Android 应用程序恶意代码静态注入方法及实现

信息安全研究 ›› 2016, Vol. 2 ›› Issue (7): 660-664.

Android 应用程序恶意代码静态注入方法及实现

李文唐

中山大学

收稿日期:2016-07-14 出版日期:2016-07-15 发布日期:2016-07-14
通讯作者: 李文唐

The Method and Realization of Android Applications Malicious Code Static Injection

Received:2016-07-14 Online:2016-07-15 Published:2016-07-14

摘要/Abstract

摘要： 随着Android的发展，其面临着越来越多的安全威胁，恶意软件数量也呈爆发式增长.恶意代码注入一直以来都是产生恶意软件的重要方式.通过介绍Android应用程序恶意代码的注入原理，为开发者更好地保护自身代码提供思路.从基于程序入口点、基于广播机制以及篡改Dalvik字节码3个方面介绍恶意代码注入过程.在程序入口点注入实现中提出了用不可见界面对原程序入口界面进行替换的方法，并针对“WIFI万能助手”应用进行了恶意代码的注入实验，证明具有较好的隐蔽效果.在基于广播机制的恶意代码注入方式中，通过对不同种类的应用进行注入实验，达到了开机自启动以及拦截短信的效果.在篡改字节码注入实现中针对“中华万年历”应用进行了注入实验，证明了以篡改Dalvik字节码的方式实现恶意代码静态注入的可行性.最后针对恶意代码静态注入的各种方式，提出了必要的防范手段，综合利用这些方法可以更好地保护应用程序.

关键词: Android, 恶意代码, 静态注入, Dalvik字节码

Abstract: With the development of Android, it is facing more and more security threats, the number of malicious software also showed explosive growth. Malicious code injection has always been an important way of malicious software. By introducing the Android application program malicious code injection principle, it can provide ideas for the developer to protect their own code better. This paper introduces the injection process from three aspects of basing on the program entry point, basing on the broadcast mechanism and tampering with Dalvik byte code. In the implementation of the program entry point injection, a method to replace the interface of the original program with invisible interface is proposed and the malicious code injection experiment is operated for the WiFi universal assistant application, which has a better hiding effect. In the injection of malicious code based on broadcast mechanism, in the injection experiment for different types of applications achieve the boot from the start and the intercept messages. In the implementation of tampering with the byte code injection, the injection experiments for the application of "the Chinese calendar" prove the feasibility of realizing the malicious code static injection by the way to tamper with Dalvik byte code. Finally, this paper proposes a series protection methods of application aimed at various ways of static injection against malicious code, and it can protect the software better with the comprehensive utilization of these methods.

Key words: Android, malicious code, static inject, Dalvik byte code

李文唐. Android 应用程序恶意代码静态注入方法及实现 [J]. 信息安全研究, 2016, 2(7): 660-664.

[1]	王柯林杨珂赵瑞哲辛丽玲汪秋云. 基于随机森林的抗混淆Android恶意应用检测[J]. 信息安全研究, 2021, 7(2): 126-135.
[2]	戴纯兴刘刚韩春超王传国. KVM环境下基于异常行为的恶意软件检测技术研究[J]. 信息安全研究, 2020, 6(6): 0-0.
[3]	王兴凤黄琨茗张文杰. 基于API序列和卷积神经网络的恶意代码检测[J]. 信息安全研究, 2020, 6(3): 212-219.
[4]	杨频朱悦张磊. 基于属性数据流图的恶意代码家族分类[J]. 信息安全研究, 2020, 6(3): 226-234.
[5]	雷惊鹏. 基于云计算和深度学习的协议监测系统设计[J]. 信息安全研究, 2020, 6(12): 1127-1132.
[6]	刘蓉于浩佳陈思远陈波. 基于APP分层结构的Android应用漏洞分类法[J]. 信息安全研究, 2018, 4(9): 792-798.
[7]	郗桐金昊徐根炜周金岭. 基于卷积神经网络的Android恶意应用检测方法[J]. 信息安全研究, 2018, 4(8): 715-721.
[8]	何平胡勇. 一种基于本地代码特征的Android恶意代码检测方法[J]. 信息安全研究, 2018, 4(6): 511-517.
[9]	刘亮刘露平何帅刘嘉勇. 一种基于多特征的恶意代码家族静态标注方法[J]. 信息安全研究, 2018, 4(4): 322-328.
[10]	陈泽峰方勇刘亮左政李抒霞. 基于多维特征的Android恶意应用检测系统[J]. 信息安全研究, 2018, 4(2): 133-139.
[11]	崔丽娟. 僵尸网络综述[J]. 信息安全研究, 2017, 3(7): 589-600.
[12]	陈庄. 手工DLL注入的检测方法研究与实现[J]. 信息安全研究, 2017, 3(3): 246-253.
[13]	芦天亮. 基于人工免疫的移动恶意代码检测模型[J]. 信息安全研究, 2016, 2(3): 238-243.
[14]	郝晨曦方勇. 基于频谱分析的PDF文件恶意代码检测方法[J]. 信息安全研究, 2016, 2(2): 166-171.
[15]	廖国辉. 基于数据挖掘和机器学习的恶意代码检测方法[J]. 信息安全研究, 2016, 2(1): 74-79.