移動(dòng)應(yīng)用批量檢測(cè)系統(tǒng)技術(shù)方案

移動(dòng)應(yīng)用批量檢測(cè)系統(tǒng)技術(shù)方已經(jīng)開始我國的國家安全。三中全會(huì)提出了國家安全的建立，使得在國家層面關(guān)注度得到的極大提升。今年2月27日，網(wǎng)絡(luò)安全和信息化小組成立，親自擔(dān)任組長(zhǎng)，，沒有就沒有國家安全，沒有信息化就沒有現(xiàn)代化。這說明，我國對(duì)信息安全的認(rèn)識(shí)已經(jīng)上升到了層面。各種各樣的行為極大的損害了廣大用戶的利益據(jù)CNCERT報(bào)告統(tǒng)計(jì)，騙等程序量最高。2013年隱私類（可以將用戶的帳戶等發(fā)送到指定位置）的比例達(dá)到21%，中的資費(fèi)消耗類的程序量最高，比例占46%，扣費(fèi)類比例達(dá)到21%。圖：各類程序所占比 動(dòng)應(yīng)用進(jìn)行批量檢測(cè)。同時(shí)，天翼空間自身成立了一個(gè)約10個(gè)人的團(tuán)隊(duì)在進(jìn)行人工檢測(cè)和復(fù)查。人工測(cè)試一款待上線應(yīng)用，包括安全性（如：音、等系統(tǒng)檢測(cè)不太準(zhǔn)確的內(nèi)容和可用（如:功能可用性終端適配性等）20-50測(cè)，因而灰度的界定一直是難題。對(duì)與APP中包含的的、缺乏有效的管在檢測(cè)技術(shù)方面，如對(duì)、文字的合規(guī)檢測(cè)，主要依賴人工，缺乏技檢測(cè)提供的檢測(cè)依據(jù)；提供的安全策略，對(duì)所有的移動(dòng)應(yīng)用進(jìn)行移動(dòng)應(yīng)用批量檢測(cè)架構(gòu)設(shè)全性已經(jīng)確定，用于檢測(cè)過程中的比對(duì)。包括：代碼特征庫、文件庫、黑白庫、開發(fā)者庫、庫、內(nèi)容庫。查殺引擎：對(duì)現(xiàn)有已發(fā)現(xiàn)的特征進(jìn)行掃描，為保障掃描的全面性靜態(tài)檢測(cè)系統(tǒng)APK包反編譯成源文件和對(duì)其進(jìn)行開發(fā)者識(shí)別、配置文件分析、敏感行為分析、文件分析、URL文字分析等工作。態(tài)產(chǎn)生的行為，主要包括：網(wǎng)絡(luò)行為檢測(cè)、文件IO行為檢測(cè)、行為參數(shù)分析、數(shù)據(jù)加密、反射函數(shù)、虛擬環(huán)境破壞幾個(gè)部分。人工分析平臺(tái)：一方面是對(duì)匹配上的、靜態(tài)檢測(cè)、動(dòng)態(tài)檢測(cè)產(chǎn)生其他系統(tǒng)將不良信息進(jìn)行集中管理向移動(dòng)應(yīng)用提供、不良信息的檢測(cè)服務(wù)，從而衡量標(biāo)準(zhǔn)。針對(duì)目前移動(dòng)應(yīng)用中存在的篡改、二次加殼等現(xiàn)象，將正版文件計(jì)算HASH值，然后與待檢測(cè)的HASH值進(jìn)行比對(duì)，從而判斷是否被修改。移動(dòng)應(yīng)用批量檢測(cè)架構(gòu)流程過代碼查殺步驟，對(duì)市面上已知的代碼進(jìn)行查殺；然后經(jīng)過靜態(tài)檢測(cè)步驟，對(duì)待檢測(cè)應(yīng)用的風(fēng)險(xiǎn)級(jí)別進(jìn)行判定；之后經(jīng)過動(dòng)態(tài)檢測(cè)，讓在沙盒中運(yùn)營，捕獲其的行為；最后進(jìn)入人工檢測(cè)環(huán)節(jié)，對(duì)高風(fēng)險(xiǎn)、有待判定行查殺引擎方基于特征代碼的查殺原理：使用每一個(gè)代碼體含有的特征 發(fā)現(xiàn)了某一特征碼，就表明發(fā)現(xiàn)了該特征碼所代表的代碼。查殺引擎的邏輯結(jié)構(gòu)圖：反引擎結(jié)APKAPK特征庫:用戶存放各類型特征值，包括：特征字串庫、.Smali庫、特征文件庫；特鎮(zhèn)庫模塊可以靈活設(shè)置，可以與云端平臺(tái)合并，在查殺引擎的實(shí)際部署方面可以與中國電信網(wǎng)運(yùn)部建設(shè)的代碼平臺(tái)進(jìn)行對(duì)接，作為的查殺引擎。此外，合作廠商查殺引擎的建設(shè)方面，建議與騰訊管家、等反廠商合作，廠商一般會(huì)提供反引擎程序在本地進(jìn)行查殺，定時(shí)更新庫即可。反引擎已經(jīng)內(nèi)置了特征碼查殺和啟發(fā)式查殺。