一种多层次的自动化通用Android脱壳系统及其应用

为解决Android平台应用程序使用加壳服务后难以进行静态代码分析的问题,研究应用程序自动化通用脱壳技术.在Android Dalvik虚拟机的基础上,设计并实现了一种多层次的自动化通用脱壳系统,提出了多粒度的数据还原方案,保证数据还原的完整性和有效性,能正确还原出加壳应用中被加密的代码内容.实验表明,该系统适用于市面上主流的加壳服务.利用该系统,对市场上被加壳的应用程序进行安全性评估,发现加壳应用比未加壳应用存在更多的安全问题,证明了脱壳系统的实际应用价值.      

Windows恶意代码动态通用脱壳方法研究

加壳技术为程序保护提供了一种新的思路,但同时也成为恶意代码的保护伞.恶意软件通过加壳可以批量、快速地生成海量变种,给分析人员带来极大的困扰.因此,研究脱壳技术成为解决该问题的一种有效方法.传统的脱壳方法如UPX、ASProtect等针对的是特定种类的壳,因其不能应付壳的版本与种类的变化而逐渐无法适用,研究一种通用的动态脱壳方法是极为必要的.根据加壳程序执行时都要在内存中还原原始代码的特点,在动态二进制分析平台的基础上提出了一种基于内存标记的动态通用脱壳方法.实验表明,该方法无需先验知识就可以有效地定位加壳程序的原始入口点,提取出程序的原始代码,具有较好的脱壳效果.     

Android恶意广告威胁分析与检测技术

Android第三方广告框架应用广泛,但Android系统漏洞和Android第三方广告框架的逻辑缺陷严重威胁着Android市场安全。攻击者可以通过恶意广告获取敏感数据、触发敏感操作,甚至是以应用程序的权限执行任意代码。该文总结了4种Android恶意广告攻击方式,并针对这4种方式设计了一种基于后向切片算法和静态污点分析的Android第三方广告框架静态测量方法,以及一种基于API Hook和靶向API Trace的Android恶意广告敏感行为动态检测方法。基于以上研究,该文设计并实现了Android恶意广告威胁分析与检测系统,通过实例证明该系统能够有效地分析Android第三方广告框架可能存在的安全隐患,并能够动态检测Android恶意广告的敏感行为。     

采用函数调用关系的注入型Android恶意应用检测

针对注入型Android恶意应用日益泛滥、传统检测方法依赖大量已知特征的问题,提出了采用函数调用关系的注入型Android恶意应用检测方法。该方法无须依赖大量已知特征,仅通过分析注入型Android恶意应用的自身结构特征即可实现对该类恶意应用的有效检测,并能够实现对未知恶意代码家族的识别。所提方法在smali代码的基础上构建函数调用关系图,并进一步进行子图划分,通过判定各子图威胁度确定是否存在恶意行为。检测过程无需动态行为分析辅助,因此分析检测时间短、效率高。该方法不仅可以检测出Android应用是否存在恶意行为,还可根据子图威胁度确定包含恶意行为的具体代码。经过对1 260个Android恶意应用和1 000个正常应用的实验分析发现:所提方法能够很好地检测注入型Android恶意应用,当误报率为8.90%的时候,检测率达到95.94%,相对于主流Android恶意应用检测系统Androguard,检测效果有显著提升。     

基于自定义安全策略的Android应用细粒度访问控制方法

针对Android权限模型存在的访问控制粒度较粗和权限过度授予等问题,该文提出一种基于自定义安全策略的Android应用细粒度访问控制方法。该方法允许用户自定义和描述安全策略,并采用安全控制代码重定向技术,由此可以根据安全策略控制Android应用对敏感系统资源的访问,实现对过度授予权限的过滤。实验结果表明,该方法对不同版本的Android系统具有良好的兼容性,能够灵活有效地控制Android应用对敏感系统资源的访问。     

基于特征匹配的Android应用漏洞分析框架

Android平台应用数量迅速增长,随之而来的安全问题也日益增多。但现有分析工具大多数只对应用进行简单的扫描,较少涉及深层次的数据流分析,因此某些漏洞无法有效地被发现。该文基于对已有Android应用漏洞特征的归纳,提出一种Android应用漏洞的静态分析框架。从Manifest文件扫描、Smali代码危险函数分析、数据流分析等3个层面归纳了7类主流安全漏洞模式,依此构建了漏洞检测规则,并结合相关静态分析技术对应用进行分析,以发现其中存在的安全漏洞。通过对323个Android应用程序的实验分析,结果表明:该框架的有效检出率在70%以上,误报率在30%以下。因此,该框架能够有效发现Android应用中常见的安全漏洞,提高用户安全性。     

一种反动态调试和网络交互加密验证的Android软件保护策略

为对抗对Android软件的逆向分析和恶意破解,通过对Android安全技术中反动态调试技术的深入研究,对现有技术进行了改进.综合利用反动态调试、软件加密、反射及动态加载等技术,设计并实现了一种基于网络密钥的Android应用加固方案.对方案的可行性、反动态调试及对抗脱壳的有效性进行了实验验证.实验结果表明,该方案能有效阻止对Android软件的逆向分析,增加了破解Android软件的难度,增强了Android软件的安全性.      

