【电子数据取证】Android APK静态分析与动态分析

最新推荐文章于 2024-09-09 00:01:00 发布
最新推荐文章于 2024-09-09 00:01:00 发布
阅读量768 收藏 17
点赞数 11
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/longxintec/article/details/141716999
版权

文章关键词:电子数据取证、手机取证、安卓取证、云取证、APK分析

当前手机用户量增长越来越快,尤其是中国,手机用户量已超10亿,即大约75%的中国人拥有自己的手机。正因为手机越来越智能化,携带也方便,因此许多人将隐私信息存储在手机上,且在多处场景下无形地公开化,而这些信息正是许多病毒作者所热衷的。在移动终端上的安全也将比电脑终端越来越重要,移动安全也已成为安全领域的另一新战场。

Android常见恶意软件行为

1、恶意扣费:病毒在后台发送扣费短信、拨打电话进行恶意扣费,同时会对服务商发回的服务短信进行屏蔽,破坏系统的正常功能,同时对用户造成资费损失;

2、隐私窃取:病毒通过后台服务窃取用户隐私信息,包括通话录音、短信内容、IMEI、IMSI、地理位置、通讯录、浏览器历史记录等信息,然后上传到黑客控制的远程服务器;

3、远程控制:病毒在后台开机自动,并与C&C服务器进行通讯,并从中获取加密的指令,解密后执行相应的恶意操作,也有通过SMS进行控制,构造出botnet,从而大规模地远程控制用户的手机。比如之前著名的AnserverBot病毒,就是通过新浪博客进行远程控制,也是首个利用第三方站点作为C&C服务器的Android病毒;

4、系统破坏:病毒通过系统漏洞进行ROOT提权,并执行高权限操作,在后台静默安装子程序包,或者通过伪造成杀毒软件、提示更新等方式欺骗用户安装第三方恶意程序。病毒可能会更改网络状态、APN,或者替换系统文件、添加恶意书签、屏蔽运营商短信、中止杀软进程等方式进行系统破坏。

Android沙盘原理

本文主要介绍一款Android恶意软件行为自动分析平台——MalDroidAnalyzer,其主要结合静态分析和动态分析技术来实现恶意软件行为自动化分析。MalDroidAnalyzer是笔者使用Perl语言编写的,用于辅助分析Android软件行为,提高恶意软件的分析效率。

首先,MalDroidAnalyzer直接以apk文件作为输入,整个分析过程主要分析两部分:静态分析和动态分析。静态分析会通过反编译apk文件,分析其中的权限、组件、敏感函数等信息,这些可以弥补动态分析中因未触发恶意行为而漏掉的行为。动态分析主要通过在模拟器运行Android软件,然后再对软件进行一些操作以触发尽可能多的恶意行为,接着输出到log中,再通过脚本对日志进行分析。由于Android系统默认情况下,一些输出日志里面缺乏我们所需的信息,比如发送短信时,只在log中记录手机号,而没有短信内容,此时就需要通过修改Android源码或者反汇编system.img中的相关类或者库进行修改,可以在短信发送函数sendTextMessage(位于system.img中的framework/framework.jar)里面添加短信内容的日志输出:

一、静态分析

沙盘MalDroidAnalyzer主要在电脑端对APK进行静态分析,通过apktool先进行反编译处理。正常的APK文件主要是以zip格式进行压缩捆绑的文档,里面主要包含AndroidManifest.xml、Classes.dex和res等文件。在反编译后会得到明文的AndroidManifest.xml,里面定义各组件、组件权限和启动位置、软件基本信息等,通过对该xml文件的分析,可以获取到软件名称、包名等基本信息,同时对包含的各个组件进行分析,特别是Broadcast Receiver组件的触发条件,可能就包含有开机自启动项用于启动后台服务,这些在报告中都会被高亮显示出来。

在动态分析过程中,可能由于恶意行为的时间限制,或者模拟器的功能限制(比如蓝牙、Wifi),导致病毒的一些恶意行为无法触发。此时,我们通过检测Android软件调用的API函数可弥补这里的不足,比如发送扣费短信通常会调用sendTextMessage()函数,执行外部命令可能会调用java.lang.Runtime.exec()。下面是收集整理的一些敏感API函数列表:

