefmt) ...
android字符串二进制,在Android中调用二进制可执行程序
weixin_32534669的博客
05-25 1283
前几天有需要在java代码中调用二进制程序,就在网上找了些资料,写点东西记录下。Android 也是基于linux的系统,当然也可以运行二进制的可执行文件。只不过Android限制了直接的方式只能安装运行apk文件。虽然有NDK可以用动态链接库的方式来用C的二进制代码,但毕竟不方便。至少我们可以调用linux的一些基本命令,如ls,rm等。第一种方法:Runtime.exec(String[] a...
动态二进制分析与插桩原理介绍(PDF)
12-02
老外的演讲稿(PDF),主要是介绍了二进制插桩的原理与实现,然后举了一些例子来加以讲解分析。英文太渣的童鞋就自己翻译下再阅读吧~~~
AndroidManifest二进制文件格式分析
11-10
AndroidManifest 二进制 文件格式 分析
android平台的特征简答,基于Android平台的二进制特征方法的研究
weixin_35775807的博客
06-04 96
摘要:随着移动设备的迅速普及,图像数据规模的增大,传统的特征方法使用高维度浮点型的特征,需要大量的的存储空间和计算时间,因此,能够快速计算,快速匹配,高效存储的二进制特征成了新的研究热点. 本文具体研究BRIEF,ORB,BRISK,FREAK这四个二进制特征方法.首先,从特征检测,特征描述和特征匹配方面,深入研究二进制特征的通用特性,包括采样模型和鲁棒特性等.然后,选取SIFT,SURF这两个传...
java安卓辅助源码-DBI-Stuff:关于动态二进制检测和动态二进制分析的资源
06-04
java安卓辅助源码 DBI 跟DBI(Dynamic Binary Instrumentation:动态二进制插桩)逆向有关的资源收集 目录 -> -> -> -> -> -> -> DynamoRIO DrMemory 工具 [1425星][23d] [C] Memory Debugger for Windows, Linux, Mac, and Android 文章 2016.09 [securitygossip] 2014.01 [dustri] 工具 DynamoRIO [1265星][23d] [C] Dynamic Instrumentation Tool Platform 新添加的 [1394星][22d] [C] A fork of AFL for fuzzing Windows binaries [253星][7m] [C] Reverse engineering tool for automatic structure recovering and memory use analysis based on DynamoRIO and Capstone [123星]
Android 通过二进制运算原理优化内存
Traveler
05-22 1066
Android内存优化为什么要进行内存优化?从Android手机开始发布,卡顿一直是这个系统的软肋,这也是用户最反感的地方之一。2GB运行内存的Android系统可能只相当于1GB IOS的系统内存。这其中有开发者滥用权限和后台的原因也有设计者本身设计所存在的漏洞,现在很多开发者提倡遵守《android绿色应用公约》。不滥用内存、权限及后台。但是这还不够,因为每个Android应用能用到的最大运行内
CopperDroid: Automatic Reconstruction of Android Malware Behaviors 阅读笔记
犀牛划水
05-18 3255
问题:Android app的特性决定了我们很难依靠传统的基于systemcall的动态分析系统。比如:Android系统通过Binder进行进程内(IPC)和进程间(RPC)通信。仅仅依靠systemcall无法还原这些高级语义。 解决:设计了CopperDroid,基于虚拟机的动态系统CopperDroid通过直接监测System call,不但可以判断操作系统的一些动作(比如进程创建、文
MATLAB读取二进制文件------fread
菜鸟进阶
08-11 1万+
fread: 读取二进制文件中的数据 语法: A =fread(fileID) A =fread(fileID,sizeA) A =fread(fileID,sizeA,precision) A =fread(fileID,sizeA,precision,skip) A =fread(fileID,sizeA,precision,skip,machinefmt) [A,c...
besnew-超强二进制文件查看工具
03-21
支持16进制,10进制,二进制,8进制查看。 可自定义列数,独特码查找、不定帧长查看。方便数据帧分析。 免安装。 使用时可能需要先使用管理员权限启动。 注意事项: 1,一定要解压出来再用。 2,默认需要先打开bes,...