基于AOP的Java混淆代码攻击的研究

为了研究代码混淆技术的安全性,利用AOP提供的连接点模型和字节码操作机制,提出了一种新的针对混淆代码的攻击方法,其操作均在字节码级别上完成。实验证明,该方法不需要获取目标程序的源代码,从而使代码混淆失去意义;此外,对于攻击者而言,不用对反编译后的程序执行再编译,就可以修改目标代码的行为。与现有的代码混淆技术相比,这种新的攻击方法更加直接且简单易行,是一种行之有效的方法。     

WebView组件漏洞自动化检测与验证方法

Android系统WebView组件应用广泛,相关漏洞危害大、影响广,但现有依赖静态匹配敏感函数的检测方法存在漏洞误报率高等问题.为此,本文提出了基于静态分析与动态验证技术融合的WebView组件漏洞自动化检测与验证方法,通过对漏洞可疑点进行可达性分析,避免对不可达路径的无效动态遍历,提高了分析效率;将数据依赖分析与模拟真实攻击行为的动态验证相结合,及时判断漏洞触发的真实性,降低了误报率.已实现原型工具XWebViewDigger并测试了80个Android应用,检出并验证18个应用存在漏洞,与现有方法相比,误报率有效降低.      

Web服务客户端自动生成器模型设计与实现

设计并实现了一个代码自动生成器模型,完成从WSDL文档到具体Web服务客户端代码的映射过程,指出了IBM的WSIF应用框架的不足,从实践上探索了动态电子商务架构的一个重要技术,模型定义了从WSDL定义数据类型到相应Java数据类型完全自动化的映射机制,提供了对一些新的用户定义数据类型的支持,并通过在模型中定义映射规则,完成了不需人工干预的代码生成和正确性检验工作.     

DroidDetector: Android Malware Characterization and Detection Using Deep Learning

Smartphones and mobile tablets are rapidly becoming indispensable in daily life. Android has been the most popular mobile operating system since 2012. However, owing to the open nature of Android, countless malwares are hidden in a large number of benign apps in Android markets that seriously threaten Android security. Deep learning is a new area of machine learning research that has gained increasing attention in artificial intelligence. In this study, we propose to associate the features from the static analysis with features from dynamic analysis of Android apps and characterize malware using deep learning techniques. We implement an online deep-learning-based Android malware detection engine(Droid Detector) that can automatically detect whether an app is a malware or not. With thousands of Android apps, we thoroughly test Droid Detector and perform an indepth analysis on the features that deep learning essentially exploits to characterize malware. The results show that deep learning is suitable for characterizing Android malware and especially effective with the availability of more training data. Droid Detector can achieve 96.76% detection accuracy, which outperforms traditional machine learning techniques. An evaluation of ten popular anti-virus softwares demonstrates the urgency of advancing our capabilities in Android malware detection.     

Android系统中恶意代码的动态检测技术研究

随着手机普及程度的日益提高,人们对智能手机的依赖性加重,手机的安全性问题变得愈加突出.根据Android安装包(APK)文件的权限调用和Android系统的应用程序接口(API)函数调用情况,设计了一种基于API拦截技术的检测恶意代码的动态检测方法.实验结果表明,该方法可以有效检测并报告Android系统中的恶意代码.     

基于Android的二维码食品药品回溯系统

为便于消费者查询所需食品和药品的详细信息,提出了基于Android的二维码食品药品回溯系统。采用快速响应(QR: Quick Response)矩阵码, 对信息中汉字进行准确编码, 基于Android 4.0.3嵌入式硬件开发平台, 实现识别界面和显示界面等功能界面的设计。通过无线网络与MySQL(My Structured Query Language)数据库进行数据传输, 实现信息查询、 录入等操作。测试结果表明, 在二维码扫描过程中该系统具有良好的抗干扰性, 在以最大旋转角45°对二维码进行扫描时, 仍可对信息进行有效识别。同时依托Android系统较强的移动性, 该系统可得到更广泛的应用。     

Android平台安全机制浅析

Android作为全球最受欢迎的智能手机平台,由于源码开放、可编程软件框架等特点,随着Android平台的普及,相关的安全威胁也日趋严重。文中基于Android平台的系统构架,从Linux机制、运行环境、Android固有机制三个方面分析Android平台的安全机制,阐述了上述安全机制中可能存在的安全隐患,并提出目前常见的安全防范措施来应对存在的安全挑战。     

