的MD5值进行计算,和已分析的程序库进行对比,如果APK文件的MD5值存在于已分析的程序库中,证明检测通过了,进行下一步。(2)解压APK分组文件,得到classes.dex文件和AndroidManifest.Xml数据文件。(3)利用dex2jar工具把classes.dex文件转化为jar分组文件,利用AXMLPrinter2工具把AndroidManifest.xml文件进行反编译。(4)对jar分组文件和反编译后的AndroidManifest.xml文件进行分析,排除其中的危险权限,然后进行下一步。(5)检测反编译后的Java文件,如果检测出来恶意文件,提示手机用户选择性处理恶意文件,可以删除或者隔离恶意文件。(6)导出检测结果到已分析程序库中,完成静态检测分析。 2.2 动态检测技术
动态分析检测过程一般比较复杂,周期比较长,它需要进行一系列的准备工作,而且运行效率不明显。在这里提到的动态检测技术主要是利用是trace工具记录系统,把调用行为记录在日志文件中,同时对wireshark网络数据分组文件进行跟踪分析,最终对两组文件结合分析。其具体步骤有这样几点:(1)准备工作。首先启动手机桌面上的模拟器,当软件在模拟器上运行时,可以调试网络、音频、视频等功能,对存储的文件翻阅一遍。(2)在手机上安装下载trace和wireshark工具;监控应用在运行过程中的动态行为,包括发送的网络数据和系统API。利用trace记录工具,把调用
行为记录在日志文件上。(3)安装下载应用并且启动mokeyrunner工具。当应用在运行时,mokeyrunner工具可以自行运行并模拟手机用户的运行动作。(4)收集日志文件记录和网络数据分组文件记录。当mokeyrunner工具运行完成之后,就会把运行数据存储在文件记录中,当网络开启后,也会wireshark网络数据分组文件记录下来,对这些文件记录进行分析,确定恶意软件的行为,并对恶意软件进行清除。 3 恶意软件检测行为 3.1 权限分析
对系统中敏感行为的危险权限进行分析,对比出恶意软件和正常软件的权限特点,对带有危险权限的软件进行扫描分析,筛选出其中的恶意行为和潜在威胁,然后进行下一步分析检测。对不存在危险权限的应用程序不需要进行扫描分析,直接视为正常程序。但是在检测中仍然存在缺陷,恶意软件可以自行提升特权,不需要受到权限限制,不用申请权限,漏过检测。 3.2 动态行为分析
动态行为分析为了不受恶意代码的混淆,主要对恶意软件的动态、行为和实施方式进行检测。classes.dex文件是应用程序的主要代码,所以可以对其进行反编译,然后在总结分析Java文件。恶意行为主要包括窃取隐私行为、远程操控行为和吸取花费的行为,针对这些恶意行为,可以采取语意
分析行为和污点跟踪行为。对用户意图和行为语义进行抽取,在设计Android平台时,可以采用交互密集型设计方法,把用户的行为意图和自动化可度量的程序结合分析,从而识别恶意行为。污点跟踪主要是利用污点源跟踪污点,捕获污点输出信息。 3.3 静态分析
在应用不允许代码时运用静态分析,通过使用控制流分析、语义分析以及数据流分析技术对Android系统文件进行分析检测,这种分析技术在运行起来更加快速,效率比较高,结果准确,但是针对恶意软件的代码混淆技术和代码加密技术,很难识别恶意代码,从而产生技术漏洞。
4 Android恶意软件检测方法的不足之处和发展趋势 虽然目前Android恶意软件检测在实际运用中取得一些实践成果,但是在在运行时仍然存在一些不足。主要体现在这些方面:(1)检测恶意软件缺少标准。(2)动态检测方法不够智能化,需要人为判断;(3)恶意软件的代码混淆和加密技术逐渐成熟,导致静态分析中的反编译难度加大,难以识别各种恶意代码。随着科学技术的发展进步,未来的Android恶意软件检测方法会逐渐完善,制定完善的恶意软件标准,动态检测和静态检测方法更加自动化、智能化。 [参考文献]
[1]冯博,戴航,慕德俊.Android恶意软件检测方法研究
[J].计算机技术与发展,2014(2):149-152.
[2]文伟平,梅瑞,宁戈,等.Android恶意软件检测技术分析和应用研究[J].通信学报,2014(8):78-85,94. [3]彭国军,李晶雯,孙润康,等.Android恶意软件检测研究与进展[J].武汉大学学报:理学版,2015(1):21-33. Analysis on AndroidMalware Detection Method Gan Lu, Cao Bangqin
(Xinyang Vocational and Technical College, Xinyang 464000, China)
Abstract: The article first Androidmalware installed and trigger characteristics were analyzed, and the analysis of the Androidplatform that malicious behavior, made the Androidmalicious code detection scheme. According to the characteristics of the Androidplatform, this paper analyzes the existing malware detection behavior, and points out the shortages of the existing Androidmalware detection method and the future development trend.
Key words: Android; malicious software; detection
Android恶意软件检测方法分析
