一种针对可执行代码的内存泄漏静态分析方案

针对应用程序安全分析的实际需求,设计并实现了一个针对可执行代码的内存泄漏分析框架MLAB.MLAB首先从可执行代码中恢复控制流和数据流信息,依据恢复的控制流图建立程序的有限状态自动机,在此基础上运用模型检测算法分析程序可能存在的内存泄漏.利用几个典型的程序实例详细说明了MLAB方法的工作原理,并通过基于测试程序集MiBench的实验对方法进行了验证,结果说明了该方法的有效性.     

一种多层次的自动化通用Android脱壳系统及其应用

为解决Android平台应用程序使用加壳服务后难以进行静态代码分析的问题,研究应用程序自动化通用脱壳技术.在Android Dalvik虚拟机的基础上,设计并实现了一种多层次的自动化通用脱壳系统,提出了多粒度的数据还原方案,保证数据还原的完整性和有效性,能正确还原出加壳应用中被加密的代码内容.实验表明,该系统适用于市面上主流的加壳服务.利用该系统,对市场上被加壳的应用程序进行安全性评估,发现加壳应用比未加壳应用存在更多的安全问题,证明了脱壳系统的实际应用价值.      

基于逆向工程的Android应用漏洞检测技术研究

Android应用程序面临着各种各样的安全威胁,针对如何在黑客利用Android程序漏洞攻击前发现潜在漏洞的漏洞检测技术研究,提出了一种基于APK逆向分析的应用漏洞检测技术.在逆向反编译APK静态代码的基础上,运用特征提取算法将smali静态代码解析转换为函数调用图作为特征来源,建立原始特征集合提取模型,继而通过改进ReliefF特征选择算法对原始特征集合进行数据降维,提取APK包中的漏洞特征向量,依次构建漏洞的检测规则.再结合Android漏洞库收录的漏洞特征对特征向量进行正则匹配,以挖掘其中潜在的安全漏洞.基于该检测方法实现了系统模型并进行对比性实验,实验结果表明此检测方法的漏洞检出率达91%以上.因此,该漏洞检测技术能够有效挖掘Android应用中常见的安全漏洞.     

Android组件间通信的安全缺陷静态检测方法

针对Android应用程序的组件间通信存在使用隐式Intent有可能引发组件劫持和信息泄露,而公开组件又存在权限泄露的安全风险问题,提出了一种Android组件间通信的安全缺陷静态检测方法.首先,静态分析应用程序,获得其控制流程图(CFG)、函数调用图(FCG)和组件调用图(CCG);然后,检测出潜在的危险组件、隐式Intent以及隐私泄露路径;最后,用该方法对20款流行的Android应用软件进行检测.结果显示:这些应用软件全部使用了隐式Intent,25%使用了动态代码,80%存在危险组件,40%存在隐私泄露.     

一种基于分层抽象语法树的Android代码异味检测方法

Android应用程序中存在大量的代码异味,现有的Android代码异味检测工具效率较低.为此,将抽象语法树（AST）进行分层,提出一种基于分层AST的Android异味检测方法 .实例研究表明,与其他方法相比,该方法能检测出更多类型的Android代码异味.     

一种基于权限的安卓恶意软件检测方法

针对基于特征代码的Android恶意软件检测方法难以检测未知恶意程序,且基于行为的检测方法误报率较高的问题,提出了一种基于权限的Android恶意软件检测方法.该方法首先在静态分析的基础上,结合动态行为分析提取权限特征;然后,采用权限特征关联分析方法,挖掘权限特征之间的关联规则;最后,基于朴素贝叶斯分类算法,建立恶意应用检测模型.实验结果表明,与现有方法相比,本文方法建立的恶意应用模型具有较高的检测率和准确率.     

基于特征匹配的Android应用漏洞分析框架

Android平台应用数量迅速增长,随之而来的安全问题也日益增多。但现有分析工具大多数只对应用进行简单的扫描,较少涉及深层次的数据流分析,因此某些漏洞无法有效地被发现。该文基于对已有Android应用漏洞特征的归纳,提出一种Android应用漏洞的静态分析框架。从Manifest文件扫描、Smali代码危险函数分析、数据流分析等3个层面归纳了7类主流安全漏洞模式,依此构建了漏洞检测规则,并结合相关静态分析技术对应用进行分析,以发现其中存在的安全漏洞。通过对323个Android应用程序的实验分析,结果表明:该框架的有效检出率在70%以上,误报率在30%以下。因此,该框架能够有效发现Android应用中常见的安全漏洞,提高用户安全性。     

