分析技术

section3 现有的分析方法

section5 恶意软件逃避检测

动态

混合

  1. in-the-Box 分析
  1. Out-of-the-Box 分析
  1. Virtualization(虚拟化)

DIVILAR:在DVM中加入hook,阻止重打包的应用被运行

静态

不足

reflection

dynamic code loader

encryption

native code

分析方法

其他

特征

污点

结构

分析因素

  1. Permissions
  1. Intents
  1. Hardware Components
  1. dex Files

优势

遍历所有可能的路径

不足

  1. 需要针对每个Android 版本进行修改

2.

虚拟机、模拟器如何全仿真

CopperDroid 能自由切换Android版本

  1. 类似于PC上的虚拟化技术,在Android设备上虚拟化出多个系统

优势

  1. 阻止软件未受限制的访问,增强了隔离性

静态和动态相结合

使用场景

  1. 先用静态评估app安全性,再去动态记录它的内核级系统调用
  1. 在动态分析前使用静态分析来寻找所有可能的Activity路径

section4 具体分析因素

  1. 网络流量

相比正常应用,更多恶意应用会发送网络请求

  1. 泄露数据
  1. 下载恶意代码或应用
  1. APIs
  1. System calls
  1. Dependency Graphs
  1. 特征
  1. 函数调用检测
  1. 污点
  1. Hardware