[发明专利]一种Android系统内置应用漏洞挖掘方法有效

专利信息
申请号: 201611263238.9 申请日: 2016-12-30
公开(公告)号: CN106650452B 公开(公告)日: 2020-01-24
发明(设计)人: 姜伟;吴贤达;庄俊玺;王晓茜;潘邵芹;田原 申请(专利权)人: 北京工业大学
主分类号: G06F21/56 分类号: G06F21/56
代理公司: 11203 北京思海天达知识产权代理有限公司 代理人: 刘萍
地址: 100124 *** 国省代码: 北京;11
权利要求书: 查看更多 说明书: 查看更多
摘要:
搜索关键词: 一种 android 系统 内置 应用 漏洞 挖掘 方法
【说明书】:

发明属于信息技术领域,具体涉及一种Android系统内置应用漏洞挖掘方法。详细分析每一类的漏洞的代码,为每一类的漏洞整理出该类漏洞规则,并根据每类漏洞的威胁度附以不同的权值;将APK文件进行反编译,再对相应的可执行文件进行反汇编,对反汇编代码进行切片;将汇集后的代码生成特征数据;引入IDA工具,对.so文件进行分析;漏洞匹配。结合.so文件分析结果,最终得到静态权值报告;在开始动态检测前,获取指定APK文件静态报告,监测应用程序API函数的调用;通过集成Drozer动态分析框架,在命令行中输入各种测试命令,进行攻击面的确定并针对可攻击的地方进行测试。本方法实现快速发现所开发的APK的安全性,对维护Android系统稳定和业务安全具有重要的意义。

技术领域

本发明属于信息技术领域,具体涉及一种Android系统内置应用漏洞挖掘方法。实现快速发现所开发的APK的安全性,对维护Android系统稳定和业务安全具有重要的意义。

背景技术

安卓目前已经在全世界的手机操作系统的市场上,占有统治地位。安卓系统在智能手机的安装率约为87%,而且还在继续增长。安卓在不断疯涨的过程中面临着一个严峻的问题——安全性,这个问题有可能会成为阻碍安卓发展的首要因素。国内外多个安全组织及个人从事漏洞研究。两个比较权威漏洞发布机构是CVE(Common Vulnerabilities andExposures)和CERT(Computer Emergency Response Team)。此外国外eEye、LSD等组织也对最新的漏洞进行及时跟踪分析,并给出相应的漏洞解决方案。绿盟科技、启明星辰等单位是国内安全研究组织的代表。近几年,IEEE S&P、CCS、Usenix Security、NDSS、ESORICS等10个顶级安全会议的发表论文情况来看,超过百篇与Android安全相关,而在Android漏洞挖掘中强调了对海量APP的检测,对扩展性和精确要求较高,所以APP漏洞挖掘是Android漏洞挖掘的一个重要部分。APP(应用程序,Application的缩写)一般指手机软件,APK文件是Android系统上应用软件的主要表现形式。Android应用程序包含文件(ApplicationPackage File)是一种Android操作系统上的应用程序安装文件格式。APK文件本质为ZIP格式,但后缀被修改为APK,通过使用UnZip解压,可以获得META-INF文件夹、res文件夹、AndroidManifest.xml文件、classes.dex文件、resources.arsc文件、lib文件夹等。Android系统内置应用程序的安全性在一定程度上决定了Android系统安全和系统业务的安全。

发明内容

本发明公开了一种Android系统内置应用漏洞挖掘方法,使用了动态分析和静态分析混淆的漏洞挖掘技术,包括:

一种Android系统内置应用漏洞挖掘方法,其特征在于:

S1,建立一个Android漏洞库;将漏洞分为以下8类:拒绝服务漏洞,跨站脚本攻击漏洞,输入验证漏洞,缓冲区溢出漏洞,敏感信息泄露漏洞,组件/权限暴露漏洞,SQL注入漏洞,其他;详细分析每一类的漏洞的特点,为每一类的漏洞整理出该类漏洞规则,并根据每类漏洞的威胁度附以不同的权值;

S2,将目标APK文件进行反编译,得到包括Manifest文件、资源文件和代码文件的文件;将反编译后的Manifest文件和资源文件进行解析,获取应用的权限申请、组件声明和类函数调用等信息;再对相应的可执行文件进行反汇编,对反汇编代码进行切片并进行汇集;

S3,将汇集后的反汇编代码通过语法词法分析、危险API分析、控制流、数据流分析,得到目标APK文件的行为特性,生成特征数据;对反编译后得到的smali代码进行词法分析和语法分析,获取危险函数调用信息;

下载完整专利技术内容需要扣除积分,VIP会员可以免费下载。

该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于北京工业大学,未经北京工业大学许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服

本文链接:http://www.vipzhuanli.com/pat/books/201611263238.9/2.html,转载请声明来源钻瓜专利网。

×

专利文献下载

说明:

1、专利原文基于中国国家知识产权局专利说明书;

2、支持发明专利 、实用新型专利、外观设计专利(升级中);

3、专利数据每周两次同步更新,支持Adobe PDF格式;

4、内容包括专利技术的结构示意图流程工艺图技术构造图

5、已全新升级为极速版,下载速度显著提升!欢迎使用!

请您登陆后,进行下载,点击【登陆】 【注册】

关于我们 寻求报道 投稿须知 广告合作 版权声明 网站地图 友情链接 企业标识 联系我们

钻瓜专利网在线咨询

周一至周五 9:00-18:00

咨询在线客服咨询在线客服
tel code back_top