编程日记2013-11-26

最新推荐文章于 2021-02-26 22:25:06 发布
最新推荐文章于 2021-02-26 22:25:06 发布
阅读量672 收藏
点赞数
分类专栏: 编程日记 文章标签: android平台 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012558785/article/details/20696269
版权

Android取证实战—调查,分析与移动安全

 

3.4android安全模型(较多)

 

开发者的数字签名:当应用程序第一次安装时,android通过检查.apk文件确认此签名。

不同与SSL,不要求必须由一个证书权威机构进行签名(这就要求开发者必须保护好自己的秘钥);

在确认签名即同时可以验证了.apk文件后,android便可查验(了解)此应用程序对系统进行访问所需要权限的专用文件。

这一过程,可以归纳为由开发者声明了一份对于android系统所要求的访问权限的文件,该文件具有数字签名。在安装时,会有授权书出示给用户,由用户决定是否给予权限。

 

在实际中,相信大部分用户都快速地决定允许所有的访问权限以及应用请求。

 

(对于应用程序市场,android市场可以说是泛滥,加上版本的不同,很多市场平台对程序的安全审计要求不严,门槛很低,已至很多应用中都存在大量的恶意代码,例如恶意扣费等)

 

 

 

这里增加些书本外的内容:

相比较苹果唯一的官方应用软件程序 商店iTunes Store对于应用软件的严格审核,Android则是平台泛滥;

手机吸费软件主要以两种形式出现:第一种是手机厂商在定制手机时已将吸费软件提前植入并设置好吸费软件代码,甚至做好了上行代码和SP公司的计费单;另外一种是智能机软件以正常服务软件的形式安装在手机里,但里面其实包含了恶意扣费代码。

第一种形式中,手机厂商、SP和运营商有合作协议,“厂商每生产多少台手机,SP就会按照协议支付多少费用;而运营商和SP也有协议,通过上网产生的流量费用进行分成”。这类恶意扣费软件在联网时没有任何提示,只要一点开图标,SP的后台就开始扣费。

第二种形式的扣费同样非常隐秘,一旦智能手机中安装了恶意扣费软件,这些软件就会屏蔽掉运营商发送的收费提示短信,用户的话费就会在不知不觉中被扣掉了。

3,分析Android平台中安全问题严重原因

(1),由Android系统自身原因造成目前安全危机严重

Android的系统开放给开发者124项权限,但同时也带来很大的安全隐患。籍此,开发者可以自由的读取系统相关资源,并在用户不知情的情况下做恶意处理。

现有的Android系统的安全机制很简单,程序一旦安装后,无法改变程序的访问权限。唯一的方法是卸载,重新安装。

国内第三方应用市场审核机制不健全,在发展过程中过分关注数量而忽视了对应用质量和安全的把关。

 

手机ROM指的是存放手机固件代码的存储器(常说的刷机也就是指的是重新构建自己想要的ROM),比如手机的操作系统、一些应用程序如游戏等

 

回到本书:

 

例如,一个应用程序要访问用户人的联系列表,SMS短信以及网络,以便增加新的功能。这是授权范围内合理的请求。相反,如果只是一个改变你终端设备的背景图像,用户应该对该应用产生质疑,也许里面有恶意的程序。

 

 

综合来看,一个应用是否包含恶意代码,现阶段来说,对于用户是难以发现的(由于市场的不安全)。用户所能做的只是留个心眼,在对应用授权时。或者现知名的杀毒软件(如:腾讯手机管家,360安全卫士,LBE安全大师等)也是很好的工具,基本能查杀一半以上的病毒。

 

 

 

用户授权后,应用程序进行安装

 

Android安全模型的一个关键部分是每一个应用程序都被赋予一个唯一的LINUX用户ID和组ID,运行在自己的进程和Dalvik虚拟机里。(应用的独立性

 

在安装时,系统会创建一个专门的目录,用于存储此应用程序的数据(数据源),程序利用LINUX用户ID和组ID的相应访问权限对这些数据进行访问(访问方法

 

此外,此应用程序的Dalvik虚拟经使用应用程序的用户ID运行在自己的进程中。

 

这些关键的机制在操作系统层面上强制数据安全,因为应用程序之间不共享内存,访问权限及磁盘存储。即只能在自己的虚拟机范围内访问内存和数据。

 

 

当然,当一个企业中开发的多个应用之间可以共享数据,内存,进程,用户ID时,只要使用同一个数字证书进行多应用签名。例如(免费版升级为收费版)