采用函数调用关系的注入型Android恶意应用检测

针对注入型Android恶意应用日益泛滥、传统检测方法依赖大量已知特征的问题,提出了采用函数调用关系的注入型Android恶意应用检测方法。该方法无须依赖大量已知特征,仅通过分析注入型Android恶意应用的自身结构特征即可实现对该类恶意应用的有效检测,并能够实现对未知恶意代码家族的识别。所提方法在smali代码的基础上构建函数调用关系图,并进一步进行子图划分,通过判定各子图威胁度确定是否存在恶意行为。检测过程无需动态行为分析辅助,因此分析检测时间短、效率高。该方法不仅可以检测出Android应用是否存在恶意行为,还可根据子图威胁度确定包含恶意行为的具体代码。经过对1 260个Android恶意应用和1 000个正常应用的实验分析发现:所提方法能够很好地检测注入型Android恶意应用,当误报率为8.90%的时候,检测率达到95.94%,相对于主流Android恶意应用检测系统Androguard,检测效果有显著提升。     

基于Solaris操作系统内存资源泄漏和预防的研究

内存泄漏是多用户系统开发应用过程中经常会遇到的问题,用户应用长时间的运行极易产生内存泄漏,占用大量系统内存资源,降低资源利用率,直接导致应用程序运行不稳定,严重时甚至影响到操作系统的正常运行,导致系统瘫痪。在参考Sun公司相关英文技术文档基础上,并结合UNIX实践,本文探讨了Solaris平台内存泄漏产生的原因和对应的BUG定位,并提出了解决方案。     

基于源代码的内存泄漏静态分析方法

在很多大型C、C++程序中,内存泄漏是一种十分常见的问题.内存泄漏是很难识别的,因为它唯一的特征就是内存消耗的增长.对内存泄漏产生的原因进行了分析,并且提出了一种基于可执行源码的静态分析方法.对可执行源码进行预处理,生成抽象语法树和控制流图,并且计算出所有可达路径,然后在每条可达路径上进行内存泄漏故障的检测和分析.此方法已在缺陷检测系统(DTS)中进行验证,通过对大量GCC开源工程的测试,证实本方法有效的检测出内存泄漏的故障.     

基于Android应用程序的第三方类库检测系统

随着Android系统的不断升级与其应用领域的扩张,基于Android平台的第三方类库的数量也越来越多,某些类库带有严重的安全漏洞,导致集成该类库的app也有了各种安全隐患.因此,基于Android平台的第三方类库的检测,有着重要意义.本文在前人研究工作的基础上,通过对第三方类库的源码进行合理的特征选取,然后进行哈希运算,将结果作为特征值存储在特征库中,最终通过特征匹配的方法检测出对于给定的Android应用程序都使用了哪些第三方类库.最后通过实验分析得出,该方法能够有效的检测出app中的第三方类库.     

Android恶意广告威胁分析与检测技术

Android第三方广告框架应用广泛,但Android系统漏洞和Android第三方广告框架的逻辑缺陷严重威胁着Android市场安全。攻击者可以通过恶意广告获取敏感数据、触发敏感操作,甚至是以应用程序的权限执行任意代码。该文总结了4种Android恶意广告攻击方式,并针对这4种方式设计了一种基于后向切片算法和静态污点分析的Android第三方广告框架静态测量方法,以及一种基于API Hook和靶向API Trace的Android恶意广告敏感行为动态检测方法。基于以上研究,该文设计并实现了Android恶意广告威胁分析与检测系统,通过实例证明该系统能够有效地分析Android第三方广告框架可能存在的安全隐患,并能够动态检测Android恶意广告的敏感行为。     

基于机器学习的Android应用组件暴露漏洞分析

现阶段已有很多Android应用软件的自动化漏洞检测方法,针对现有漏洞检测方案仍然依赖于先验知识并且误报率较高的问题,本文研究了基于机器学习的Android应用软件组件暴露漏洞的分析方法.在对Android应用软件结构进行全方位分析的基础上,结合组件暴露漏洞模型,建立了相应的机器学习系统,并能够对Android漏洞特征进行提取、数据清理和向量化.结合人工分析与验证,建立了1 000个Android APK样本集,并通过训练实现了组件暴露漏洞的自动化识别,达到了90%以上的精确度.      

