基于沙盒的Android恶意软件动态分析方案

doi:10.3969/j.issn.1671-1122.2014.12.005

信息网络安全 ›› 2014, Vol. 14 ›› Issue (12): 21-26.doi: 10.3969/j.issn.1671-1122.2014.12.005

基于沙盒的Android恶意软件动态分析方案

赵洋, 胡龙, 熊虎, 秦志光

电子科技大学计算机科学与工程学院,四川成都 611731

收稿日期:2014-07-14 出版日期:2014-12-15
通讯作者: 胡龙 hulong.hl@gmail.com
作者简介:赵洋（1973-）,男,四川,副教授,博士,主要研究方向：网络安全;胡龙（1988-）,男,江苏,硕士研究生,主要研究方向：网络安全;熊虎（1982-）,男,四川,副教授,博士,主要研究方向：网络安全;秦志光（1956-）,男,四川,教授,博士,主要研究方向：网络安全。
基金资助:
国家自然科学基金 [61003230,61370026]; 四川省应用基础研究计划[2014JY0041]; 广东省产学研重点项目[2012B091000054]

Dynamic Analysis Scheme of Android Malware Based on Sandbox

ZHAO Yang, HU Long, XIONG Hu, QIN Zhi-guang

School of Computer Science & Engineering, University of Electronic Science and Technology of China, Chengdu Sichuan 611731, China

Received:2014-07-14 Online:2014-12-15

摘要/Abstract

摘要： 智能手机的普及极大地刺激了恶意软件的广泛传播,Android平台因其巨大的市场占有率和开源特性,已成为攻击者首选的攻击目标。针对传统的基于签名的反病毒软件仅能检测已知恶意软件的缺点,文章提出基于沙盒的Android恶意软件动态分析方案,用于有效地分析未知恶意软件的行为。文章通过在虚拟化软件Oracle VM VirtualBox中安装Android x86虚拟机的方式来实现Android沙盒,利用VirtualBox提供的命令行工具来控制Android沙盒。Android应用程序通过调用相应系统API来完成对应的行为,文中方案通过在应用程序包中插入API监视代码的方法监测Android应用程序调用的系统API,并通过脚本程序向Android沙盒发送不同的用户事件流来模拟用户对应用程序的真实操作,控制Android应用程序在沙盒中自动运行,实验证明文中提出的方法切实可行。

关键词: Android, 恶意软件, 沙盒, 动态分析

Abstract: The popularity of smart phones have greatly stimulated the spread of malicious software, because of its huge market share and revenue characteristics, the Android platform has become the preferred target of attackers. Since the traditional signature-based antivirus software can effectively detect known malicious software, the unknown malware is powerless. In this paper, we proposed a novel dynamic analysis scheme of Android malware based on sandbox, which is used to analyze unknown malware effectively. The scheme implements the Android sandbox by installing Android x86 virtual machine in the virtualization software Oracle VM VirtualBox, while using a command-line tool provide by VirtualBox to control the Android sandbox. The Android application performs the corresponding action by calling the appropriate API. We determine the behavioral characteristics by monitoring the API information called by Android application. We make the Android application to run automatically by inserting monitoring codes in the application package and transmit different user flow of events to simulate real operations of users on the application. Experiments show that the proposed scheme is feasible.

Key words: Android, malware, sandbox, dynamic analysis

中图分类号:

TP309

赵洋, 胡龙, 熊虎, 秦志光. 基于沙盒的Android恶意软件动态分析方案[J]. 信息网络安全, 2014, 14(12): 21-26.

ZHAO Yang, HU Long, XIONG Hu, QIN Zhi-guang. Dynamic Analysis Scheme of Android Malware Based on Sandbox[J]. 信息网络安全, 2014, 14(12): 21-26.