 

 

Android安全模型,其结果是取证检查者没有简单的方法能够从终端设备上抽取核心的用户数据,可以说,,,,android的安全结构对于在应用程序之间分离和保护数据还是非常有效的。

 

 

 

 

 

JAVA类的心得:

多态内容:

关于类的向上转型()与向下转型(强制转换)

 

向上转型:Employee staff = newManager();  父类引用了一个子类对象(任何子类)

然后 不能讲一个父类引用赋予子类:如  Manager m = new Employee()原因很明显;

 

向下转型:Employee staff = newEmployee();;;;;;;Manager boss = (Manager)staff ;

目的使用Manager中特有的方法才需要强制转换;(还不如在父类中定义新方法。。。)

 

强制转换应注意2点:必须在继承层次内进行,再将父类转换成子类之前,应该使用instanceof进行检查。

If(staff instanceof Manager)

{

Boss =(Manager)staff;

}

 

抽象类

定义一个抽象类的对象变量时,只能引用非抽象子类的对象(这里类似向上转型);

Person p = new Student();

 

意,编译器只允许调用在类中声明的方法;

p.getDescription();     抽象类调用子类方法

getDescription该方法在P中为抽象方法,只声明未定义,所以P可以进行调用。同时注意,由于P是抽象类,所以变量p永远不会引用Person对象,故该方法也无法实化(根本就没有定义,但声明),所以会调用子类的getDescription().

 

