[原创]Android 沙盘原理与实现-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]Android 沙盘原理与实现

2012-10-17 20:17 28981

[原创]Android 沙盘原理与实现

riusksk

2012-10-17 20:17

28981

TSRC在线阅读版：http://security.tencent.com/index.php/blog/msg/7
演示视频：http://v.qq.com/page/m/2/e/m0106zcuf2e.html

这里上传PDF一份，这是之前写的Android 沙盘MalDroidAnalyzer，主要介绍沙盘原理，以及演示MalDroidAnalyzer 的功能。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

Android沙盘原理与实现.pdf （1.02MB，1391次下载）

收藏・28

点赞・3

打赏

最新回复 (26) 1 2 ▶
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 340 粉丝 1 关注私信	goddkiller 2012-10-19 01:03 2 楼 0 thx for share it
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 141 回帖 1141 粉丝 40 关注私信	viphack 4 2012-10-19 06:55 3 楼 0 thank for you share it
caolinkai 雪币： 3730 活跃值： (3972) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 818 粉丝 1 关注私信	caolinkai 2012-10-19 09:14 4 楼 0 支持。。。。。。。。。。。。。。。
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	uwmnth 2012-10-21 02:42 5 楼 0 不错。。。。支持
zig 雪币： 1021 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	zig 2012-10-22 09:31 6 楼 0 ths for sharing......
hzactivex 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	hzactivex 2012-10-22 09:38 7 楼 0 很不错的东东，下载了，顶下楼主
einyboy 雪币： 107 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	einyboy 2012-10-22 10:57 8 楼 0 支持，hold住……
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2012-10-22 11:38 9 楼 0 MARK 辛苦了
工程雪币： 87 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 0 关注私信	工程 2012-10-23 11:39 10 楼 0 支持。。。。。。
羽风的星雪币： 90 活跃值： (106) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 0 关注私信	羽风的星 1 2012-10-25 16:12 11 楼 0 好东西，感谢楼主
ouyangtian 雪币： 130 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 169 粉丝 0 关注私信	ouyangtian 2012-10-27 11:15 12 楼 0 好文必须顶啊
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 19 回帖 240 粉丝 10 关注私信	dragonltx 6 2012-10-27 15:52 13 楼 0 nice! 上传的附件： dragonltx.jpg （29.35kb，14次下载）
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 284 粉丝 0 关注私信	seuer 2012-10-31 14:53 14 楼 0 泉哥那么视频怎么没声音啊。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-10-31 19:58 15 楼 0 本来就不需要声音啊
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-10-31 19:58 16 楼 0 你这签名不是一般的挫啊
古河雪币： 820 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 31 关注私信	古河 6 2012-10-31 20:53 17 楼 0 学习了，泉哥有研究过如何自动触发sample的行为，而不是人工去操作吗?
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-11-1 08:18 18 楼 0 当时考虑自动化操作，会比较盲目，而且操作过多地的话容易导致android程序崩溃，而根据命令行输出信息有选择性地进行人工操作，可以触发更多地恶意行为，更有利结果的准确性，所以当时就直接采用人工操作了。
古河雪币： 820 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 31 关注私信	古河 6 2012-11-1 11:56 19 楼 0 有选择性的模拟行为呢，比如生成代码的CFG图，然后首先定位关键的可疑函数(比如发送短信)，然后通过CFG图寻找到其对应的消息或者事件再模拟?
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-11-1 22:31 20 楼 0 理论上是可行的，但采用这种方法可能会造成很多干扰，它可能会触发很多正常程序行为，因为病毒大多是对正常程序进行重打包的。古河试着搞一个出来吧
cxiangy 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	cxiangy 2012-11-1 23:35 21 楼 0 支持支持支持支持支持支持支持支持支持支持
StartMenu 雪币： 202 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	StartMenu 2012-12-27 22:11 22 楼 0 求工具
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1040 粉丝 0 关注私信	whnet 2013-1-17 16:25 23 楼 0 沙盒的概念用的到处都是。这文章标题起的不好。不能叫Android 沙盘原理啊。 Android 自身有sandbox 这个功能。即使是native code 也是运行在sandbox 中的。而本文中的沙盒却是自己用的一套工具。准备讲应该是"基于Android 系统的一种沙盒实现及应用程序分析" 如果这是网秦的文章，略不厚道啊~~~~
fudingyu 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	fudingyu 2013-2-19 13:49 24 楼 0 这篇文章写得相当好,参考文献里面的西安交大做了一个在线的工具.
笨小孩xlz 雪币： 5 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	笨小孩xlz 2014-3-6 16:30 25 楼 0 great
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

