Android木马分析实验,Android木马简介与分析
本文介绍基于Android的手机恶意软件,是一个基础性的介绍,给新入门的人提供一个分析和工具指引。要分析的木马是一个2013年的syssecApp.apk,这个木马的分析能对Android恶意软件有个大概了解。
基础:
1 –Android应用基础
Android是google开发基于Linux内核的开源的手机操作系统,应用程序使用JAVA语言编写并转换成了Dalvik虚拟机,而虚拟机 则提供了一个抽象的真实硬件,只要和操作系统的API符合程序都可以在其上运行。应用则需要Linux的用户和组来执行,所以目前所有的恶意软件都需要获 得权限。
Android应用的格式是APK,是一种包含AndroidManifest.xml的 ZIP文件,媒体类文件实际代码是classes.dex和一些其他的可选文件。XML提供Android系统的重要信息,比如用启动应用程序时需要什么 权限,只有这个文件中列出的权限才提供给该应用,否则返回失败或空结果。classes.dex是Android应用程序实现的逻辑部分,是一个编译代码 可由Dalvik虚拟机执行,打包成jar,从而节约移动设备上的一些空间。
2 –分析工具
2.1Dexter
Dexter可以将Android应用上传做分析,提供了包和应用元数据的介绍。包的依赖关系图显示了所有包的关系,可以快速打开列表显示所有的class和功能。
2.2Anubis
Anubis也是一个WEB服务,应用在沙箱里运行,每个样品相互独立,来分析文件和网络的活动。同时也提供一些静态分析,包括权限XML在调用过程中的变化。
2.3 APKInspector
Apkinspector提供了很多工具,APK加载后可以选择标签来执行其中的功能,带有一个Java反编译器JAD,能够反编译大多数类,但经常报错。
2.4 Dex2Jar
可将dex 文件转成 Java 类文件的工具,即使你是经验丰富的逆向工程师,也可以考虑使用。
3 – 实例分析
3.1 Anubis
Anubis的显著特点是,给出了应用所需权限的大名单:
截图上包括了应用的部分权限。INTERNET权限是常见的游戏所需,用来在线统计跟踪,开启共享功能或者广告。还有一些WAKE_LOCK、 READ_PHONE_STATE用来读取手机状态,防止在游戏中锁屏。但 READ_CONTACTS、 READ_HISTORY_BOOKMARKS则看起来就很奇怪,不像是一个游戏该干的事情。对 127.0.0.1:53471的连接看起来也很奇怪。分析链接:http://anubis.iseclab.org/?action=result& amp;task_id=1a6d8d21d7b0c1a04edb2c7c3422be72f&format=html
3.2 Dexter
包的依赖关系图显示共有四个。可以忽视de.rub.syssec,它只包含空类的默认构造函数。
de.rub.syssec包括了一个叫做Amazed的游戏,比较特别的是amazedactiviy的onCreate方法,设置为每隔15秒重复闹钟。
第3个class包含的事件比较多。onBoot在启动的时候就会进行闹铃,SmsReceiver和alarmReceiver则是真正的木马, 在任何一个短信到达的时候SmsReceiver会检查里面是否包含有”bank”,如果是则使用abortBroadcast丢弃短信。
这意味着短信在手机上是看不到的。de.rub.syssec.neu有6个CLASS,最重要的一条是“Runner”,是实际的恶意代码。“work”调用alarmReceiver来检查设备是否连接互联网。
如果在线,则调用“steal()”收集信息,添加到XML帮助的一个伪变量里。
根据API的调用列表,会收集信息:IMSI、SIM卡序列号、姓名、设备ID、用户字典(自动补全)、联系人、通话记录、日历、浏览器搜索记录、浏览器收藏夹、发送和接收的短信、位置信息。
3.3 Emulator
Emulator证实这个APK确实有一个关于迷宫的游戏。但在输出的日志里可以发现它其实做了很多事情,并试图发送这些内容:
还有一些额外的信息包括安卓版本、IMEI、本地时间、steal()运行总量
3.3 分析用到的网站
http://anubis.iseclab.org/
http://dexter.dexlabs.org/
https://www.virustotal.com/
http://www.apk-analyzer.net/
http://www.visualthreat.com/
http://androidsandbox.net/reports.html
https://hackapp.com/
游戏不仅仅是个游戏,检查你的游戏。
【编辑推荐】
【责任编辑:闫佳明 TEL:(010)68476606】
点赞 0
Android木马分析实验,Android木马简介与分析相关推荐
- Android studio 实现计算器android 开发小实验
Android 移动开发实现简单计算器功能 前言 android 开发小实验 android 移动开发实现 简易计算器功能 小白也能轻松上手,复制粘贴就可使用 使用工具 Android Studio ...