基于Markov链模型的Android平台恶意APP检测研究

目前Android手机上恶意APP安全检测方法大致分为两种,静态检测和动态检测.静态检测利用逆向分解手机安装文件,对APP安装文件进行分解,提取其代码特征和正常应用样本数据库中样本进行对比,判定APP是否存在恶意行为.动态监测基于对系统信息和应用行为的监控结果来判断APP是否为恶意应用.静态方法由于样本库规模的的限制很难检测病毒变种和新型病毒,动态检测需要事实监控系统行为,占用大量手机资源并且检测识别率不高.本文以Markov链模型为基础结合了动态监控应用行为和用户行为的方法得出的Android平台恶意APP检测方法.最后结合静态检测对apk文件进行分析,以增加动态监控方法的准确性.     

支持加壳应用的Android非侵入式重打包方法研究

通过分析Android的应用特点, 提出一种新的Android重打包方法。该方法可以在不反编译、不修改原有应用代码的基础上, 实现对Android应用的重打包, 并支持主流加壳工具。该方法利用多种新的代码注入技术, 引入额外代码; 加载Hook框架, 提供代码修改能力; 最后动态修改应用行为, 实现应用重打包。实现了原型框架, 并通过实验, 验证了该框架在多个Android系统版本及多个加壳服务上的有效性。既证明了现有加壳技术的缺陷, 又可以用于对Android应用的动态调试、防御功能部署以及应用修改等。     

基于BAE云实现Android应用数据的远程存取

该文介绍了一种在Android平台上使用BAE进行应用数据远程存取的方法,通过借助百度公司为开发者提供的云平台,Android开发者可以不必再使用自己的云主机进行用户的数据存储.该方法实践性强、使用价值大,对Android应用程序开发者来说是一个较好的远程数据存储的实现方案.     

基于AJAX的富客户端应用内存泄漏研究

在基于AJAX技术的富客户端应用中,闭包循环引用是一种非常隐蔽的循环引用。而由于IE浏览器对DOM对象和JavaScript对象在内存管理上的缺陷,造成在实际应用中很容易出现严重的内存泄漏问题。结合担保业务处理系统中的"档案提交/退档"模块核心代码,深入分析了造成IE浏览器内存泄漏的原因,提出了有效解决这种内存泄漏问题的方案,这对基于AJAX技术的富客户端应用开发,有很好的借鉴作用。     

Android重包装应用程序静态分析系统的设计

本文以Android重包装应用程序的检测为研究内容,通过对当前主流的静态分析技术进行对比与总结,提出了一种基于众包的Android重包装应用程序静态分析方法。该方法选取能表征Android应用程序唯一性的信息作为特征字符串,利用众包构建Android应用程序注册与数据库服务平台,对比签名鉴别重包装应用程序。最后为验证所提出方法的有效性,构建原型系统进行实验测试。实验结果表明,本方法能够有效进行Android重包装应用程序的静态分析。     

Google SafetyNet中Root检测机制安全性研究

Android系统中的Root是指利用系统漏洞或者通过刷机使得应用能够执行需要Root权限的操作.用户常常出于个性化设备、安装特权应用等目的将设备Root,而对设备Root会引入很大的安全风险.攻击方得到Root权限后可以进行静默安装恶意应用、窃取用户敏感数据及篡改应用程序等恶意操作.由于上述安全风险的存在,Android系统和大多数应用程序不希望设备被Root.为此,Google移动服务框架中的SafetyNet模块提供了平台级的Root检测.但SafetyNet Root检测机制本身的安全性及健壮性尚不完全清晰,突出的问题是此机制是否可能被绕开还不明了.为此,本文使用逆向工程的方法分析了Google移动服务框架中SafetyNet的Root检测机制,并结合Root的技术原理,分析了相关检测机制的实现方式并发现了其中的弱点.通过攻击实验,成功地揭示了Google平台级Root检测机制实现中存在有较高的安全风险,难以检测本文设计的Root方法.      

Research of Memory Leak Based on AJAX Rich lnternet Application

在基于AJAX技术的富客户端应用中，闭包循环引用是一种非常隐蔽的循环引用。而由于IE浏览器对DOM对象和JavaScript对象在内存管理上的缺陷，造成在实际应用中很容易出现严重的内存泄漏问题。结合担保业务处理系统中的“档案提交／退档”模块核心代码，深入分析了造成IE浏览器内存泄漏的原因，提出了有效解决这种内存泄漏问题的方案，这对基于AJAX技术的富客户端应用开发，有很好的借鉴作用。