首先使用APKTool工具（或者其他類似工具）將APK文件分解得到AndroidManifesf.xml文件Classes.dexMETA-INF文件夾和resclasses.dexSmali將AndroidManifesf.xml文件、Classes.dex文件、.Smali文件進(jìn)行特針對(duì)AndroidManifesf.xml文件、Classes.dex文件進(jìn)行字符串特征值匹配；針對(duì).Smali.Smali最后將獲取的代碼名稱、路徑、特征值返回管理平臺(tái)圖：代碼查殺流靜態(tài)檢測(cè)方靜態(tài)檢測(cè)原理：通過靜態(tài)檢測(cè)系統(tǒng)，可以區(qū)分出安全的應(yīng)用程序和各種從多個(gè)角度進(jìn)行風(fēng)險(xiǎn)分析和計(jì)算出風(fēng)險(xiǎn)系數(shù)。java的反射機(jī)制，無法解析出動(dòng)態(tài)參數(shù)，以及動(dòng)移動(dòng)應(yīng)用基本信息識(shí)別模塊MD5/SHA-3級(jí)（越高越負(fù)責(zé)識(shí)別應(yīng)用程序的開發(fā)者信息，檢測(cè)應(yīng)用程序的安全性。開發(fā)者識(shí)別是基于開發(fā)者行識(shí)別的，開發(fā)者庫按安全風(fēng)險(xiǎn)等級(jí)定義開發(fā)者。主要內(nèi)容：包括開發(fā)者信息、識(shí)別、MD5/SHA-3級(jí)（越高越表：開發(fā)者信用上傳次數(shù)和檢測(cè)記錄綜合評(píng)定；利用識(shí)別開發(fā)者，每檢測(cè)1個(gè)安全的應(yīng)用分?jǐn)?shù)加1，每發(fā)現(xiàn)1個(gè)應(yīng)用分?jǐn)?shù)減5，根據(jù)分?jǐn)?shù)確定的等級(jí)移動(dòng)應(yīng)用的開發(fā)者的相關(guān)信息在，META-INF下。該中包含，開發(fā)者、公鑰、頒發(fā)者、序列號(hào)等信息。文件識(shí)別處理模一些代碼經(jīng)常被加密成資源文件，從而避免被查殺到，文件識(shí)別處理模塊負(fù)責(zé)檢測(cè)應(yīng)用程序中是否包含文件，包括程序、加密的毒文件、系統(tǒng)提權(quán)文件、、配置文件等等實(shí)現(xiàn)原理：該模塊首先提取出應(yīng)用程序的文件信息，然后在文件庫中檢測(cè)，然后在文件庫中檢測(cè)。圖：文件識(shí)別原理示敏感行為分析模被或可疑利用的行為點(diǎn)。在Android應(yīng)用中，需要使用某種權(quán)限，需要在AndroidManifest.xml中申明的移動(dòng)應(yīng)用的安裝權(quán)限，如：行行為類在收件箱創(chuàng)建行行為類在收件箱創(chuàng)建在收件箱刪除使背景燈長(zhǎng)程序IMEIIMSIGSMGPS通話狀態(tài)行位置行獲取打開打設(shè)置收藏夾主疑似行添加網(wǎng)頁到收藏疑似行疑似行配置文件分析模配置文件分析模塊負(fù)責(zé)分析manifest等配置文件，解析出應(yīng)用程序是否分析AndroidManifest.xml配置文件，解析出應(yīng)用包含的activityreceiver、service、contentprovider4receiver的事件作為判斷的一個(gè)評(píng)分點(diǎn)。應(yīng)用的高如下： "ent.action.PACKAGE_ADDED":"處理app安裝","ent.action.PACKAGE_CHANGED":"處理app改變","ent.action.PACKAGE_REMOVED":"處理app刪除","ent.action.PACKAGE_RESTARTED":"處理app重啟","vider.ephony.SMS_RECEIVED":"處理接收 事件

"ent.action.DATA_SMS_RECEIVED":"處理接收數(shù)據(jù)"vider.ephony.WAP_PUSH_RECEIVED":"處理接收PUSH"ent.action.NEW_OUTGOING_CALL":"處理呼出的","ent.action.PHONE_STATE":"處理狀態(tài)改變事件，"ent.action.PACKAGE_INSTALL":app權(quán)限分析模將權(quán)限分析模塊引入系對(duì)已知按照的必限進(jìn)行檢驗(yàn)過濾同各類權(quán)限分析（基于具體代碼）的分類，見附件字符串分析模符串，包括特征字符串、、特定配置信息、特定方法名字符串等開頭的字符串，并與URL庫中的文件進(jìn)行比較字符串提取方法從apk文件的classes.dex文件中提取字符串然后從res下提取strings.xml文件中的字符串，與庫列表中的詞進(jìn)行比較。和音提取方法：將apk文件反編譯，提取res和 下jpg/png/ico/mp3/avi等常見格式后綴的文件然后人工分析確認(rèn)是否有不合適內(nèi)容的音文件。