《手机病毒木马简介与分析方法》由会员分享,可在线阅读,更多相关《手机病毒木马简介与分析方法(34页珍藏版)》请在金锄头文库上搜索。
1、演讲人:王加志 制作人:许霞,手机,杀毒,手机杀毒,病毒的危害,处理病毒,认识手机病毒,手机中毒原因 手机病毒木马定义,手机中毒的表现 手机中毒的危害,手机病毒木马简介,目的,目前手机病毒木马分析技术大多掌握在从业者手中,外人对于如何对手机病毒木马分析感觉摸不着门路。这次课程就是从简单的原理上给大家做个介绍。 由于时间仓促且本人水平有限,讲解过程中有什么不当之处请多多指点。,手机中毒原因,在手机的制作过程中,由于硬件或者编码的问题,会造成手机的各种缺陷,攻击者可以利用这些缺陷,用病毒或者木马进行攻击。 手机缺陷与病毒木马攻击,主要内容,手机病毒木马简介手机病毒木马分析方法,手机病毒木马定义,首
2、先需要强调的是运行平台是手机。 手机病毒参照计算机病毒定义:破坏手机功能或者破坏数据、影响手机使用并且能够自我复制的一组指令或者程序代码。手机木马参照计算机木马定义:木马是有隐藏性的、自发性的可被用来进行恶意行为的程序,多不会直接对手机产生危害,而是以控制为主。,手机病毒木马定义,由于当前病毒和木马越来越多的结合在一起,因此我在这里统称为手机病毒木马,或者手机恶意软件。,手机病毒大事记,2004年 卡波尔病毒出现,该病毒通过蓝牙进行传播。 2007年,一种基于手机联网方式的病毒程序开始大量波及诺基亚手机用户,该恶意程序可以把用户信息利用互联网功能发送到攻击者手中。 现在,越来越多的手机病毒木马
3、传播开来,而且传播方式和功能也越来越强大。,目前手机病毒木马的目标,各种智能手机,特别是用户量比较大的智能系统的手机。因为随着手机功能越来越强大,支持用户下载或者编写的程序也越来越多,因此给了不法分子可乘之机。而且目前大多数手机木马程序的运行都需要用户的交互操作,在这里社会工程学起到了很大的作用。,手机病毒的特点和传播方式,手机病毒紧紧结合手机系统提供的功能,利用手机系统内部的运行机制来完成自己的破坏,并进行传播与感染。 其特点:自我复制性、隐蔽性、破坏性。 多种传播方式:存储卡、网络下载、wifi、蓝牙、红外及彩信等。,手机病毒木马发展趋势,多样化随着手机功能的多样化,留给病毒木马的可乘之机
4、也就越多。 隐蔽化目前手机病毒都还很简单,但是随着手机性能的提高,例如多任务执行。这样可以使病毒更难以被发现。,手机病毒木马发展趋势,底层化随着手机恶意程序制造者对手机系统内部核心了解的越来越透彻,那么借助底层的开发能力就可以写出一些类似pc机内核级别的程序,从而使查杀更加困难。 顽固化特别是像android这种开源的系统,手机恶意程序制造者可以通过阅读这些代码来找到系统的薄弱点,从而写出和系统结合在一起的恶意程序。,手机病毒木马发展趋势,反杀毒化当手机恶意程序获得较高权限时,类似PC机 就可能关闭或者欺骗各种杀毒软件,这样杀毒软件就无法发现手机病毒木马程序。,手机中毒的一般表现,系统反应缓慢
5、很多人发现新买的手机在使用过一段时间后,运行速度变慢了。其中一种原因就是手机里面安装运行的程序多了,造成系统资源过多消耗。而其他原因就可能是手机上运行了病毒木马程序。,手机中毒的一般表现,莫名的短信或者彩信消息病毒木马程序往往带有目的性,常常利用短消息、彩信消息来监控病毒木马程序的运行,或者控制其完成某种功能。甚至为了宣传某些东西而发送大量短信。,手机中毒的一般表现,自动联网特别是当3G业务推广以后,自动联网也成为手机病毒木马程序运行的一大特征。手机病毒木马程序联网后,可以访问特定的网站,从而下载执行更多恶意软件等操作,这样就可以实现更加复杂的功能。简单识别方法:1.手机一旦接入Interne
6、t,手机屏幕上会有联网图标。2.检查手机实时流量。,手机中毒的一般表现,通话质量下降或者延迟(dos攻击)某些手机病毒木马程序可以监听使用者的语音通话,一旦中了这种恶意程序就可能会发现手机通话质量产生明显的下降。还有一种情况是恶意程序大量发送短信时也会造成信道繁忙,从而影响通话。曾经某地区用户发现手机信号是满格的,当时却打不出去电话,这就是由于在该时段许多用户的手机同时发送大量垃圾短信从而,造成这种现象。,手机中毒的一般表现,耗电量增加使用这种方式判断是否中病毒木马程序不是很准确。但是对于一个使用电话有规律的人来讲这也是非常重要的一个参考方式。,手机病毒木马的危害,直接性破坏1.破坏手机系统,
7、从而使用户造成直接经济损失。2.破坏用户手机资料,例如联系人等。,手机病毒木马的危害,手机吸费例如有些不法的SP,就是通过手机病毒木马发送收费短信或者来电进行收费。特别是山寨手机大多数存在吸费现象,而且大部分是刷在固件里的。,手机病毒木马的危害,窃密与监听手机是现代人类主要的通讯联系方式之一,使之成为社会成为社会生活中一个不可缺失的部分,但是也带来了社会安全的巨大隐患问题。例如用户的通信录资料窃取、音频窃听、视频照片泄露等等一系列的安全问题。,手机病毒木马的危害,欺骗与敲诈通过获取的用户信息,向用户发送欺骗短信骗取钱财。例如利用用户手机向用户通信录中的联系人发送银行帐号,同时说明用户自己目前缺