riusksk

166

发帖

2652

回帖

1820

RANK

关注

私信

他的文章

[调查]未来针对个人电脑的商业杀毒软件是否会被替代或消亡？

[原创] honggfuzz漏洞挖掘技术深究系列

[原创]《漏洞战争》配套资料下载

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 340 粉丝 1 关注私信	goddkiller 2012-10-19 01:03 2 楼 0 thx for share it
viphack 雪币： 219 活跃值： (738) 能力值： (RANK：290 ) 在线值：发帖 141 回帖 1141 粉丝 40 关注私信	viphack 4 2012-10-19 06:55 3 楼 0 thank for you share it
caolinkai 雪币： 3730 活跃值： (3972) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 818 粉丝 1 关注私信	caolinkai 2012-10-19 09:14 4 楼 0 支持。。。。。。。。。。。。。。。
uwmnth 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 127 粉丝 0 关注私信	uwmnth 2012-10-21 02:42 5 楼 0 不错。。。。支持
zig 雪币： 1021 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	zig 2012-10-22 09:31 6 楼 0 ths for sharing......
hzactivex 雪币： 18 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 99 粉丝 0 关注私信	hzactivex 2012-10-22 09:38 7 楼 0 很不错的东东，下载了，顶下楼主
einyboy 雪币： 107 活跃值： (107) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 116 粉丝 0 关注私信	einyboy 2012-10-22 10:57 8 楼 0 支持，hold住……
boywhp 雪币： 1231 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 593 粉丝 26 关注私信	boywhp 12 2012-10-22 11:38 9 楼 0 MARK 辛苦了
工程雪币： 87 活跃值： (200) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 92 粉丝 0 关注私信	工程 2012-10-23 11:39 10 楼 0 支持。。。。。。
羽风的星雪币： 90 活跃值： (106) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 54 粉丝 0 关注私信	羽风的星 1 2012-10-25 16:12 11 楼 0 好东西，感谢楼主
ouyangtian 雪币： 130 活跃值： (61) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 169 粉丝 0 关注私信	ouyangtian 2012-10-27 11:15 12 楼 0 好文必须顶啊
dragonltx 雪币： 363 活跃值： (338) 能力值： ( LV15，RANK：310 ) 在线值：发帖 19 回帖 240 粉丝 10 关注私信	dragonltx 6 2012-10-27 15:52 13 楼 0 nice! 上传的附件： dragonltx.jpg （29.35kb，14次下载）
seuer 雪币： 139 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 284 粉丝 0 关注私信	seuer 2012-10-31 14:53 14 楼 0 泉哥那么视频怎么没声音啊。
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-10-31 19:58 15 楼 0 本来就不需要声音啊
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-10-31 19:58 16 楼 0 你这签名不是一般的挫啊
古河雪币： 820 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 31 关注私信	古河 6 2012-10-31 20:53 17 楼 0 学习了，泉哥有研究过如何自动触发sample的行为，而不是人工去操作吗?
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-11-1 08:18 18 楼 0 当时考虑自动化操作，会比较盲目，而且操作过多地的话容易导致android程序崩溃，而根据命令行输出信息有选择性地进行人工操作，可以触发更多地恶意行为，更有利结果的准确性，所以当时就直接采用人工操作了。
古河雪币： 820 活跃值： (380) 能力值： ( LV12，RANK：310 ) 在线值：发帖 24 回帖 132 粉丝 31 关注私信	古河 6 2012-11-1 11:56 19 楼 0 有选择性的模拟行为呢，比如生成代码的CFG图，然后首先定位关键的可疑函数(比如发送短信)，然后通过CFG图寻找到其对应的消息或者事件再模拟?
riusksk 雪币： 431 活跃值： (1875) 能力值： ( LV17，RANK：1820 ) 在线值：发帖 166 回帖 2652 粉丝 232 关注私信	riusksk 41 2012-11-1 22:31 20 楼 0 理论上是可行的，但采用这种方法可能会造成很多干扰，它可能会触发很多正常程序行为，因为病毒大多是对正常程序进行重打包的。古河试着搞一个出来吧
cxiangy 雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 24 粉丝 0 关注私信	cxiangy 2012-11-1 23:35 21 楼 0 支持支持支持支持支持支持支持支持支持支持
StartMenu 雪币： 202 活跃值： (19) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	StartMenu 2012-12-27 22:11 22 楼 0 求工具
whnet 雪币： 185 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 1040 粉丝 0 关注私信	whnet 2013-1-17 16:25 23 楼 0 沙盒的概念用的到处都是。这文章标题起的不好。不能叫Android 沙盘原理啊。 Android 自身有sandbox 这个功能。即使是native code 也是运行在sandbox 中的。而本文中的沙盒却是自己用的一套工具。准备讲应该是"基于Android 系统的一种沙盒实现及应用程序分析" 如果这是网秦的文章，略不厚道啊~~~~
fudingyu 雪币： 30 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	fudingyu 2013-2-19 13:49 24 楼 0 这篇文章写得相当好,参考文献里面的西安交大做了一个在线的工具.
笨小孩xlz 雪币： 5 活跃值： (28) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	笨小孩xlz 2014-3-6 16:30 25 楼 0 great
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复