基于Rootkit技術(shù)Android系統(tǒng)木馬程序的分析.pdf

1、隨著移動終端的普遍性日益提高，移動終端的操作系統(tǒng)得到迅速的發(fā)展，Android是一個專為移動設備設計的系統(tǒng)平臺，并迅速成為主流的手機平臺之一，因為該平臺的應用程序具有對硬件平臺沒特定要求、移植限制條件低和開放源代碼的優(yōu)點，與此同時，Android系統(tǒng)的用戶信息安全也成為了行業(yè)內(nèi)的焦點。但是在Android系統(tǒng)的木馬方面的研究，國內(nèi)的研究程度遠落后于外國，尤其對于內(nèi)核級的木馬防護方面國內(nèi)的研究成果近乎空白，在當前主流的木馬檢測數(shù)據(jù)庫里缺乏

2、日益更新的木馬特征數(shù)據(jù)，這已經(jīng)讓木馬的防護產(chǎn)生了濟后性，并且Android系統(tǒng)的用戶群里不僅僅是普通大眾，更有掌握地方政治經(jīng)濟事務的人員，也不乏掌握政府科研機構(gòu)最前沿信息的人員，隨著高科技產(chǎn)品的推廣，用戶對信息的防護意識薄弱，高科技犯罪、不為人知的泄密事件在不斷地威脅著公眾的個人信息，當然，也威脅著國家經(jīng)濟政治安全，為此本文圍繞著Android操作系統(tǒng)用戶級以及內(nèi)核級木馬關(guān)鍵技術(shù)進行研究。
　　 對基于Linux系統(tǒng)的rootk

3、it有兩類檢測方法:靜態(tài)檢測方法開始自定義一系列的系統(tǒng)非法行為，譬如非法內(nèi)存存取，非法運行線路更改等等，當發(fā)現(xiàn)匹配自定義的非法行為時，就發(fā)出入侵報告，這種檢測方法缺陷在于操作系統(tǒng)多種多樣，而自定義的系統(tǒng)非法行為難以確保在多個系統(tǒng)下都準確;動態(tài)檢測方法開始會選擇一個系統(tǒng)安全狀態(tài)，相隔相同時間地把系統(tǒng)的運行狀態(tài)跟安全狀態(tài)比較，以確定系統(tǒng)中是否存在木馬，但這類方法難以確保在安全狀態(tài)確定的時候，系統(tǒng)并沒存在木馬。由此可見，當前的木馬檢測技術(shù)并不

4、能確保Android系統(tǒng)安全。
　　 本文從課題背景入手，簡要說明了Rootkit的發(fā)展現(xiàn)狀。接下來，簡單介紹了Android系統(tǒng)的體系結(jié)構(gòu)、進程間通信、安全機制及當前主流的木馬檢測技術(shù)等，然后以Android系統(tǒng)環(huán)境為攻擊目標，分析了Android系統(tǒng)的漏洞，根據(jù)用戶級Rootkit技術(shù)的入侵原理及實現(xiàn)技術(shù)，結(jié)合系統(tǒng)中的共享庫注射技術(shù)，實現(xiàn)了基于Rooktit技術(shù)Android系統(tǒng)HOOK進程注入動態(tài)庫的用戶級木馬;最后重點分

5、析研究了Android系統(tǒng)調(diào)用過程，利用傳統(tǒng)的基于LKM的rootkit技術(shù)攔截替換及新增Android系統(tǒng)調(diào)用，并在此基礎上對LKMrootkit隱蔽性的實現(xiàn)做了深入研究，從而實現(xiàn)有一定隱蔽性的Android系統(tǒng)內(nèi)核級木馬。這對于深入了解Android下基于Rootkit技術(shù)用戶級及內(nèi)核級木馬的工作原理，完善在Android系統(tǒng)上的防護檢測工作，從而提高Android系統(tǒng)安全性起著重要的作用。
　　 由于時間的關(guān)系，本文只詳細