【卡饭原创】为我们的小机器人撑起一把伞——安卓病毒的预知与防范

Hacker29cn

写在前面

之所以写本文，正如标题所说，因为越来越多的恶意代码开始在安卓平台泛滥。我们不希望这样，也希望大家能够放心明白的用好安卓平台。摆脱恶意扣费、吸金陷阱和推广骚扰。

另外：
1、感谢笙儿姐姐一直对在下这个技术妹子的照顾，在卡饭MM们很不容易混，刚来时，什么都不懂（只懂技术），现在终于知道怎么对付某些XE的XX了。这要感谢很多版主的照顾（恕不一一列举）。不管是童心似雪还是现在的笙儿，您都是我的大姐姐！——这也是将本文发在国内大区的原因，算是对笙儿版主的支持吧~

2、本文并非针对手机，同时也包括平板，既包括国内的分析工具也包括国外的分析工具，但是本人还是比较推荐国内的分析工具，因为没有语言障碍，谁懂能看得懂，这也是发到国内区的原因

3、技术才是王道，避免口水。我不希望大家说谁谁谁好或者不好，或者国外的就一定好。其实大家各有千秋，不要较真！





为了多普及只好多@了
@junjunlove @aiping @夜里九次郎 @茶澈 @DB69026 @小小梦 @落忆羽箭 @zuo @佐仓濑津美  

Hacker29cn

一、选择已经存在的有实力平台

这或许是最简单的方法了，举个例子。我们并不知道一款APK应用（不知道什么是APK的，百度一下）到底如何，但是有实力的平台一般会提前为我们检测，这样我们只需要选择干净的应用即可！

下面举例说明
1、百度应用
例如，我们假设要搜索办公方面的应用，进入百度应用，进入移动应用（自己百度去，我就不发链接了）
以QuickOffice为例，你可以看到，程序旁边有一个绿色的盾牌，其余没有什么符号，那就表示很好的状态


但是如果后面有一个黄颜色的AD图标你就要小心哦



那表示有广告干扰，但是如果你可以接受话也未尝不可

你可以看看大家怎么说，点击下面评论即可看到大家是怎么说的，这样心里会比较有底一些

2、91助手

91助手也是可以的

下载91助手并安装，不会的，这个乃可以学哈~很好学的，嘻嘻

点击软件游戏，就可以搜索应用了

例如920文本编辑器（自己经常写代码哈~）

你会发现即使是同一款应用由于来源版本不同，其是否携带有恶意代码的可能性就不同




这时我们就要选择干净的那个下载使用，愿意看广告的我就不说啦，哈哈~

其实还有其它平台，大家自己发掘哈~

Hacker29cn

二、使用金山火眼分析系统

大家可能对火眼能够分析windows下的病毒行为并不陌生，但是其实火眼也是可以分析APK的行为。



假设我们已经从网上，未知的来源，甚至是电子邮件的附件下载到了一个安卓应用，我们也不知道他是好是坏还是只带了广告，怎么办？那就只好运行一下看看了，实机运行？太危险，弄不好还得刷机，但是我们可以让火眼把把关

1、术语解释（为什么知道这些？因为病毒会盗用这些信息去作恶，那个，乃突然发现老是被恶意骚扰，妈妈老是喊你回家吃饭，尽管你已经吃撑了 ）

名词：IMEI
解释：IMEI——国际移动设备识别码，俗称“串号”，是区别移动设备的标志，储存在移动设备中，可用于监控被窃或无效的移动设备。它与每台手机一一对应，而且该码是全世界唯一的。IMEI可用移动终端设备通过键入“*#06#”查得。

名词：IMSI
解释：IMSI——国际移动用户识别码。国际上为唯一识别一个移动用户所分配的号码。它是区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效信息


名词：动态注册接收器
解释：android接收器类型有很多，如监 听短信，监 听通话状态，监 听锁屏操作等。动态注册是指使用系统函数registerReceiver去注册这些监 听。目的是为了代码和监 听的接收器不在apk配置文件(AndroidManifest.xml)出现，提高反病毒工程师的分析难度。


名词：APN设置
解释：APN即“接入点名称”，无论使用联通3G还是移动2G网络，都必须通过手机APN设置，是手机上网时必须配置的参数。中国联通的2G业务WAP浏览器中使用的APN为“UNIWAP”，3G业务WAP浏览器使用的APN为“3GWAP”；中国联通的2G上公网使用的APN为“UNINET”，3G业务上网卡及上公网使用的APN为“3GNET“。 中国移动上内网的APN为“CMWAP“，上网卡及上公网使用的APN为“CMNET“。

名词：wap push
解释：wap push 的意思是带链接的短信，它可以引导你进入wap的网站。它是通过sp的网关发出来的，用软件和移动的接口。WAP PUSH可以将某一站点或某一业务的链接通过短信发送到支持WAP PUSH功能的手机上，这样用户只需要阅读这条短信(服务信息)，打开短信中的链接，就可以直接访问业务。