参考文献

[1] Strategy Analytics. Android Captured 79% Share of Global Smartphone Shipments in 2013[EB/OL]. http://blogs.strategyanalytics.com/WSS/post/2014/01/29/Android-Captured-79-Share-of-Global-Smartphone-Shipments-in-2013.aspx, 2014-02-06.
[2] CASTILLO C A. Android malware past, present, and future[EB/OL]. http://www.mcafee.com/us/resources/white-papers/wp-android-malware-past-present-future.pdf 2011.
[3] DINI G, MARTINELLI F, SARACINO A, et al. Madam: a multi-level anomaly detector for android malware[M]. Springer Berlin Heidelberg, 2012: 240-253.
[4] SAHS J, KHAN L. Amachine learning approach to Android malware detection[C]//Intelligence and Security Informatics Conference (EISIC), 2012 European. IEEE, 2012: 141-147.
[5] Anthony Desnos. Androguard[EB/OL]. https://code.google.com/p/androguard, 2014-04-06.
[6] CHANG C C, LIN C J. LIBSVM: a library for support vector machines[J]. ACM Transactions on Intelligent Systems and Technology (TIST), 2011, 2(03): 27.
[7] PEDREGOSA F, VAROQUAUX G, GRAMFORT A, et al. Scikit-learn: Machine learning in Python[J]. The Journal of Machine Learning Research, 2011, 12(10): 2825-2830.
[8] CHRISTODOTESCU M, JHA S. Static analysis of executables to detect malicious patterns[R]. WISCONSIN UNIV-MADISON DEPT OF COMPUTER SCIENCES, 2006.
[9] LO R W, LEBITT K N, OLSSON R A. MCF: A malicious code filter[J]. Computers & Security, 1995, 14(6): 541-566.
[10] ZHOU Y, JIANG X. Dissecting android malware: Characterization and evolution[C]//Security and Privacy (SP), 2012 IEEE Symposium on. IEEE, 2012: 95-109.
[11] BURGUERA I, ZURUTUZA U, NADJM T S. Crowdroid: behavior-based malware detection system for android[C]//Proceedings of the 1st ACM workshop on Security and privacy in smartphones and mobile devices. ACM, 2011: 15-26.
[12] GRACE M, ZHOU Y, ZHANG Q, et al. Riskranker: scalable and accurate zero-day android malware detection[C]//Proceedings of the 10th international conference on Mobile systems, applications, and services. ACM, 2012: 281-294.
[13] JANA S, PORTER D E, SHMATIKOV V. TxBox: Building secure, efficient sandboxes with system transactions[C]//IEEE Symposium onSecurity and Privacy (SP), 2011: 329-344.
[14] 王马龙,胡晓勤,王琳,等. Android智能手机用户场景信息防泄漏系统的研究与实现[J]. 信息网络安全,2013,（2）：35-37.
[15] 林佳华,任伟,贾磊雷. Android手机隐私保护系统的设计与实现[J]. 信息网络安全,2013,（7）：16-19.
[16] Sandbox[EB/OL]. http://en.wikipedia.org/wiki/Sandbox(computer_security), 2014-04-07.
[17] Android-x86 Project - Run Android on Your PC[EB/OL]. http://www.android-x86.org/, 2014-05-17.
[18] Oracle V M. VirtualBox user manual[EB/OL]. http.//down-load. virtualbos, org/virtualbox/UserManual.pdf, 2014-05-14.
[19] 吴乐华,孙贤鲁,孟槟. 基于 Android 手机软件认证的U盘锁系统[J]. 信息网络安全,2014,（3）：68-73.
[20] 李宇翔,林柏钢. 基于Android重打包的应用程序安全策略加固系统设计[J]. 信息网络安全,2014,（1）：43-47.
[21] droidbox[EB/OL]. https://code.google.com/p/droidbox/, 2014-05-17.
[22] 高岳,胡爱群. 基于权限分析的Android隐私数据泄露动态检测方法[J]. 信息网络安全,2014,（2）：27-31.

基于沙盒的Android恶意软件动态分析方案

Dynamic Analysis Scheme of Android Malware Based on Sandbox

RichHTML

可视化

摘要/Abstract

引用本文

使用本文

参考文献

相关文章 15

编辑推荐

Metrics

本文评价

[1]	侯留洋, 罗森林, 潘丽敏, 张笈. 融合多特征的Android恶意软件检测方法[J]. 信息网络安全, 2020, 20(1): 67-74.
[2]	宋鑫, 赵楷, 张琳琳, 方文波. 基于随机森林的Android恶意软件检测方法研究[J]. 信息网络安全, 2019, 19(9): 1-5.
[3]	丁丽萍, 刘雪花, 陈光宣, 李引. Android智能手机动态内存取证技术综述[J]. 信息网络安全, 2019, 19(2): 10-17.
[4]	冯胥睿瑞, 刘嘉勇, 程芃森. 基于特征提取的恶意软件行为及能力分析方法研究[J]. 信息网络安全, 2019, 19(12): 72-78.
[5]	张健, 陈博翰, 宫良一, 顾兆军. 基于图像分析的恶意软件检测技术研究[J]. 信息网络安全, 2019, 19(10): 24-31.
[6]	宋新龙, 郑东, 杨中皇. 基于AOSP与SELinux的移动设备管理系统[J]. 信息网络安全, 2017, 17(9): 103-106.
[7]	陆德冰, 崔浩亮, 张文, 牛少彰. 基于Intent过滤的应用安全加固方案[J]. 信息网络安全, 2017, 17(11): 67-73.
[8]	刘佳佳, 俞研, 胡恒伟, 吴家顺. 一种基于虚拟机定制的应用保护方法研究[J]. 信息网络安全, 2017, 17(1): 63-67.
[9]	张健, 王文旭, 牛鹏飞, 顾兆军. 恶意软件防治产品与服务评测体系研究[J]. 信息网络安全, 2016, 16(9): 113-117.
[10]	文伟平, 汤炀, 谌力. 一种基于Android内核的APP敏感行为检测方法及实现[J]. 信息网络安全, 2016, 16(8): 18-23.
[11]	余丽芳, 杨天长, 牛少彰. 一种增强型Android组件间安全访问控制方案[J]. 信息网络安全, 2016, 16(8): 54-60.
[12]	曲乐炜, 罗森林, 孙志鹏, 朱帅. Android系统数据完整性检测方法研究[J]. 信息网络安全, 2016, 16(8): 61-67.
[13]	张家旺, 李燕伟. 基于N-gram算法的恶意程序检测系统研究与设计[J]. 信息网络安全, 2016, 16(8): 74-80.
[14]	杨静雅, 罗森林, 朱帅, 曲乐炜. 基于多层次交叉视图分析的Android系统恶意行为监控方法研究[J]. 信息网络安全, 2016, 16(7): 40-46.
[15]	李亚萌, 何泾沙. 基于Hash的YAFFS2文件各版本恢复算法研究[J]. 信息网络安全, 2016, 16(5): 51-57.