二、动态分析

动态分析是Android沙盘的主要功能,主要使用Google Android模拟器作为沙盘环境,同时以前面修改过的system.img来启动模拟器,以在操作过程中生成我们所需的日志信息:

这里的root-system.img是经过root的,默认情况下,Android模拟器是没有root权限的,需要自己手工修改。这样在一些需要root权限的病毒才能正常的模拟器运行,以触发更多的恶意行为。

启动模拟器后,利用adb安装APK到模拟器上。业界多数沙盘是通过monkey去自动操作软件以触发恶意行为,但这种做法过于盲目,不容易触发恶意行为,同时当操作过于频繁时容易导致程序崩溃,因此在MalDroidAnalyzer中选择由用户自主手工操作,操作时间由用户自己把握。手工操作可能更有利于触发恶意行为,因为病毒作者通常会更多地依赖用户的操作习惯来触发恶意行为,比如点击、拨打电话等行为。

生成日志后,MalDroidAnalyzer会去分析日志,生成统计图数据,然后生成报告。下面是一些真实病毒样本的恶意行为记录:

关于apk文件及MalDroidAnalyzer的工作流程如下图所示:

窃取通讯录:

通话录音:

Root提权:

龙信科技
关注
  • 11
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
2022年第四届长安杯电子数据取证比武WP
ren_fkai的博客
02-29 1592
2022年第四届长安杯电子数据取证比武WP
Android 取证实战调查、分析与移动安全.pdf
12-03
Android取证实战调查、分析与移动安全》这本书聚焦于Android平台上的取证技术,涵盖了从数据提取到安全分析的全过程,旨在提升读者在移动设备安全领域的能力。Android系统的广泛使用使其成为了恶意软件和网络攻击...
电子数据取证Android APK分析
知远同学的博客
04-22 2384
当打包应用程序时,AndroidManifest.xml 文件会自动生成,并且会被打包进 APK 文件中。当你安装应用程序时,Android 系统会读取这个文件,以确定应用程序的基本信息和权限要求。开发者可以在 AndroidManifest.xml 文件中声明应用程序使用的权限,例如访问网络、访问文件、访问相机等。在应用程序安装时,用户会看到这些权限的描述信息,然后决定是否允许应用程序使用这些权限。
APK静态分析取证角度)——理论部分
currify的博客
07-29 1861
APP是指应用程序(Application),是指能够在手机、平板电脑、电脑等移动设备上运行的软件。APP可以帮助用户进行各种功能操作,如社交媒体、游戏、购物、学习、工作等。用户可以通过应用商店或者在线下载安装APP,然后在设备上使用它们。APP的种类非常丰富,能够满足用户不同的需求和兴趣。
APK静态分析取证角度),网络安全开发的基础
2401_83977626的博客
04-03 681
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
APK分析
人若有志,就不会在半坡停止。
11-12 3141
静态分析(需要专业知识和逆向分析能力) 动态分析(可以依靠专业的取证设备实现,操作简单,也可使用各类抓包工具进行抓包分析分析时间(静态分析涉及脱壳等复杂操作,花费时间难度大) 恶意apk分析流程 获取APK(手机大师等取证软件的取证结果直接导出涉案APK。 手动通过ADB命令导出涉案apk 通过下载链接下载涉案apk) 动态 (借助DC–6100魔剑移动互联网APP检测系统等设备做动态分析,接住抓包软件) 静态 (使用相应工具进行脱壳,对脱壳后的apk进行分析) 获取域名或IP (通过动态分析结合静态
取证专栏——手机&APK&二进制
weixin_63576152的博客
09-06 1562
(5)IDA解析后的数据在伪代码界面是小端序存储的,如果看到一长串16进制数据,那么很可能是多个16进制数据合在了一起,并且顺序是反的,比如v1 = 0xE45D8CAB,真实的数据应该是v1[0] = 0xAB,v1[1] = 0x8C,v1[2] = 0x5D,v1[3] = 0xE4。①普通恶意:比如给某个路径下的文件进行字节加密,导致文件不可正常显示,这也是最经典的,对于这类恶意程序,说到底就是二进制修改,写个解密脚本就能恢复,关键就是找加密逻辑,简单的byte[i]++也有,难的密上加密也有。
