android手机木马的提取与分析

android手机木马的提取与分析

Android手机木马病毒的提取与分析 为有效侦破使用手机木马进行诈骗、盗窃等违法犯罪的案件，对手机木马病毒的特点、植入方式、运行状态进行了研究，利用dex2jar、jdgui等工具软件查看apk文件源代码。结合实例，讲述了如何提取关键代码与配置数据，并对手机木马病毒的危险函数、启动方式、权限列表进行分析，证明了该方法的可行性，提取了违法犯罪行为的关键线索服务于侦查办案和证据固定。智能手机给用户带来便利的同时，手机恶意软件也在各种各样的违法活动中充当了重要角色，其中手机木马病毒犯罪日渐加速化、产业链化、智能化和隐藏化。 Android手机木马病毒主要完成植入木马、运行病毒、监控手机、盗取信息、转走钱财。他们伪造成“XX照片”、“违章查询处理”、“开房记录查看”、“XX神器”等易于被人点击安装的方式出现，这种恶意短信中附的网址，其实就是诱导下载一个手机软件，安装后手机内并不会显示出该应用，但其中的木马病毒已植入，后台会记录下机主的一切操作，可以随时监控到手机记录。若机主登录网银、支付宝、微信红包等，银行卡账号、密码就都被泄露了，黑客能轻易转走资金。此类案件近期呈现高发的趋势。面对各种各样善于伪装隐藏的手机木马病毒，如何提取分析，并固定证据成为一项重要工作。本文从

Android手机木马病毒的特点入手，讲述了如何提取分析关键代码与配置数据，从而分析出违法犯罪行为的关键线索服务于侦查办案和证据固定。诈骗、盗窃的目标不变，那就是诱导点击安装短信的链接网址中的木马。木马植入到目标系统，需要一段时间来获取信息，必须隐藏自己的行踪，以确保木马的整体隐藏能力，以便实现长期的目的。主要包括本地隐藏、文件隐藏、进程隐藏、网络连接隐藏、内核模块隐藏、通信隐藏、协同隐藏、日志过滤和Rootkit模块的隐藏。然后实现了Android系统下木马攻击的各种功能，主要有删除SIM卡和手机里的通讯录、删除SD卡里的文件和上传文件到电脑控制端。 1、木马病毒的植入、提取 1.1植入 (1)很多用户不希望支付软件费用，含有木马的手机应用的第三方网站通过提供破解版、修改版来诱骗下载。 (2)通过发送短信或彩信到用户手机，诱骗手机用户点击短信中URL或者打开彩信附件，从而达到了植入木马的目的。带网址链接的短信诈骗是目前十分流行的诈骗方式，短信内容不断变化，但对于手机系统来讲，为了能够及时有效的发现手机病毒木马程序必须采用动静结合的方式。通过对Android运行任务进行检查可以发现是否有可疑程序在运行。 1.2提取 提取的方式，一是根据URL链接地址，从互联网上进行提取；二是根据手机存储的位置，找到安装文件进行提取，比较常见的提取位置有：一般存放在根目录下、DownLoad文

件夹中、还有隐藏在系统文件system文件夹中；三是遇到URL无法打开，安装源文件被删除等情况，借助豌豆荚、360手机助手等工具软件，从应用程序找出木马病毒进行导出成apk文件。 2、木马病毒的分析 Android木马程序由client端程序和server端程序组成，server端通过移动互联网控制client端，client端程序安装在目标手机上，接收控制端的一些命令并执行，同时把结果返回给控制端，android木马带来的危害主要是远程窃密、通话监听、信息截获和伪造欺骗。Android手机木马病毒程序是以APK文件形式存在的，JAVAAPK是基于JAVA开发的，JAVA可以用的反编译要比其他高级语言容易实现。在的优势之一就是APKapktool、DoAPK、apkmanager、Dex2jarJAVA环境中图片、文件反编译，Jar语言资源等文件。一个生成应用程序的APKXML和jdgui等工具将文件结构为：配置、JAVA“源代码和配置文件”、““res\\classes.dex存放资源件””Dalvik码、、“AndroidManifest.xmMETAINF\\“resources.arsc程序全局”编译后的二进制资源文件。其中classes.dex和AndroidManifest.xml是侦查破案工作中分析的重点。AndroidManifest.xml是程序全局配置文件，描述应用的名字、版本、权限、引用库文件等信息，每一个应用程序的根目录都会有一个classes.dex接运行的执行程序，是Dalvik字节码，利用解析工具可以将其转换为可以在