8、钱,从而骗取钱财。,识别方法,让手机选择离线模式这是有些容错性不好的手机木马就有可能暴露出来。因为手机木马最为关键的就是和外界取得联系,一旦关闭网络,有些木马程序出于编写原因或者进程无法执行的错误而暴露自己。 检查蓝牙发送信息,接收方和发送方数据是否一致。,手机病毒木马的分析方法,动态方法动态监控手机病毒木马运行后的各种状况,并详细记录。 静态分析方法对病毒木马程序进行反汇编,从源码分析其特征。 动静结合在实际分析工程中,采用动静结合的方法 更容易对样本进行分析。,手机病毒木马的动态分析方法,发现手机病毒的方法和计算机相类似但是又有很多不同的地方。以下是基于手机行为的分析查找方法:手机自启动方
9、式检查手机文件系统检查手机运行任务检查手机联网检查 手机功能检查,手机病毒简介BD.MobileSearch病毒(Android平台吸费),BD.MobileSearch病毒,该病毒侵入用户手机安装后,启动恶意服务程序,后台联网下载一个安卓上的jar库文件,文件直接由Dalvik虚拟机运行,上传用户浏览器内书签内容,同时上传用户IMEI和IMSI信息,给用户造成一定的资费消耗和安全威胁。 病毒危害后台联网,下载具有其它恶意行为插件,给用户手机造成进一步的危害。 后台联网过程中的一系列数据下载行为,将大量消耗用户资费,造成经济损失。 病毒原理1、传播方式:网络下载安装。 2、触发方式:随程序启动
10、而启动。 3、运行现象:软件功能为收费软件破解程序,内有插包,运行后插包内恶意服务启动,后台联网下载一个安卓上的jar库文件(实际是包含dex文件的压缩文件)。下载的文件直接由Dalvik虚拟机运行,用户难以检测到,该包的功能为获取用户浏览器内书签内容,并同时上传用户的IMEI和IMSI信息。,手机病毒简介AVK.FavouriteForm病毒(Symbian平台系统破坏),AVK.FavouriteForm病毒,该病毒以当前热门的团购类软件为名诱使用户下载安装。进程激活后在后台联网上传用户手机型号、IMEI及IMSI号等信息,大量消耗用户资费,还会破坏手机安全软件进程,给用户带来经济损失和手
11、机安全的双重危害。 病毒危害1.后台联网行为大量消耗用户资费,造成经济损失。 2.破坏手机安全软件进程,给用户手机带来潜在威胁。 病毒原理1、传播方式:网络下载安装。 2、触发方式:病毒安装到手机中需手动启动进程。 3、运行现象:进程不会开机自启需手动激活,该进程被激活后会在后台联网上传用户的手机型号,IMEI 及IMSI 号等信息,还会停止手机安全软件进程。,手机病毒简介SW.Msgspy病毒(Android平台 后门),SW.Msgspy病毒,该病毒启动后,自动向指定的手机号码发送短信。并对手机周围环境和用户通话内容进行录音,后台联网上传至服务器,同时将用户手机中收件箱和发件箱短信,上传服
12、务器。更会上传用户IMEI及地理位置等信息,严重泄露用户隐私。 病毒危害1.后台录音,对手机周围环境和用户通话内容进行录音,后台联网上传至服务器,泄露用户隐私。 2.后台联网,将用户手机中收件箱和发件箱中短信,上传服务器,泄露用户隐私。 3.后台联网,泄露用户IMEI及地理位置等信息。 病毒原理1、传播方式:网络下载安装。 2、触发方式:开机自启。 3、运行现象:开机启动1分钟后,病毒向手机号码“15859*“发送“你好,灵猫静静已第一次开机使用,IMEI:“发送用户IMEI号;监听手机待机环境和通话内容进行录音,录音文件保存在“/sdcard/shangzhou/callrecord/“文件
13、夹下,并上传至服务器;监听收件箱和发件箱中的短消息内容和GPS地理位置信息,并上传至服务器。,手机病毒的查杀方法,1、关闭乱码电话 当对方的电话拨入时,屏幕上显示的应该是来电电话号码,结果却显示别的字样或奇异符号。如果遇到上述情形,用户应不回答或立即把电话关闭。如接听来电,则会感染上病毒,同时机内所有新名词及设定将被破坏。,手机病毒的查杀方法,2、尽量少从网上下载信息 病毒要想侵入且在流动网络上传送,要先破坏掉手机短信息保护系统,这本非容易的事情。但随着3G时代的来临,手机更加趋向于一台小型电脑,有电脑病毒就会有手机病毒,因此从网上下载信息时要当心感染病毒。,手机病毒的查杀方法,3、注意短信息中可能存在的病毒 短信息的收发作为移动通讯的一个重要方式,也是感染手机病毒的一个重要途径。如今手机病毒的发展已经从潜伏期过渡到了破坏期,短信息已成为下毒的常用工具。手机用户一旦接到带有病毒的短信息,阅读后便会出现手机键盘被锁,甚至破坏手机IC卡等严重效果。,手机病毒的查杀方法,4、对手机进行查杀病毒 目前查杀手机病毒的主要技术措施有是通过在手机上安装杀毒软件对手机进行杀毒。,开发环境,Android开发环境 1、eclipse-javad的ide开发工具(有基于c+的) 2、下载JDK-java的基本环境 3、android sdk下载,谢谢!,
