Android手机恶意软件取证技术研究
一、引言
最新统计数据表明,Android系统已占据全球智能手机操作系统市场的59%,中国市场占有率为76.7%。同时,2012年上半年仅网秦“云安全”监测平台查杀到的手机恶意软件就达17676款,相比2011年下半年增长42%,其中78%的恶意软件来自Android平台。
随着移动互联网与人们工作生活的关系越来越密切,手机恶意软件也在各种各样的违法犯罪活动中充当了重要角色。目前我国手机恶意软件的黑色产业链已经形成,恶意软件制作方和相关的非法SP公司形成了紧密的“合作关系”,诱骗用户下载各种恶意软件,在用户感染恶意软件产生资费后,按照分成比例来牟取暴利。面对各种各样善于伪装的恶意软件,如何提取相关的数据证据并准确定性其恶意行为,成为电子数据取证与司法鉴定人员必须解决的一个紧迫问题。
本文通过实例探讨了Android手机恶意软件关键数据的一般提取方法,首先通过介绍Android手机木马的一般工作流程,来认识恶意软件的工作机制;然后,通过对APK包的反编译,提取恶意软件的关键配置数据及部分源代码;其次,在Android手机模拟平台上装载运行恶意软件实例,动态跟踪分析其进程关系和API调用,提取并固定其中的相关数据,从而准确掌握Android手机恶意软件实施恶意行为的关键证据。
二、手机木马的工作流程
数字签名技术可以确认数据来源和数据完整性,未通过数字签名认证的软件,手机系统会直接拒绝运行该程序,从而防止恶意程序的进一步破坏执行。而Android系统是一个开放平台,应用程序由开发者自行签名,不需要权威的数字证书机构进行签名认证,在便利的同时也增加了用户手机感染恶意软件的风险。
目前手机恶意软件主要通过第三方手机论坛、ROM“刷机包”、应用商店和短信链接进行传播,表现为恶意推送广告、恶意扣费、隐私窃取、系统破坏等。在众多的手机恶意软件中,以“远程控制类”木马的数量最多,图1展示了一个手机木马的通用工作流程。
1、用户自定义目标控制端;
2、控制端为手机或具有移动通讯功能的便携式计算机
3、开机自动运行程序:
4、开机自动回传系统状态及参数:
5、确保客户端和服务器端单一联系。
大多数Android木马运行在Android系统的应用程序层,通过应用程序框架层的接口调用,实现包括短信电话监控、数据窃取、进程隐藏、自动运行特定程序等功能。例如:
肇利用手机短信、来电业务等重要通信模块的处理逻辑和流程,实现对短信、来电的拦截与监控处理。
參利用Android系统进程运行机制,实现木马常驻后台运行,进程关闭之后自动重启、开机自启。
利用目前手机杀毒软件查杀病毒机制和原理,在木马编写过程中通过加壳技术、代码混淆技术处理,实现自我保护,避免被常用杀毒软件查杀。
參控制端和木马端采用可扩展、统_的通信协议,以增强木马的可扩展性。
籲控制端和木马端通信协议采用加密技术,保证通信内容难以被破解等。
三、恶意软件的静态取证
每个要安装到Android平台的应用软件都要被编译打包为一扩展名为apk的文件,APK(AndroidPackage)即Android程序安装包,在Android手机中可直接执行,进行应用程序安装。一个典型的APK文件通常由下列内容组成:
•程序全局配置文件AndroidManifest.xml,描述了该应用程序的名字、版本、权限、引用的库文件等信息。
Dalvik字节码classes.dex,即AndroidDalvik执行程序,利用解析工具可以将其转换成Java源代码进行阅读和理解。
鲁编译后的二进制资源文件resources.arsc。
♦目录META-INF\中存放签名信息,以保证apk包的完整性和系统安全。
參目录res\存放资源文件,包括图片,字符串等。
•目录assetsVi^放配置文件。
在Java环境中可以用apktool、DoAPK、apkmanager、Dex2丨ar和XJad等工具将APK文件反编译,生成应用程序的XML配置、Java源代码和图片、语言资源等文件,即可对该应用程序进行静态分析或编辑修改。其中,AndroidManifestxm丨和classes.dex文件是进行分析取证的重点。
本文以一个隐私窃取木马“ConfLite.apk”为例,来探讨Android手机恶意软件的静态取证方法。