食源客
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Python全栈日记-UDP编程
02-24
本文来自于csdn,先了解一下网络的基础知识和UDP编程。本文很有意思哦,最后模拟了微信聊天。第一部分:网络基础(1)电信网络(电话网),负责话音通信,也就是打电话、接听电话。(2)有线电视网络,主要提供视频...
Java基础
Abner's Technology Blog
01-27 269
笔记更新记录】2022.1.27 Java Annotations Annotations ,profile】Annotations, a form of metadata, provide data about a program that is not part of the program itself. Annotations have no direct effect on the operation of the code they annotate.The at sign character
Java 面向对象之 继承
xiaolangfanhua的博客
08-15 456
继承是对现实世界表示事物之间所属关系的一种描述,这种关系的最下层也就是末端是具体的事物,而上层是对下层的抽象,越往上层抽象性越强,例如人是一种抽象概念,男人是人这个大里面的一小(男人继承人),而阮英文是男人一个具体的对象(阮英文是男人的一个具体实例)。
c++函数只声明,不定义(不调用该函数)可以通过编译并运行
热门推荐
BIAN_2012的专栏
03-19 1万+
c++函数只声明,不定义,代码也没有该函数的调用,可以编译并运行(vs2015)。/* Author:gtkiller Date:2018/03/19 */ #include <iostream> #include <string> int Add(int a, int b) { return a + b; } int Sub(int a, int b); i...
第五章——继承
JonathanTang的博客
07-26 217
目录 、超和子 定义子 覆盖方法构造器 继承层次 多态 阻止继承:final 方法 强制型转换 抽象 受保护访问 Object:所有的超 equals方法 相等测试与继承 hashCode方法 toString方法 范型数组列表 访问数组列表元素 对象包装器与自动装箱 参数数量可变的方法 枚举 反射 Class 捕获异常 ...
编程日记----感想
bobopeng
10-16 890
今天晚上翘了课,一个人找了个自习室,拿出电脑,插上耳机,开始coding。 写一个涉及数据结构与算法的比较大的题,2个小时后两百多行代码出来了,代码不算太多,写的时间也不长。但是结合这段时间做项目的经历和以前的一些感想,多了一些感悟,记录下来,勉励自己。 1.只有达到一定的代码量才能驾驭某种语言,以至于才可以更快更有效率地去学习其他的语言以及项目的实践。 2.数据结构与算法才是程序设计真正表
vscode Go 编程踩坑日记-引包
weixin_41346635的博客
02-24 4075
刚入手Golang,真想直接把键盘甩给编译器,总结一下 import 遇到的坑 Go 语言自定义引包有两点需要注意: 1)包路径(这个可以忽略,代码直接输包名(util0)就会有提示): 2)全局方法首字母大写: ​​​​​​​ 3)首次 import github上的开源包,先进命令行执行 "go get url"下载​​​​​​​,再用直接输包名就有提示了 ...
vscode Go 编程踩坑日记-二维数组
weixin_41346635的博客
02-26 1220
矩阵在日常开发用的相当频繁,但是在 golang 使用二维数组却让我有点意外,如下: 写惯了 java 的我初始化一个二维数组会想当然地这么写: a := len(grid) b := len(grid[0]) // 数组长度必须为常量 var dp [a][b]int 这是经典动态规划问题-最短路径问题的一个片段,旨在比较各种编程语言执行相同代码的性能差距。 a, b 为给定路径矩阵 grid 的长宽,这里我要根据给定矩阵初始化动态规划的二维状态表dp。 然而极具设计艺术的 g...
Arduino成长日记2 - Arduino编程基础
General_s
03-22 5263
上一篇讲述了什么是Arduino以及各Arduino开发板的参数,本篇开始介绍开发环境搭建以及一些编程基础。 Arduino开发环境 开发环境即Arduino项目的编程环境 – Arduino IDE,Arduino集成开发环境(IDE)是一个在计算机上运行的软件,可供开发者编写、编译以及上传程序至Arduino开发板。其界面友好,语法简单,可以很方便的上传程序,使得Arduino项目开发变得...
小知识点日记 2013-1-17 至 2013-6-13
lonelyrains的专栏
06-13 2078
2013-1-17 15:36:43 1、IOS学习 1)从终端打开Finder:open . 2)从SCToolbarButton按钮check out工程报错:先从终端svn checkout,然后从SCToolbarButton更新 3)xcode打开看不到工程界面,只有后台进程时,选择window->welcome to Xcode进入 4)svn containing work
商业编程-源码-SF日记本.zip
06-21
商业编程-源码-SF日记本.zip
商业编程-源码-卡哆日记 2002 v1.14.zip
06-23
商业编程-源码-卡哆日记 2002 v1.14.zip
商业编程-源码-3鸟php日记本.zip
06-20
商业编程-源码-3鸟php日记本.zip
pyzmq-23.2.1-cp310-cp310-musllinux_1_1_x86_64.whl
最新发布
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示更有效地传达信息。
springboot769旅游管理系统.mp4
06-07
项目运行视频
数据库的阿萨德概述.txt
06-07
数据库的阿萨德概述.txt
grpcio-1.16.0-cp37-cp37m-macosx_10_9_x86_64.whl
06-07
Python库是一组预先编写的代码模块,旨在帮助开发者实现特定的编程任务,无需从零开始编写代码。这些库可以包括各种功能,如数学运算、文件操作、数据分析和网络编程等。Python社区提供了大量的第三方库,如NumPy、Pandas和Requests,极大地丰富了Python的应用领域,从数据科学到Web开发。Python库的丰富性是Python成为最受欢迎的编程语言之一的关键原因之一。这些库不仅为初学者提供了快速入门的途径,而且为经验丰富的开发者提供了强大的工具,以高效率、高质量地完成复杂任务。例如,Matplotlib和Seaborn库在数据可视化领域内非常受欢迎,它们提供了广泛的工具和技术,可以创建高度定制化的图表和图形,帮助数据科学家和分析师在数据探索和结果展示更有效地传达信息。
最专业的devops工程师学习路径,无论是专业devops,还是IT小白,都值得拥有
06-07
成为一名专业的DevOps工程师是一个持续学习和实践的过程。无论您是专业DevOps工程师还是IT小白,以下学习路径都是值得拥有的: ### 初学者阶段 1. **编程基础**:学习至少一种编程语言,如Python或Shell脚本编写,这将帮助您自动化任务和编写工具。 2. **操作系统和网络基础**:理解Linux系统和网络基础,这对于配置和管理服务器至关重要。 3. **版本控制**:掌握Git,这是现代软件开发不可或缺的工具。 4. **CI/CD工具**:熟悉Jenkins或GitLab CI等工具,以实现持续集成和持续部署。 5. **容器技术**:学习Docker和Kubernetes,以实现应用的容器化和编排。 6. **云服务**:了解AWS、Azure或Google Cloud Platform等云服务的基本操作。
competitive-companion
07-25
competitive-companion是一个浏览器扩展,用于解析竞技编程问题。它可以帮助竞技编程选手更方便地获取和解析问题描述。\[1\]该扩展的源代码可以在GitHub上找到。 #### 引用[.reference_title] - *1* [关于如何用vscode使用Competitive Programming Helper (cph)插件以及网页插件competitive-companion实现...](https://blog.csdn.net/weixin_57202646/article/details/123524506)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [Leetcode刷题日记11-15题篇](https://blog.csdn.net/dauiwsbd/article/details/119514689)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值