-
-
[原创]Android沙盒开发之动态分析介绍
-
发表于:
2013-6-7 21:44
22393
-
标 题: 【原创】Android沙盒开发之动态分析介绍
作 者: 蟑螂一号
时 间: 2013-06-07,20:54:38
链 接: http://bbs.pediy.com/newthread.php?do=newthread&f=131
随着Andriod用户的增多,针对android系统的恶意软件越来越多。因此,分析android应用变得越来越重要。目前,分析android apk的工具有静态分析工具和动态分析工具。静态分析主要就是反编译apk,分析反编译之后的代码。动态分析主要就是让程序运行起来,获取程序运行过程中产生的api调用,从而获取其行为信息。本文主要研究动态分析,因此以下主要从动态分析入手。
动态分析可以分析程序的很多行为,包括:
1.程序启动的Activity、Service、BroadcastReceiver组件。
2.程序root权限获取。
3.程序文件操作,打开、读写、关闭文件。
4.程序数据库操作。
5.程序短信发送、录音、定位、获取手机IMEI/IMSI/电话号码、拨打电话、电话状态监听、终止短信接收、改变电话状态(挂断、接听)。
6.程序通讯录、通话记录、短信数据库获取。
7.程序访问网络URL、IP地址和端口号、网络抓包。
8.程序开机自启动、接收短信行为、电话。
9.动态权限获取。
10.程序ptrace注入、dexclassloader加载、java反射调用。
11.程序开机自启动
目前,动态分析工具有APIMonitor和DroidBox。DroidBox是基于TaintDroid构建的分析工具。分析了一下TaintBox源码,主要工作原理是在dalvik目录中增加了对对象的操作类Taint.cpp,并在对象中增加u8 tag变量,存储标识,完成对关键数据的污点标记。当程序通过API获取敏感信息,利用封装的Taint类讲数据进行污点标识。TaintBox的污点追踪值得学习借鉴。
实现方式:
1.内核空间api拦截,通过printk将格式信息写入。在PC端通过adb shell cat /proc/kmsg读取信息解析。
2.用户空间api拦截。
本人在模拟器和真机设备都做过相关的沙盒系统,通过比较,真机设备是最好的方案。
欢迎对沙盒开发感兴趣的朋友一起交流讨论。
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
