前面介绍了一些apk的分析工具,今天介绍一个“Android恶意软件的评分系统”,这个系统的名字为“Quark Engine”夸克引擎。它将人类的犯罪的五个阶段引入了Android恶意程序的检测过程,形成一套打分机制,着重于提高恶意软件的逆向工程质量。
这是一个台湾工程师开发的打分系统,在它的阐述中引用了台湾刑法作类比,基于犯罪发展的五个阶段提出了恶意行为实施的五个顺序理论,即:1-请求许可,2-本地API调用,3-本地API的组合,4-本地API的调用顺序,5-处理相同寄存器的API。系统不仅定义了恶意活动及其阶段,而且还为恶意软件的威胁程度制定了权重和阀值。
恶意软件随着新技术的发展而不断进化,也为逆向工程带来了困难。在业界,模糊处理成为了最常用的技术之一,在这里工程师提出了一个Dalvik字节码加载器与恶意软件的顺序理论,用来忽略某些情况下的混淆。
Dalvik字节码加载器由“查找本地API交叉引用和调用序列、跟踪字节码寄存器”组成。这些功能的组合不仅可以忽略掉混淆,而且符合这款恶意软件打分系统的设计。
一、下载网址
https://github.com/quark-engine/quark-engine
二、安装过程
$ git clone https://github.com/quark-engine/quark-engine.git
$ cd quark-engine/quark$ pipenv install --skip-lock
$ pipenv shell
三、使用方式
$ quark --help
有三种方式:
1、摘要方式
quark -a ygj.apk -r rules/ --summary
2、详细方式
$ quark -a ygj.apk -r rules/ --detail
3、调用图方式,以后版本提供;这里只是看看图解解馋:
4、Qurk 引擎将很快提供真正的恶意软件的分析报告!先提供个手机版的报告链接,自己看:
https://quark-engine.github.io/reports/report_5751cfdf656f2a5ee021940c5448a77e5b921d1510d2abfa520a57d02c74821e0f5c2e4935bea2554c440072d32fc22bb8317a85dabbbc7c9cca9d1c077793c2.html
另外,夸克将发布新的检测规则!