基于离散超小波变换的光码正交码

在光码分多址系统中,提高系统容量需要增大光正交码的长度,从而压缩光脉冲,而超短光脉冲的产生不易实现。针对这一问题,提出了一种研究光正交码的新方法,采用离散超小波变换对光正交码进行变换,经变换之后得到的新光正交码集仍具有良好的自相关性与互相关性。由此,对光正交码的研究与构造可转化为对新正交码的研究与构造。且采用该方法构造的光正交码在光码分多址系统中能有效地提高系统容量。     

BLE Mesh: A Practical Mesh Networking Development Framework for Public Safety Communications

Owing to advanced storage and communication capabilities today, smart devices have become the basic interface between individuals and their surrounding environment. In particular, massive devices connect to one other directly in a proximity area, thereby enabling abundant Proximity Services(Pro Se), which can be classified into two categories: public safety communication and social discovery. However, two challenges impede the quick development and deployment of Pro Se applications. From the viewpoint of networking, no multi-hop connectivity functionality component can be directly operated on commercially off-the-shelf devices, and from the programming viewpoint, an easily reusable development framework is lacking for developers with minimal knowledge of the underlying communication technologies and connectivity. Considering these two issues, this paper makes a twofold contribution. First, a multi-hop mesh networking based on Bluetooth Low Energy(BLE) is implemented,in which a proactive routing mechanism with link-quality(i.e., received signal strength indication) assistance is designed. Second, a Pro Se development framework called BLE Mesh is designed and implemented, which can provide significant benefits for application developers, framework maintenance professionals, and end users. Rich application programming interfaces can help developers to build Pro Se apps easily and quickly. Dependency inversion principle and template method pattern allow modules in BLE Mesh to be loosely coupled and easy to maintain and update. Callback mechanism enables modules to work smoothly together and automation processes such as registration, node discovery, and messaging are employed to offer nearly zero-configuration for end users.Finally, based on the designed Pro Se development kit, a public safety communications app called Quote Send App is built to distribute emergency information in close area without Internet access. The process illustrates the easy usability of BLE Mesh to develop Pro Se apps.     

基于Android的简易聊天系统的设计和实现

通过搭建Android应用开发平台,完成了Android应用程序的开发以及从总体设计到详细设计的工作。设计了一款基于Android的简易聊天系统,它主要实现了简易的聊天功能,应用程序界面都通过Android UI设计完成,通过虚拟机调试分析直至最后编码通过。     

Research on android malware detection and interception based on behavior monitoring

Focusing on the sensitive behaviors of malware, such as privacy stealing and money costing, this paper proposes a new method to monitor software behaviors and detect malicious applications on Android platform. According to the theory and implementation of Android Binder interprocess communication mechanism, a prototype system that integrates behavior monitoring and intercepting, malware detection, and identification is built in this work. There are 50 different kinds of samples used in the experiment of malware detection, including 40 normal samples and 10 malicious samples. The theoretical analysis and experimental result demonstrate that this system is effective in malware detection and interception, with a true positive rate equal to 100% and a false positive rate less than 3%.     

基于敏感权限及其函数调用图的Android恶意代码检测

为了有效地检测Android平台上的恶意软件,提出了一种基于敏感权限及其函数调用流程图的静态综合检测方法.通过对恶意软件进行逆向工程分析,构建了包含恶意代码敏感权限与函数调用图的特征库.并采用Munkres匈牙利算法计算待测样本与特征库在相同敏感权限下两个函数调用图之间的编辑距离,得到两个函数调用图之间的相似性,进而得到两个应用程序之间的相似性,据此对恶意软件进行检测识别.实验结果表明,该检测方法具有较高的准确性与有效性,检测效果明显优于工具Androguard.     

基于上行信道盲估计的宽带码分多址用户检测器

针对宽带码分多址（CDMA）系统中同时存在多址干扰与码间串扰的情况进行研究,给出了适用于宽带CDMA系统的卷积模型,利用子空间技术及已知的扩频码信息,将适用于单用户的单输入多输出系统信道盲估计方法扩展到码发侈址系统中,实现了多用户上行信道的盲估计,利用有限码集特性,解决了上行信道盲估计中存在不确定复系数的问题,在此基础上,给出了最小均方误差多用户检测器的实现方案,计算机仿真实验证明,提出的方法可以同时克服多址干扰及码间串扰,是实现宽码分多址系统多用户检测的一个有效途径,同时该方法还可以推广到基站采用智能天线的系统中,实现对矢量信道冲激响应有的盲估计。