分析技术
section3 现有的分析方法
section5 恶意软件逃避检测
动态
混合
- in-the-Box 分析
- Out-of-the-Box 分析
- Virtualization(虚拟化)
DIVILAR:在DVM中加入hook,阻止重打包的应用被运行
静态
不足
reflection
dynamic code loader
encryption
native code
分析方法
其他
图
特征
污点
结构
分析因素
- Permissions
- Intents
- Hardware Components
- dex Files
优势
遍历所有可能的路径
不足
- 需要针对每个Android 版本进行修改
2.
虚拟机、模拟器如何全仿真
CopperDroid 能自由切换Android版本
- 类似于PC上的虚拟化技术,在Android设备上虚拟化出多个系统
优势
- 阻止软件未受限制的访问,增强了隔离性
静态和动态相结合
使用场景
- 先用静态评估app安全性,再去动态记录它的内核级系统调用
- 在动态分析前使用静态分析来寻找所有可能的Activity路径
section4 具体分析因素
- 网络流量
相比正常应用,更多恶意应用会发送网络请求
- 泄露数据
- 下载恶意代码或应用
- APIs
- System calls
- Dependency Graphs
- 特征
- 函数调用检测
- 污点
- Hardware