最新统计数据表明,Android系统已占据全球智能手机操作系统市场的59%,中国市场占有率为76.7%。同时,2012年上半年仅网秦“云安全”监测平台查杀到的手机恶意软件就达17676款,相比2011年下半年增长42%,其中78%的恶意软件来自Android平台。
随着移动互联网与人们工作生活的关系越来越密切,手机恶意软件也在各种各样的违法犯罪活动中充当了重要角色。目前我国手机恶意软件的黑色产业链已经形成,恶意软件制作方和相关的非法SP公司形成了紧密的“合作关系”,诱骗用户下载各种恶意软件,在用户感染恶意软件产生资费后,按照分成比例来牟取暴利。面对各种各样善于伪装的恶意软件,如何提取相关的数据证据并准确定性其恶意行为,成为电子数据取证与司法鉴定人员必须解决的一个紧迫问题。
本文通过实例探讨了Android手机恶意软件关键数据的一般提取方法,首先通过介绍Android手机木马的一般工作流程,来认识恶意软件的工作机制;然后,通过对APK包的反编译,提取恶意软件的关键配置数据及部分源代码;其次,在Android手机模拟平台上装载运行恶意软件实例,动态跟踪分析其进程关系和API调用,提取并固定其中的相关数据,从而准确掌握Android手机恶意软件实施恶意行为的关键证据。
二、手机木马的工作流程
数字签名技术可以确认数据来源和数据完整性,未通过数字签名认证的软件,手机系统会直接拒绝运行该程序,从而防止恶意程序的进一步破坏执行。而Android系统是一个开放平台,应用程序由开发者自行签名,不需要权威的数字证书机构进行签名认证,在便利的同时也增加了用户手机感染恶意软件的风险。
目前手机恶意软件主要通过第三方手机论坛、ROM“刷机包”、应用商店和短信链接进行传播,表现为恶意推送广告、恶意扣费、隐私窃取、系统破坏等。在众多的手机恶意软件中,以“远程控制类”木马的数量最多,图1展示了一个手机木马的通用工作流程。
利用PCSuite、ActiveSync感染桌面计算机: 利用MMS传播: 利用Wi-Fi传播。 |
| 程序感染目标手机 |
| 软件安装 |
|
1、判定手机操作系统,自动安装: 2、隐蔽条件下进行: 3、软件体积尽可能的小巧: 4、尽可能隐藏进程信息: 5、尽可能小的消耗系统资源。 |
1、用户自定义目标控制端;
2、控制端为手机或具有移动通讯功能的便携式计算机
3、开机自动运行程序:
4、开机自动回传系统状态及参数:
5、确保客户端和服务器端单一联系。
大多数Android木马运行在Android系统的应用程序层,通过应用程序框架层的接口调用,实现包括短信电话监控、数据窃取、进程隐藏、自动运行特定程序等功能。例如:
肇利用手机短信、来电业务等重要通信模块的处理逻辑和流程,实现对短信、来电的拦截与监控处理。
參利用Android系统进程运行机制,实现木马常驻后台运行,进程关闭之后自动重启、开机自启。
利用目前手机杀毒软件查杀病毒机制和原理,在木马编写过程中通过加壳技术、代码混淆技术处理,实现自我保护,避免被常用杀毒软件查杀。
參控制端和木马端采用可扩展、统_的通信协议,以增强木马的可扩展性。
籲控制端和木马端通信协议采用加密技术,保证通信内容难以被破解等。
三、恶意软件的静态取证
每个要安装到Android平台的应用软件都要被编译打包为一扩展名为apk的文件,APK(AndroidPackage)即Android程序安装包,在Android手机中可直接执行,进行应用程序安装。一个典型的APK文件通常由下列内容组成:
•程序全局配置文件AndroidManifest.xml,描述了该应用程序的名字、版本、权限、引用的库文件等信息。
Dalvik字节码classes.dex,即AndroidDalvik执行程序,利用解析工具可以将其转换成Java源代码进行阅读和理解。
♦目录META-INF\中存放签名信息,以保证apk包的完整性和系统安全。
參目录res\存放资源文件,包括图片,字符串等。
•目录assetsVi^放配置文件。
在Java环境中可以用apktool、DoAPK、apkmanager、Dex2丨ar和XJad等工具将APK文件反编译,生成应用程序的XML配置、Java源代码和图片、语言资源等文件,即可对该应用程序进行静态分析或编辑修改。其中,AndroidManifestxm丨和classes.dex文件是进行分析取证的重点。
本文以一个隐私窃取木马“ConfLite.apk”为例,来探讨Android手机恶意软件的静态取证方法。
扫微信立即咨询:
