【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义
文章目录
- 一、恶意软件判定规则
- 二、恶意软件的范围定义
一、恶意软件判定规则
在 【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | 用户同意后加载插件 | 隐藏恶意插件 ) 博客中介绍了 444 种插件加载运行策略 ;
在 VAHunt: Warding Off New Repackaged Android Malware in App-Virtualization’s Clothing 中给出了判定 插件化软件 是否是恶意软件的标准 ;
Google 官方明确反对 静默加载插件 和 隐藏应用操作 , 上述两个操作都会被认定为恶意操作 ;
应用中存在虚拟化引擎 , 不一定会加载插件 , 只有 " 自定义路径加载插件 " , " 系统路径加载插件 " 确定发生了 , 才能确定该虚拟化引擎加载了插件 ;
VAHunt 中定义了一个静默加载策略 , 用于判定应用是否是恶意应用 ;
如果一个插件化应用软件 , 有 " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 , 同时 如果出现 " 不经用户同意加载插件 " 的行为 , 那么就可以认定该 插件化应用 是 恶意应用 ;
如果同时具备
① " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 ,
② " 不经用户同意加载插件 " 的行为 ,
③ " 隐藏恶意插件 " 行为 ,
333 个条件 , 那么该插件化应用的恶意程度更加严重 ;
如果同时具备
① " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 ,
② " 隐藏恶意插件 " 行为 ,
222 个条件 , 那么该插件化应用会被标记为可疑应用 , 可能是恶意软件 , 也可能是用户选择不创建 Launcher 应用启动图标 ;
二、恶意软件的范围定义
这个判定规则个人感觉有点严格 , 感觉很多公司的插件化操作 , 是不经过用户同意的 ; ( 本专栏的前半部分开发的插件化应用示例 , 会被 VAHunt 判定为恶意软件 , 因为加载插件前没有经过用户同意 )
这个 恶意软件 的范围定义很大 , 只要是违反了 Google 的安全政策 , 都可以被判定为恶意软件 , 并不是只有作出恶意行为的 APK 会被判定为恶意软件 ;
假如插件中作出了恶意行为 , 如盗取用户数据 , 拦截电话 等操作 ; 插件安装前经过用户同意了 , 则不会被判定为恶意软件 ;
VAHunt 准确的说是检测使用了 插件化引擎 的软件中 , 那些不经过用户同意 , 就私自安装插件的软件 , 仅仅是检测这一类的软件 ;
【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义相关推荐
- 【Android 插件化】使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )
文章目录 一.检测困难 二.成本低 三.恶意插件可更换 四.容易传播 一.检测困难 恶意软件开发者 , 开发一个插件化 宿主软件 , 将 APK 安装包直接以插件形式运行 , 同时还会将恶意代码放在另 ...
- 【Android 插件化】现有的针对插件化恶意应用的解决方案 | 插件化应用开发推荐方案
文章目录 一.SafetyNet Attestation API 二.PluginKiller 三.针对插件化应用开发者 一.SafetyNet Attestation API SafetyNet A ...
- 【Android 插件化】基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征
文章目录 一.基于插件化引擎 的 恶意应用 与 良性应用 区别 二.恶意插件化应用特征 一.基于插件化引擎 的 恶意应用 与 良性应用 区别 在 [Android 插件化]VAHunt 引入 | VA ...
- 【Android 插件化】VAHunt 引入 | VAHunt 原理 | VAHunt 识别插件化引擎
文章目录 一.VAHunt 引入 二.VAHunt 原理 三.识别插件化引擎 一.VAHunt 引入 从应用开发者角度出发 , 保护自己开发的应用不被恶意开发者使用插件化虚拟引擎二次打包 , 并植入恶 ...
- 【Android 插件化】多开原理 | 使用插件化技术的恶意应用 | 插件化的其它风险 | 应用开发推荐方案
文章目录 一.多开原理 二.使用插件化技术的恶意应用 三.插件化的其它风险 四.应用开发推荐方案 一.多开原理 插件化的优点就是可以实现应用的多开 , 利用该多开虚拟化引擎 , 用户可以同时登录多个 ...
- 【Android 插件化】使用 PluginKiller 帮助应用开发者规避发布的 APK 安装包被作为插件的风险 ( 验证应用是否运行在插件化引擎中 )
文章目录 前言 一.应用开发者规避 APK 安装包被作为插件 二.检测插件化环境 1.检查 AndroidManifest.xml 清单文件 2.检查 运行时 信息 3.检查生成的目录 4.检查组件 ...
- Android 插件化原理学习 —— Hook 机制之动态代理
前言 为了实现 App 的快速迭代更新,基于 H5 Hybrid 的解决方案有很多,由于 webview 本身的性能问题,也随之出现了很多基于 JS 引擎实现的原生渲染的方案,例如 React Nat ...
- 【Android 插件化】Hook 插件化框架 ( 使用 Hook 方式替换插件 Activity 的 mResources 成员变量 )
Android 插件化系列文章目录 [Android 插件化]插件化简介 ( 组件化与插件化 ) [Android 插件化]插件化原理 ( JVM 内存数据 | 类加载流程 ) [Android 插件 ...
- 【Android 插件化】Hook 插件化框架 ( Hook 实现思路 | Hook 按钮点击事件 )
Android 插件化系列文章目录 [Android 插件化]插件化简介 ( 组件化与插件化 ) [Android 插件化]插件化原理 ( JVM 内存数据 | 类加载流程 ) [Android 插件 ...
最新文章
- python Day1作业:用户三次登陆锁定
- 理解同步异步、阻塞与非阻塞
- 读javascript高级程序设计10-DOM
- python 动态导入类_从动态导入模块中类的字符串名动态实例化?
- NYOJ 636 世界末日
- Java中的Runtime类详解
- linux内核 task cmd,linux内核
- Scala程序将字符串转换为整数
- android setprogress,progressDialog 为什么设置了setProgress()方法无反应?
- Java - Java Mail邮件开发(3)spring +Java Mail + Velocity
- 美元反弹外汇分析,黄金外汇买卖近期将有怎样的行情_小豹科技
- PHP集成环境:这些年我用过的那些PHP环境
- 云队友丨带不好人,就只能自己干到死
- 关于SiamRPN代码的一些要点
- 【已解决替代Google英文网页翻译】英文网页翻译成中文(不用额外的插件解决方法)
- 在线工具大全,在线办公
- 小萝莉偷菜机器人(QQ农场辅助程序)0.3F4 新年版 -2010年1月17日更新
- Mac下查看本机IP地址
- LTE学习-OFDM
- GPL和LGPL的区别!