查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《中国司法鉴定》
Android平台木马的检验鉴定
【英文标题】 Examinaiton of Trojan on Android Platform
【作者】 秦玉海杨嵩候世恒
【作者单位】 中国刑事警察学院中国刑事警察学院中国刑事警察学院
【分类】 司法鉴定学
【中文关键词】 Android平台;木马;ADB命令;逆向分析技术
【英文关键词】 Android platform; Trojan; ADB command; reverse analysis
【文章编码】 1671-2072-(2017)03-0052-04
【文献标识码】 Adoi:10.3969/j.issn.1671-2072.2017.03.009
【期刊年份】 2017年【期号】 3
【页码】 52
【摘要】

目的目前涉及木马类电信诈骗案件高发,由于Android平台的开放性,其涉及木马的案件更多,而木马的检验鉴定技术难度较大,为解决此问题以达到对此类案件的成功侦破的目的。方法从Android平台移动设备的电子数据取证角度出发,对Android平台的结构以及木马的相关原理进行简要介绍,通过使用ADB命令对检材中木马文件进行提取,再利用逆向分析技术对木马窃取信息的方法、传播的方式、工作机制等内容进行分析。结果利用此方法已将示例中受害人手机的木马成功提取,并分析出此木马的传播方式、工作机制、以及与嫌疑人保持通讯的电话号码等重要线索。结论利用以上的检验鉴定方法可完成对Android平台进行疑似木马提取,并给出了一个针对Android平台木马行之有效的检验分析过程和方法。

【英文摘要】

Objective The tele -communication fraud cases involving Trojan virus are occurring frequently. Due to the openness of the Android platform, this kind of cases is increasing and the detection of Trojan is a difficult technical problem. Method From the aspect of digital forensics on Android platform of mobile device, this paper first briefly introduced the structure of Android platform as well as the related principles of Trojan virus. As a solution, the study used the ADB command to extract Trojan files out of the questioned devices, and applied the reverse analysis technology to analyze the Trojan's process of stealing information, mode of transmission and its working mechanism. Results The method has successfully extracted the Trojan virus from the mobile phone of a victim, and analyze its way of communication, the working mechanism and the telephone number of the suspect. Conclusion The method can be more efficient on the system 4.4.3 and the following version of the Android platform for the extraction of suspected Trojan. This study provides an effective method for the detection of Trojan on Android platform.

【全文】法宝引证码CLI.A.1225859    
  
  随着移动互联网的快速发展,各种各样的移动终端也在人们的学习生活中逐渐普及。Android平台凭借其代码的开源性和良好的扩展性等特点,占据了智能设备80%的市场份额。同时一些不法分子也借助Android平台的这些特点,采用一些非法的手段对用户的移动设备进行挂马得到用户的隐私,进而侵害用户的财产安全。从安全通报获知,有39.85%的用户感染过手机病毒,因此Android平台的挂马案件就成为公安机关不得不研究的问题。能够将此类木马窃取信息的方法、传播的方式、工作机制等问题研究清楚也就成为此类案件侦破的关键,因此,对Android平台木马研究是非常必要的。
  1Android平台介绍
  Android是专门为移动设备开发的平台,其中包括操作系统、中间件和核心应用等。 Android最早由Andy Rubin创办,于2005年被Google收购。2007年11月5日,Google正式发布Android平台。在2010年底,成为最受欢迎的智能手机平台。
  Android平台主要包括Application、Application Framework、Libraries、Android Runtime和Linux Kernel五层平台架构:(1)Application(应用程序):Android提供了一组应用程序,包括Email客户端、SMS程序、日历、地图、浏览器等。这部分程序均使用Java语言编写的。(2)Application Framework(应用程序框架):无论是Android提供的应用程序还是开发人员自己编写的应用程序,都需要使用Application Framework。通过使用Application Framework,不仅可以大幅度简化代码的编写,而且可以提高程序的复用性。
  (3)Libraries(库):Android提供了一组C/C++库,它们为平台的不同组件所使用。开发人员通过Application Framework来使用这些库所提供的不同功能。(4)Android Runtime(Android运行时):Android运行时包括核心库和Dalvik虚拟机两部分。核心库中包括Java语言核心库中包含的大部分功能,虚拟机负责运行程序。 Dalvik虚拟机专门针对移动设备进行编写,不仅效率更高,而且占用更少的内存。(5)Linux Kernel(Linux内核):Android平台通过优化Linux内核,提供诸如内存管理、进程管理和设备管理等服务。
  2Android应用程序的基本结构
  Apk是安卓应用程序的后缀名,现将Android应用程序的后缀名改为ZIP,利用压缩软件打开,可以观察到其包含五个部分(图1)。(1)META-INF目录用来存放文件的签名信息;(2)res目录用来存放应用程序的资源文件,包括图片等内容;(3)AndroidManifest.xml文件,用来描述应用的名字、版本、权限和引用的库文件信息等;(4)classes.dex文件是JAVA源代码编译后生成的JAVA字节码文件;(5) resources.arsc文件是编译后的二进制资源文件。
来自北大法宝

  3Android平台木马的概述
  3.1木马定义
  木马,又名特洛伊木马(Trojan Horse),这一名称源自古希腊。现在,木马往往被引用成为黑客远程控制并窃取计算机或移动终端中私密信息的一种网络攻击工具,一般伪装成合法的程序植入到目标系统中,具备破坏和删除文件、发送密码和记录键盘等特殊功能的后门程序。
  3.2常见Android木马的传播方式
  目前常见的Android木马传播方式大体有三种。(1)短信息形式的木马链接。这种木马是目前最常见的一种方式。嫌疑人通过伪基站、短信平台发送伪装成视频、学校成绩单、交通违章信息等内容的短信来吸引用户的好奇心,进而引诱用户点击此链接,随之后台将自动下载木马程序。(2)欺诈网站。欺诈网站一般伪装成银行、移动公司等官方网站,诱导用户填入身份证、银行卡、手机号等个人信息,此时后台将自动非法保存用户的个人信息。(3)诈骗电话。嫌疑人一般先电话伪装成银行等机构,以更新客户端等理由诱骗受害人下载含有木马的客户端进行安装。
  4Android应用程序的逆向分析技术
  Android应用程序的逆向分析技术是指将后缀名为.apk的应用程序进行反汇编,通过分析反汇编的代码来理解应用程序的功能,即在静态情况下对.apk的应用程序进行分析,该技术是目前对恶意代码类案件进行检验的重要手段。
  5挂马案件取证示例
  (图略)
  图1Android应用程序的基本结构
  受害人拥有中兴手机一部,据受害人反映绑定此手机的银行卡被恶意盗刷,现对其取证过程进行描述。
  5.1用ADB命令对手机的木马程序进行提取
  检验人员利用ADB命令进行木马提取的过程分为如下几步:
  (1)检验人员将手机与取证用台式机相连,并开启手机的USB调试模式。
 

  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”你怀了我的猴子申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
【参考文献】

{1}杨峻.Android系统安全和反编译实战[M].北京:人民邮电出版社,2015:303-305.

{2}明日科技.Android从入门到精通[M].北京:清华大学出版社,2015:4-5.

©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1225859      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多