记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

CopperDroid: Automatic Reconstruction of Android Malware Behaviors

2016-05-13 09:35

论文下载

这篇文章是2015发表在NDSS会议上的Information-Flow Analysis of Android Applications in DroidSafe,作者是英国伦敦大学皇家霍洛威学院的Kimberly Tam等。

本文提出一个CopperDroid系统,CopperDroid可以通过分析APP执行过程中的系统调用,来重构出APP的恶意行为。由于CopperDroid是通过分析底层的system call来发现恶意行为,因此可以有效的抵抗上层的代码混淆,native code等防护措施,同时,系统属于动态分析系统,因此还能够抵抗代码的动态加载。CopperDroid不需要对系统源码进行修改,因此部署方便且适应性强。

CopperDroid系统重构的恶意行为如图1所示,共分为6类,其实更类似于敏感性为。CopperDroid系统架构如图2所示。将没有修改过的系统镜像运行在一个特别修改定制的Android模拟器中。模拟器会将APP在系统中运行时的system call 记录并传递给分析模块进行分析,并最终输出APP的恶意行为。在这里,APP的恶意行为主要分为两种:系统相关的行为(OS-specific events)和Android相关的行为(Android-specific events)。针对系统相关行为,CopperDroid采用value-based数据流分析来重构行为。而针对Android相关的行为,CopperDroid重点分析Binder相关的行为。

对于发短信这一Android相关的行为,在系统底层可以视为两个/dev/binder上的system call:1)定位短信服务 2)调用发短信接口。同时,为了准确区别不同的服务接口,系统预先分析了系统中所有AIDL接口文件,获取所有接口签名的MAP。

在文章的最后,作者用2900个APK对系统进行了有效性与性能的测试,整体结果表现很好。

Fig

Fig

知识来源: www.securitygossip.com/blog/2016/05/12/2016-05-12

阅读:127350 | 评论:0 | 标签:Android

想收藏或者和大家分享这篇好文章→复制链接地址

“CopperDroid: Automatic Reconstruction of Android Malware Behaviors”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云