恶意代码检测

移动恶意代码检测主要内容恶意代码简介主要检测方法逐步研究计划恶意代码简介恶意代码简介恶意代码简介恶意代码简介典型恶意代码AdrdAdrd又名HongToutou，首次发现于2011年2月15日。它被植入十余款合法软件中，通过多家论坛、下载站点分发下载

实现大范围传播。主要行为包括：每6小时

向控制服务器发送被感染手机的IMEI、IMSI

、版本等信息；接收控制服务器传回的指令；

从数据服务器取回30个URL；依次访问这些 URL，得到30个搜索引擎结果链接；在后台

逐一访问这些链接；下载一个.apk安装文件

到SD卡指定目录。恶意代码简介典型恶意代码DroidDreamDroidDream最早出现于2011年2月15日，并在3月2日被发现。它被植入谷歌官方Android市场的五十余款软件中，通过多个账号发布，是第一个通过官方市场大范围传播的Android恶意代码。DroidDream利用了一个名为rageagainstthe-cage的提权工具，利用Android系统漏洞使自己获得root权限。恶意代码简介典型恶意代码Zitmo和SpitmoZitmo和Spitmo，是PC平台最大的网银盗号木马Zeus和Spyeye的移动版本。到目前为止，Zitmo已经出现在Android、Symbian、WindowsMobile、BlackBerryRIMOS系统中。 Zitmo和Spitmo均拦截并回传用户

用于网银登陆的手机一次性随机

验证码（mTAN，用于与账号、

密码一起，登陆网银）。通过社

会工程学，攻击者成功地将用户

的网银账户与其手机关联，从而

对支付安全中所谓双因素认证进

行了有效地攻击。

恶意代码简介典型恶意代码DroiddgDroiddg预装入多款Android手机和平板电脑中，通常伪装成名为“Google搜索（已增强）”的软件，

隐蔽地收发短信，消耗用户手机

费用，并大量下载和安装其他应

用软件。恶意代码简介典型恶意代码a.remote.lbs52loc.[隐秘追踪]该病毒安装后会强制开机启动，隐藏桌面图标，同时拦截特定短信，以获取用户GPS位置信息，并上传远程服务器，严重泄漏用户隐私。a.remote.mzx.[卧底大盗]该软件安装后无图标开机自启动，启动后会监听手机的通话内容、发送短信并使用GPS跟踪您的行踪，同时会拦截短信内容、通话记录、邮件、手机号码等隐私内容上传到服务器，给用户的隐私安全带来严重威胁恶意代码简介典型恶意代码a.payment.smsspy.[短信间谍]该病毒安装后无图标，开机自动启动，启动后会发送扣费短信，并同时会删除短信信息和获取用户GPS位置，给用户的财产安全和个人隐私造成严重威胁。a.consumption.servicr该病毒伪装成GoogleService类软件骗取用户下载，开机自动启动，安装后无图标，病毒启动后分别从远程服务器“***:9899/”和“***:9899/”站点可能会下载其它恶意应用，并强制安装到用户手机，浪费用户手机流量，给用户带来一定的经济损失，并可能给用户造成严重的安全威胁。恶意代码简介病毒特征开机自动运行隐蔽性（隐藏自身、隐蔽通信）异常行为（扣费、获取用户隐私信息）常见行为流程主要检测方法静态检测动态检测静态检测方法在不运行恶意代码的情况下，利用分析工具对恶意代码的静态特征和功能模块进行分析的方法。恶意代码从本质上是由指令构成的，根据分析过程是否考虑构成恶意代码的指令的语义，可以把静态分析方法分成基于代码特征的分析方法和基于代码语义的分析方法两种类型。静态检测方法基于代码特征的检测方法基于代码特征的分析方法在分析过程中，不考虑恶意代码的指令意义，而是分析指令的统计特性、代码的结构特性等。特征量分析方法常用于对执行程序类型的恶意代码进行分析。静态检测方法基于代码语义的检测方法基于代码语义恶意代码分析方法要求考虑构成恶意代码的指令含义，通过理解指令语义建立恶意代码的流程图和功能框图，进一步分析恶意代码的功能结构。静态检测方法特征码扫描技术静态检测方法完整性检查对于系统文件资源，事先记录文件的MD5、SHAl等Hash值对于系统内存资源，校验内存中可执行文件映像的完整性静态检测方法启发式方法静态启发式分析动态模拟启发式技术动态检测方法动态分析是指在恶意代码执行的情况下，利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程，了解恶意代码的功能基于行为的分析方法是将恶意代码的系统调用序列记录下来，利用恶意代码特有的行为特征进行检测分析，当程序运行时，监测它的API调用情况，通过对恶意行为的形式化描述创建规则或模型，使用相应的匹配算法检测分析其恶意性动态检测方法基于API函数调用的检测方法序列枚举法统计学方法机器学习方法数据挖掘方法有限自动机方法动态检测方法基于改造攻击树模型的检测方法攻击树中根结点表示总目标，各分支表示实现总目标的各个方法。根据一颗给定的攻击树，可以从树的某个叶结点开始找到一条能够实现某一攻击目标的开销比较小的路径，反过来，每一条从根结点到叶结点的路径表示实现这个攻击目标所进行的一个完整的攻击过程。动态检测方法基于频繁序列算法的检测方法用S1--S6分别代表6种主要的异常行为所调用的函数序列，用p代表系统上任意一个API函数，用Q代表一个时间段内收集到的所有应用程序调用的API函数p的集合，用Si在Q中出现的次数与Q中元素总数的比值来计算序列Si的支持度，将此支持度与之前根据病毒样本所设置的最小支持度阂值进行比较来确定序列Si是否为频繁序列，并以此来判定执行此行为序列的程序是否为恶意程