- 网络协议实验四 ARP 协议分析实验
实验四 ARP 协议分析实验 2.2 ARP 协议分析实验 1.ARP 协议介绍 ARP 是地址解析协议 (Reverse Address Resolution Protocol)的缩写,负责实现从I ...
- 【数据挖掘】鸢尾花分析实验与数据降维
鸢尾花分析实验与数据降维 相关性分析 特征工程-特征降维 低方差特征过滤 相关系数 皮尔逊相关系数(Pearson Correlation Coefficient) 斯皮尔曼相关系数(Rank IC) ...
- 视频分析算法的原理简介
视频分析算法的原理简介 视频分析技术来源于计算机视觉,它能够在图象及图象描述之间建立映射关系,从而使计算机能够通过图象处理和分析来理解画面中的内容,其实质是"自动分析和抽取视频源中的关 ...
- 实验一木马分析(隐藏分析)实验
实验一木马分析(隐藏分析)实验 1.木马隐藏技术 1)程序隐藏 木马程序可以利用程序捆绑的方式,将自己和正常的exe 文件进行捆绑.当双击运行捆绑后的程序时,正常的exe 文件运行了.程序隐藏只能达到 ...
- android 手机九宫格解锁实验报告,Android数独游戏实验分析报告.pdf
本科生实验报告 实验课程 Android 课程设计数独游戏 学院名称 信息科学与技术学院 专业名称 物联网工程 学生姓名 学生学号 指导教师 实验地点 实验成绩 二〇一五 年 十 月 二〇一五 年 十 ...
- Android 系统(175)---Android硬件加速原理与实现简介
Android硬件加速原理与实现简介 在手机客户端尤其是Android应用的开发过程中,我们经常会接触到"硬件加速"这个词.由于操作系统对底层软硬件封装非常完善,上层软件开发者往往 ...
- Android硬件加速原理与实现简介
转载自:https://tech.meituan.com/hardware-accelerate.html 在手机客户端尤其是Android应用的开发过程中,我们经常会接触到"硬件加速&qu ...
- Android硬件加速原理与实现简介-美团技术团队
在手机客户端尤其是Android应用的开发过程中,我们经常会接触到"硬件加速"这个词.由于操作系统对底层软硬件封装非常完善,上层软件开发者往往对硬件加速的底层原理了解很少,也不清楚 ...
最新文章
- 转,大佬关于虚拟内存与物理内存关系讲解。
- B - Paint The Wall HDU - 4391[分块hash+tag标记]
- 只改一个值!马上加快宽带上网速度
- amazon php 空间,(四)Amazon Lightsail 部署LAMP应用程序之扩展PHP前端
- 使用Spring AOP进行面向方面的编程
- ZZULIOJ 1121: 电梯
- python如何统计累计每日的人数‘’_每日一练 | Data Scientist amp; Business Analyst amp; Leetcode 面试题 902...
- Word论文公式居中、编号右对齐方法
- linux映射80端口,Linux下访问默认80端口 映射到8080端口
- 【贪玩巴斯】传感器与检测技术 (二)「半导体传感器基础」2021-09-30
- CODO是一款为用户提供企业多混合云、自动化运维、完全开源的云管理平台
- oracle 进程占cpu使用率,ORACLE进程占用CPU情况分析
- 语义分割重制版1——Pytorch 搭建自己的Unet语义分割平台
- 聊聊写代码的20个反面教材
- FPGA学习前导:FPGA/CPLD简介
- 【RegExp】正则表达式
- 基于51单片机及PCF8591芯片的ADC电压检测
- (一)ArcMap基础——ArcMap的窗口组成
- 微服务架构设计实践系列之三:软件架构设计思想
- R语言paste()函数的使用