以上名词解释来自火眼官方论坛，感谢幺猫等网友~


知道这些有毛用？用处来了













这并不是一个病毒的行为，是个综合结果。便于比对的~


现在你知道那些恶意扣费，骚扰短信是怎么来的了吧？


下面仅仅就是一个文本编辑器（我曾经疏忽大意而中招，结果推广广告一堆）

http://fireeye.ijinshan.com/anal ... 165&type=1#full


金山火眼在这方面做的不错。所有的恶意行为一目了然，相信小白也能看懂。

所以遇见不明应用，最好先上传分析一下，这样比较放心~

Hacker29cn

什么是Anubis？



Anubis is sponsored by Lastline, Inc., and Secure Business Austria, and developed by the International Secure Systems Lab. We are a small team of enthusiastic security professionals doing research in the field of computer security and malware analysis. Our goal is to provide interested and advanced computer users with a tool that helps in combatting malware. This is why we provide this service free of charge.

Note that access to Anubis is provided for internal use by end-users only. All other commercial uses are expressly prohibited. Note that many of the research ideas behind Anubis are brought to the next level by Lastline, Inc., a security company that brings our academic research to the market.

Anubis is a tool for analyzing the behavior of Windows PE-executables with special focus on the analysis of malware. Execution of Anubis results in the generation of a report file that contains enough information to give a human user a very good impression about the purpose and the actions of the analyzed binary. The generated report includes detailed data about modifications made to the Windows registry or the file system, about interactions with the Windows Service Manager or other processes and of course it logs all generated network traffic. The analysis is based on running the binary in an emulated environment and watching i.e. analyzing its execution. The analysis focuses on the security-relevant aspects of a program's actions, which makes the analysis process easier and because the domain is more fine-grained it allows for more precise results. It is the ideal tool for the malware and virus interested person to get a quick understanding of the purpose of an unknown binary.

Anubis is the result of more than three years of programming and research. We have designed Anubis to be an open framework for malware analysis that allows the easy integration of other tools and research artifacts. This will allow us to integrate new research prototypes produced by our group into Anubis as soon their code base is stable enough.

If you have any questions, bug reports or comments please do not hesitate to contact us at anubis@iseclab.org.

以下为大Google翻译，凑合着看吧


阿努比斯赞助由Lastline Inc，安全商业奥地利，由国际安全系统实验室开发。我们是一个小团队，热情的安全专家做研究，在该领域的计算机安全和恶意软件分析。我们的目标是一个工具，有助于打击恶意软件提供兴趣和先进的计算机用户。这就是为什么我们提供了这种服务是免费的。

需要注意的是供内部使用，最终用户只访问阿努比斯。所有其他商业用途是明令禁止的。请注意，许多阿努比斯背后的研究思路被带到一个新的水平Lastline公司，保安公司的市场，使我们的学术研究。

阿努比斯是一个特别关注的恶意软件分析工具的Windows PE可执行文件的行为进行了分析。执行的阿努比斯的结果生成一个报告文件，其中包含足够的信息来给人类用户的目的和分析的二进制文件的行动了非常好的印象。关于修改Windows注册表或文件系统，Windows服务管理器或其他程序，当然它记录所有生成的网络流量的相互作用生成的报告，包括详细的数据。分析是基于在模拟环境中运行的二进制和看即分析其执行。分析侧重于程序的行动，这使得分析过程更容易和安全相关的各个方面，因为更细粒度的域名，它允许更精确的结果。这是一个理想的工具，恶意软件和病毒有兴趣的人迅速了解一个未知的二进制代码的目的。

阿努比斯是三年多的规划和研究的结果。我们设计的阿努比斯是一个开放的恶意软件分析的框架，允许方便地集成其他工具和研究文物。这将使我们能够整合到阿努比斯本集团生产的新的研究原型，很快他们的代码基础不够稳定。

如果您有任何问题，错误报告或意见，请不要犹豫联系我们anubis@iseclab.org。


如果你看晕了，那么你就知道其作用跟中国的金山火眼差不多就行了~（当然某些方面比金山做得好~莫口水，口水咽了吧）

这是anubis的一篇安卓恶意软件分析报告，偏专业，看不懂不强求啊，哈哈~

http://anubis.iseclab.org/?actio ... d5f&format=html

可以看出这个APK文件到底干了些什么，其实明眼人一眼就能看出其不轨行为。

在这里不详解anubis了，有时间的话以后会带给大家教程。

推荐想深入研究的饭友们~

Hacker29cn

夜微凉 发表于 2013-6-8 23:34
板凳等着围观

乃好快！话说我的第二贴还没写完，乃就来了~感谢版主支持

Flameocean

前排围观

Hacker29cn

Flameocean 发表于 2013-6-8 23:46
前排围观

欢迎来围观，让大家都摆脱病毒的梦魇

Kukon

支持原创。

moonsilver

过来围观，支持

萧观澜

强势围观