靜態(tài)檢測(cè)的流程首先使用APKTool工具（或者其他類似工具）將APK文件分解得到AndroidManifesf.xml文件、Classes.dex文件、META-INF文件夾和res、Assetclasses.dex.Smali分別對(duì)AndroidManifesf.xml文件進(jìn)行組件和權(quán)限分析、對(duì)Res、Asset文件夾進(jìn)行內(nèi)容分析，對(duì).Smali文件進(jìn)行調(diào)用函數(shù)分析，對(duì)META-INF進(jìn)行aia,動(dòng)態(tài)檢測(cè)方動(dòng)態(tài)檢測(cè)系統(tǒng)原Javadexjar，native動(dòng)態(tài)檢測(cè)主要分為兩塊：1.事件模擬2.是應(yīng)用常見的觸發(fā)判斷條件。系統(tǒng)控制：主要包括安裝并啟動(dòng)apk、動(dòng)態(tài)污染數(shù)據(jù)分析、行為日志記錄。動(dòng)態(tài)污染數(shù)據(jù)分析用來進(jìn)行隱私的檢測(cè)，包括、聯(lián)系人、IMSI、IMEI、等。行為日志記錄用來進(jìn)一步分析應(yīng)用進(jìn)行的操作。動(dòng)態(tài)檢測(cè)系統(tǒng)監(jiān)測(cè)范圍包括網(wǎng)絡(luò)文件IO 安裝包的安裝以及發(fā)起進(jìn) 文件讀寫事件及發(fā)起進(jìn)行聯(lián)網(wǎng)的地址、內(nèi)容以及發(fā)起進(jìn)實(shí)時(shí)流量，支其記錄一段時(shí)間內(nèi)文件IO使用strace記錄系統(tǒng)調(diào)用的方式實(shí)現(xiàn)網(wǎng)絡(luò)使用tcpdump抓包的方式進(jìn)行并用程序分析抓取的網(wǎng)絡(luò)數(shù)行為通過分析運(yùn)行日志記錄的方法提取出來。具體記錄的行為如下：["sendData_fuc","["action:vider. ["dial_fuc","撥打["call_fuc","撥打"],["answerRingingCall_fuc","接聽"],["acceptCall_fuc","接聽"],["rejectCall_fuc","拒接["installPackage_fuc","apk"],["deletePackage_fuc","刪除apk"],["act=ent.action.CALL","撥打"], :su","提權(quán)"], :remount","掛載文件系統(tǒng)"], :/system/xbin/su","提權(quán)"], :/system/bin/su","提權(quán)"], ephony/carriers","APN相關(guān)操作"],["getDeviceId_fuc","獲取IMEI"],["getSimSerialNumber_fuc","獲取序列號(hào)"],["getSubscriberId_fuc","獲取IMSI"],["getLine1Number_fuc","獲取號(hào)碼"],["startWifi_fuc","開啟WIFI"],["startScan_fuc","WIFI"],["setWifiEnabled_fuc","WIFI可用狀態(tài)"],["startDownloadByUri_fuc","網(wǎng)絡(luò)資源"], .android.browser/.BrowserActivity","網(wǎng)絡(luò)"]其他輔助系統(tǒng)原理設(shè)檢測(cè)系檢測(cè)系統(tǒng)檢測(cè)應(yīng)用程序所包含的。系統(tǒng)基于特征對(duì)應(yīng)用程序進(jìn)行檢測(cè)，返回所包含的名稱、廠家、類型等信息檢測(cè)方法，人工分析收集市面上常用的第平臺(tái)，提取特征Activity，制作平臺(tái)庫，然后根據(jù)組件分析中的Activity名字與平臺(tái)行匹配來檢測(cè)使用的平臺(tái)。不良信息過濾系包括將音文字提取提取模塊通過配置文件的方式實(shí)時(shí)地對(duì)擎進(jìn)行控制，按照用戶的不同需求，使用，F(xiàn)TPSFTPFT（SFTPFTP程序正版鑒定系程序正版鑒定系統(tǒng)檢測(cè)應(yīng)用程序是否為正版。首先提取出應(yīng)用程序的并賦一個(gè)權(quán)值作為該模塊的返回值。如果信息不一致，逐步比對(duì)里面逐個(gè)文件，找出篡改點(diǎn)。通過檢測(cè)確定被檢測(cè)程序包是否為正版，或是被第惡系統(tǒng)的服務(wù)流程及對(duì)接接天翼空間安檢服務(wù)現(xiàn)場(chǎng)服務(wù)2014app20201317萬。每天檢測(cè)的應(yīng)用數(shù)量大約100個(gè)應(yīng)用；按照平均15M的文件大小，預(yù)計(jì)安全檢測(cè)系統(tǒng)的待檢測(cè)應(yīng)用每天在特定時(shí)間（大約是凌晨1點(diǎn)） ，安檢系統(tǒng)獲取程序APK應(yīng)用的提交方式有3種一種是方式安檢服務(wù)器指定的文件 有新APK立即發(fā)起檢測(cè)；另一種是動(dòng)態(tài)提交方式，安檢平臺(tái)提供URL接口，調(diào)，用方提供APK地址安檢