AKP分析(基于取证
cppuHsir的博客
08-14 1233
APK分析,嘿嘿嘿
Android逆向分析概述
along
06-04 4327
学习逆向的初衷是想系统学习Android下的hook技术和工具, 想系统学习Android的hook技术和工具是因为Android移动性能实战这本书. 这本书里用hook技术hook一些关键函数来计算关键函数的调用参数和调用时长, 从而确定性能问题发生的位置和原因. 但目前没有比较系统的讲解hook的书籍, 所以就系统的了解下逆向分析. 在读了姜维的Android应用安全防护和逆向分析和丰生强的...
电子数据取证取证图片EXIF数据揭晓位置秘密
longxintec的博客
07-11 572
二是使用jadx-gui bat工具(前提是配置好JAVA环境),该工具操作非常简单,反编译能力强,代码结构友好,只要将需要反编译的APK文件拖到工具界面中即可反编译,它将APK的XML资源也一并反编译,jadx能让我们在找到关键代码的同时,找到在哪些地方调用或者引用了它,还能一键导出Gradle工程,搜索功能也非常方便,而且支持多平台操作。经代码分析,得知该APK文件主要功能为获取用户的通讯录、短信,将数据回传至木马携带的邮箱地址,实时拦截短信,并将短信回传至木马携带的手机号。
手机APP逆向分析电子数据取证工作中的应用.pdf
08-26
动态分析法,主要是指在虚拟机或者沙箱环境中执行APP程序,在执行过程中,取证系统会完整的记录恶意程序的所有恶意行为。沙箱按照空间类型被分为用户空间沙箱以及内核空间沙箱,典型的内核空间沙箱如TainDroi等。 ...
Android手机APK程序逆向分析取证.pdf
09-21
本文对 Android 手机 APK 程序逆向分析取证进行了总结,讨论了 APK 的结构、APK 的提取方式、逆向工具分析APK 获取的权限等,通过实际案例,从静态分析动态分析两方面研究了手机 APK取证方法,为网络诈骗案件...
基于静态动态分析Android短信拦截马自动分析取证方法研究.pdf
09-21
针对Android恶意代码,尤其是短信拦截马的分析取证,通常采用静态分析动态分析两种方法。静态分析是指不运行程序,直接对二进制或源代码进行分析,以获取代码结构、功能和可能的行为信息。这种方法可以快速识别...
Android恶意代码——木马APK分析.pdf
09-21
本文通过对一线公安机关办理的相关恶意窃取隐私案件中的 APK 样本进行反编译,对木马部分源码进行静态分析,掌握犯罪嫌疑人的手机号码及电子邮箱等个人信息,并掌握木马取证的恶意操作,如读取短信、监控短信收发、...
手机玩机常识-----小米系列机型 Android 15 更新计划 那些机型将会更新安卓15
mg668的博客
09-05 605
但是目前已经有几款机型有尝鲜版安卓15。那些机型在更新安卓15计划中。那些机型在更新安卓15计划中。这些机型可能不会更新安卓15。
安卓model转鸿蒙ets
琼小资的专栏
09-03 417
现在的android studio提供了java自动转kotlin的实现,非常方便。那android的java和kotlin有没有可能转成鸿蒙artts呢。先从最简单的model转换开始,把kotlin的model转成ets。本质上都是字符串文件,讲道理应该是可行的。
Android13_SystemUI下拉框新增音量控制条
最新发布
十年饮冰,难凉热血
09-09 578
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
android kotlin 数据类 data class
花花鱼的专栏
09-08 281
android kotlin 数据类 data class
电子数据取证:笔记本硬盘转换与分析指南
"电子数据取证办案速查手册,涵盖了从硬盘转换到现场...这份电子数据取证办案速查手册是一部全面的工具书,它为执法人员和网络安全专家提供了从现场处理到数据分析的一站式指导,确保了电子取证过程的专业性和效率。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值