基于Rootkit技術(shù)Android系統(tǒng)木馬程序的分析.pdf

1、隨著移動(dòng)終端的普遍性日益提高，移動(dòng)終端的操作系統(tǒng)得到迅速的發(fā)展，Android是一個(gè)專為移動(dòng)設(shè)備設(shè)計(jì)的系統(tǒng)平臺(tái)，并迅速成為主流的手機(jī)平臺(tái)之一，因?yàn)樵撈脚_(tái)的應(yīng)用程序具有對(duì)硬件平臺(tái)沒特定要求、移植限制條件低和開放源代碼的優(yōu)點(diǎn)，與此同時(shí)，Android系統(tǒng)的用戶信息安全也成為了行業(yè)內(nèi)的焦點(diǎn)。但是在Android系統(tǒng)的木馬方面的研究，國內(nèi)的研究程度遠(yuǎn)落后于外國，尤其對(duì)于內(nèi)核級(jí)的木馬防護(hù)方面國內(nèi)的研究成果近乎空白，在當(dāng)前主流的木馬檢測(cè)數(shù)據(jù)庫里缺乏

2、日益更新的木馬特征數(shù)據(jù)，這已經(jīng)讓木馬的防護(hù)產(chǎn)生了濟(jì)后性，并且Android系統(tǒng)的用戶群里不僅僅是普通大眾，更有掌握地方政治經(jīng)濟(jì)事務(wù)的人員，也不乏掌握政府科研機(jī)構(gòu)最前沿信息的人員，隨著高科技產(chǎn)品的推廣，用戶對(duì)信息的防護(hù)意識(shí)薄弱，高科技犯罪、不為人知的泄密事件在不斷地威脅著公眾的個(gè)人信息，當(dāng)然，也威脅著國家經(jīng)濟(jì)政治安全，為此本文圍繞著Android操作系統(tǒng)用戶級(jí)以及內(nèi)核級(jí)木馬關(guān)鍵技術(shù)進(jìn)行研究。
　　 對(duì)基于Linux系統(tǒng)的rootk

3、it有兩類檢測(cè)方法:靜態(tài)檢測(cè)方法開始自定義一系列的系統(tǒng)非法行為，譬如非法內(nèi)存存取，非法運(yùn)行線路更改等等，當(dāng)發(fā)現(xiàn)匹配自定義的非法行為時(shí)，就發(fā)出入侵報(bào)告，這種檢測(cè)方法缺陷在于操作系統(tǒng)多種多樣，而自定義的系統(tǒng)非法行為難以確保在多個(gè)系統(tǒng)下都準(zhǔn)確;動(dòng)態(tài)檢測(cè)方法開始會(huì)選擇一個(gè)系統(tǒng)安全狀態(tài)，相隔相同時(shí)間地把系統(tǒng)的運(yùn)行狀態(tài)跟安全狀態(tài)比較，以確定系統(tǒng)中是否存在木馬，但這類方法難以確保在安全狀態(tài)確定的時(shí)候，系統(tǒng)并沒存在木馬。由此可見，當(dāng)前的木馬檢測(cè)技術(shù)并不

4、能確保Android系統(tǒng)安全。
　　 本文從課題背景入手，簡(jiǎn)要說明了Rootkit的發(fā)展現(xiàn)狀。接下來，簡(jiǎn)單介紹了Android系統(tǒng)的體系結(jié)構(gòu)、進(jìn)程間通信、安全機(jī)制及當(dāng)前主流的木馬檢測(cè)技術(shù)等，然后以Android系統(tǒng)環(huán)境為攻擊目標(biāo)，分析了Android系統(tǒng)的漏洞，根據(jù)用戶級(jí)Rootkit技術(shù)的入侵原理及實(shí)現(xiàn)技術(shù)，結(jié)合系統(tǒng)中的共享庫注射技術(shù)，實(shí)現(xiàn)了基于Rooktit技術(shù)Android系統(tǒng)HOOK進(jìn)程注入動(dòng)態(tài)庫的用戶級(jí)木馬;最后重點(diǎn)分

5、析研究了Android系統(tǒng)調(diào)用過程，利用傳統(tǒng)的基于LKM的rootkit技術(shù)攔截替換及新增Android系統(tǒng)調(diào)用，并在此基礎(chǔ)上對(duì)LKMrootkit隱蔽性的實(shí)現(xiàn)做了深入研究，從而實(shí)現(xiàn)有一定隱蔽性的Android系統(tǒng)內(nèi)核級(jí)木馬。這對(duì)于深入了解Android下基于Rootkit技術(shù)用戶級(jí)及內(nèi)核級(jí)木馬的工作原理，完善在Android系統(tǒng)上的防護(hù)檢測(cè)工作，從而提高Android系統(tǒng)安全性起著重要的作用。
　　 由于時(shí)間的關(guān)系，本文只詳細(xì)