有趣的二进制 完整版
07-30
有趣的二进制:软件安与逆向分析
进制转换--2进制转16进制
欢迎来到扣子不会飞的博客!
04-02 3753
题目描述 二进制数据是用0和1两个数码来表示的数.它的基数为2,进位规则是“逢二进一”,借位规则是“借一当二”,由18世纪德国数理哲学大师莱布尼兹发现. 十六进制(简写为hex或下标16)在数学中是一种逢16进1的进位制.一般用数字0到9和字母A到F(或a~f)表示,其中:a~f表示10~15,这些称作十六进制数字. 请将给定的二进制...
自动化二进制分析技术 (State of) The Art of War: Offensive Techniques in Binary Analysis
doudoudouzoule的博客
03-09 5889
本篇文章翻译自:(State of) The Art of War: Offensive Techniques in Binary Analysis论文下载链接:http://www.cs.ucsb.edu/~chris/research/doc/oakland16_sokbin.pdf文章主要讲解的是常见的二进制分析技术,作者对各类技术进行了实现与评估,开发了angr二进制检测框架。里面对各类技...
android 二进制的应用
weixin_30730053的博客
02-20 84
在处理一些状态类型的参数时用二进制来优化内存。(消耗cpu) 或运算符整合值 与运算符取值 与非剔除值 eg: private static final int a=0x0001;//0001 private static final int b=0x0002;//0010 private static final int c=0x0004;//0100 ...
android 二进制_在多版本的Android项目中高效配置二进制依赖项。
weixin_26739079的博客
08-21 438
android 二进制One year back while working on a project, we were tasked to create a separate application for a specific country (China). It was suppose have the same functionality of the main application ...
动态二进制插桩原理与实战
qq_42882717的博客
03-30 3217
二进制插桩~说点什么插桩是啥为啥要插桩源代码插桩二进制插桩如何插桩两种主要方式和三种执行模式方式1:方式2:第一种模式:第二种模式:第三种模式: 说点什么 虽然不是主要做这个的,但是安工程师的知识面太大咯, 学习其它科目的知识有助于锻炼思维,所以记一下学习过程 插桩是啥 动态二进制插桩(dynamic binary instrumentation ,DBI)技术是一种通过注入插桩代码,来分析二进制应用程序在运行时的行为的方法。 动态二进制插桩技术,可以在不影响程序动态执行结果的前提下,按照用户的分析需求,
动态二进制插桩的原理和基本实现过程(Pin/DynamoRIO/Frida)
热门推荐
海阔天空
04-26 1万+
英文原文文http://deniable.org/reversing/binary-instrumentation 译转自https://www.4hou.com/binary/13026.html和https://www.4hou.com/binary/13116.html 翻译并不 感谢翻译作者luochicun 目录 前言 Pin DynamoRIO Frida 前言 ...
二进制插桩】基于DynamoRIO的代码插桩方案
最新发布
weixin_42932294的博客
08-22 998
一种在程序的二进制代码中插入额外代码的技术,用于监控、分析或修改程序的行为。
软件测试-二进制插桩
勤奋的小猪
09-08 6104
关键词:插桩,软件测试     二进制插桩作用 1.        程序运行时拦截,在运行时向程序注入我们自己的代码。 2.        调试程序 3.        Tracing and logging, 分析函数调用关系图,api覆盖数据。 4.        提取数据,从程序中提取一些感兴趣的关键data。 5.        改变程序行为,如程序打补丁,模拟数据(emu
画出十进制--二进制--十六进制转换图,并标注转换方法
06-24
在创建一个十进制到二进制再到十六进制的转换图时,我们通常会使用流程图或者表格形式来清晰地展示每个数字如何从一种进制转换到另一种。这里我会简要描述这个过程并给出一个基本的示例: 1. **十进制(Decimal)**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值