[发明专利]基于安卓平台的病毒取证系统及其方法

说明书

技术领域

本发明涉及信息安全领域，尤其涉及一种基于安卓平台的病毒取证系统及其方法。

背景技术

2014年，谷歌开发的安卓操作系统在全球市场份额已超过了80%，全世界采用安卓手机设备数量达10亿多台；由于安卓系统的开放自由性，得到广大用户和开发者的青睐；但随之而来的病毒入侵事件也使得各个机构、单位以及个人受到了不同程度的侵害，造成了极坏的社会影响和重大的经济损失。综合腾讯移动安全实验室、奇虎360和金山手机毒霸客户端统计，整个8月份共截获到的病毒包数量高达20万个，其中安卓病毒占比高达96%，并且绝大多数病毒会造成用户资费损失以及个人信息泄露。知名互联网公司携程爆出“泄密门”；咖啡厅蹭wifi，支付宝被刷；《舌尖上的中国》网络视频暗藏病毒，窃取用户隐私；日前，美国最大折扣 Kmark的网站收到病毒的攻击，在此网站支付的顾客都面临着银行卡数据被盗的危险。由安卓手机病毒引发的恶意事件层出不穷，利用病毒进行网络犯罪的事件也呈现增长趋势，面对日趋严重的网络安全威胁事件，一方面表明安卓病毒的检测工作面临严峻的挑战，另一方面亟待找到一种提高安卓病毒分析取证能力的方法，加强对恶意攻击者的打击力度。面对五花八门的病毒，如何准确定位恶意行为，已经成为电子取证亟待解决的问题。

发明内容

目前，国内针对安卓平台的病毒检测手段还处于摸索阶段，绝大多数病毒检测系统对病毒库过于依赖，存在滞后性，资源消耗大，响应慢以及对未知病毒的识别能力较弱等问题；国外针对安卓平台的病毒大多采用动态调试方法，缺乏对病毒攻击方法、破坏程度以及病毒的类型进行详细的分析、归类和取证的能力。本发明的目的就在于克服现有技术存在的缺点和不足，提供一种基于安卓平台的病毒取证系统及其方法，为安卓平台病毒的电子取证提供技术支持。

实现本发明目的技术方案是：

本发明通过以下3种方式实现安卓平台下病毒的检测：

1、获取dex文件基本信息，头文件的12字节可以检测已知病毒；

2、监控应用程序运行时的流量情况，如果出现上行流量远远大于下行流量的异常情况，初步怀疑是病毒程序，待安全策略模块进一步分析；

3、对应用程序的某些敏感行为进行监控，敏感行为如读取篡改短信，联系人信息以及通讯记录；

安全策略模块建立和维护一个病毒黑名单，用于识别已知病毒；该模块还会存放软件的异常流量和各种敏感行为特征的加权值，根据以上三种病毒检测方式获取的基本信息，计算出应用程序的加权值，与正常软件的危险阈值进行对比，一旦超过了安全阈值，则被识别为病毒程序，本发明采用动静结合的方式对病毒恶意行为进行取证，对于简单加密混淆的程序采取先静后动的方法，分析源代码的基础上找到敏感行为的权限服务代码块，通过针对性插桩测试，取证恶意行为；对于加壳或者高强度加密混淆的程序采取先动后静的方法，通过观察病毒运行时的环境，状态以及提示信息，找到突破口，再进行静态分析，取证恶意行为。

一、基于安卓平台的病毒取证系统(简称系统)

本系统包括病毒检测模块、病毒取证模块和取证报告生成模块；

其中病毒检测模块由文件信息获取模块，异常流量检测模块，敏感行为检测模块和安全策略模块组成；

病毒取证模块由静态逆向取证模块和动态调试取证模块组成；

其交互关系是：

病毒检测模块与病毒取证模块交互，实现安卓平台上病毒的检测和取证功能；

病毒取证模块与取证报告生成模块交互，对病毒恶意行为进行定位分析，详细的记录了现场数据，以便日后需要取证时重建某些网络事件；

文件信息获取模块、异常流量检测模块和敏感行为检测模块三个模块分别与安全策略模块交互，三种病毒检测方法获取的数据发送给安全策略模块进行分析，最终确定应用程序是否为病毒；

静态逆向取证模块与动态调试取证模块交互，动态调试取证模块根据静态逆向取证模块提供的线索，有针对性的对程序代码进行调试，更高效定位恶意行为。

二、基于安卓平台的病毒取证方法(简称方法)

本方法的研究思路是在制定了一系列安全策略的基础上，通过文件信息，流量信息以及敏感行为信息来检测安卓手机病毒，结合静态逆向分析源代码和动态插桩调试方法对病毒的恶意行为进行取证。

本方法包括下列步骤：

①病毒检测模块采集APK程序的各种特征，采用一系列安全策略对其进行病毒检测；