基于Android的軟件安全技術(shù)研究獨家優(yōu)秀】

I 摘 要 在移動互聯(lián)網(wǎng)飛速發(fā)展的今天，智能手機(jī)逐漸成為人們進(jìn)行溝通交流、了解外部信息的重要工具。從某種程度上來說， 智能手機(jī)相當(dāng)于小型 中的 機(jī)系統(tǒng)。 臺的開源性使得市場上各種手機(jī)智能軟件日益增多并且混亂，有些非法的軟件不僅威脅著手機(jī)的性能與安全，同時也給防范意識薄弱的手機(jī)用戶帶來了時間和經(jīng)濟(jì)上的損失。 針對人們?nèi)粘Ｔ谑褂檬謾C(jī)的過程中 存在的問題 ，比如， 用戶手機(jī)突然死機(jī)、關(guān)機(jī)、個人資料被刪、向外發(fā)送垃圾郵件泄露個人信息等。 設(shè)計了 一款 手機(jī)安全衛(wèi)士軟件。整個軟件 基于 發(fā)平臺，采用 言，遵循 計模式，使用 本完成了 一款 功能強(qiáng)大、實際可行的手機(jī)安全衛(wèi)士軟件。該軟件主要實現(xiàn)了以下功能：手機(jī)防盜、通訊衛(wèi)士、軟件管理、進(jìn)程管理、流量統(tǒng)計、手機(jī)殺毒、系統(tǒng)優(yōu)化、高級工具、設(shè)置中心以及二維碼掃描十大功能模塊。通過反復(fù)不斷的調(diào)試及測試，該手機(jī)安全衛(wèi)士軟件基本實現(xiàn)了用戶所需的功能，具有很強(qiáng)的實用性。 本文重點介紹了兩種病毒檢測的方法，一種是基于簽名的特征碼掃描的檢測方法，該方法是通過對已知的病毒特征碼進(jìn)行掃描并與特征碼數(shù)據(jù)庫進(jìn)行比較 ，如果能匹配上則提示用戶去查殺；另一種方法是通過掃描二維碼進(jìn)行檢測，如果是惡意軟件則提示用戶去處理，否則就打開相應(yīng)的鏈接，進(jìn)行下載安裝 。 關(guān)鍵詞 ： 毒 安全檢測 計模式 of an to is to a C, of in of of in to s of as A is is on VC is s on a is on is by is to if is is to if it is it to 目 錄 第 1 章 緒論 . 1 究背景及其意義 . 1 內(nèi)外研究現(xiàn)狀 . 2 外研究現(xiàn)狀 . 2 內(nèi)研究現(xiàn)狀 . 3 要研究內(nèi)容 . 4 第 2 章 臺介紹及病毒分類 . 5 系結(jié)構(gòu) . 5 建 發(fā)環(huán)境 . 7 機(jī)病毒分析 . 9 機(jī)病毒的來源 . 9 機(jī)病毒分類 . 9 機(jī)病毒傳播方式 . 9 機(jī)病毒 運行機(jī)理 . 11 章小結(jié) . 11 第 3 章 殺毒原理介紹 . 26 于簽名的病毒掃描原理 . 錯誤 !未定義書簽。 查殺的原理 . 13 動防御的原理 . 13 發(fā)式掃描原理 . 14 章小結(jié) . 15 第 4 章 手機(jī)安全衛(wèi)士項目開發(fā) . 錯誤 !未定義書簽。 目簡介 . 16 面的 發(fā) . 16 序主界面的 計 . 17 閉自動更新 . 18 機(jī)防盜模塊的設(shè)計 . 19 機(jī)防盜設(shè)計流程 . 19 機(jī)防盜界面設(shè)計 . 19 級工具模塊的設(shè)計 . 21 信衛(wèi)士模塊的設(shè)計 . 23 件管理模塊的設(shè)計 . 24 程管理器的設(shè)計 . 25 量管理模塊的設(shè)計 . 25 統(tǒng)優(yōu)化的功能介紹 . 26 置中心模塊的設(shè)計 . 26 維碼掃描模塊的設(shè)計 . 28 機(jī)殺毒模塊的設(shè)計 . 28 章小結(jié) . 30 第 5 章 項目測試 . 31 功能模塊的測試 . 31 章小結(jié) . 36 第 6 章 總結(jié)與展望 . 37 文工作總結(jié) . 37 續(xù)研究及展望 . 38 參考文獻(xiàn) . 39 致 謝 . 40 附 錄 . 41 1 第 一 章 緒論 本章簡要介紹了 件安全 研究的背景和意義，同時簡要說明了 本課題主要研究的具體內(nèi)容。 究背景及其意義 目前互聯(lián)網(wǎng)的應(yīng)用以及信息交互已經(jīng)從計算機(jī)時代發(fā)展到個人移動計算機(jī)時代。目前最普及的移動智能終端設(shè)備就是搭載 作系統(tǒng)的手機(jī) 。 目前幾乎每個人都有一臺 它的普及促進(jìn)了基于 用程序的開發(fā)和使用中來。 一個基于 心的開放手機(jī)操作平臺系統(tǒng)，系統(tǒng)提供開放的源代碼開發(fā)平臺，這種開放的平臺便于開發(fā)者方便、自由的開發(fā)，同時這種開放性也給不法開發(fā)商提供了便利。他們利用 臺的開放性竊取用戶隱私、偷走手機(jī)流量、惡意扣取用戶話費等，給用戶帶來了巨大的損失。 網(wǎng)秦于 2014 年 6 月 10 日正式發(fā)布 2014 年第一季度全球手機(jī)安全報告，據(jù)網(wǎng)秦“云安全”監(jiān)測平臺數(shù)據(jù)統(tǒng)計， 2014 年第一季度查殺到手機(jī)惡意軟件共計 41199款，同比增長 感染智能手機(jī)共計 1784 萬部，同比增長 在惡意軟件的特征分類中， 2014 年第一季度誘騙欺詐類惡意軟件超過了惡意扣費類惡意軟件，以總感染人數(shù) 48%的比例列第一位。如圖 圖 示。報告顯示，誘騙欺詐類惡意軟件主要是通過誘騙性的信息，來騙取用戶下載安裝其他軟件，達(dá)到廣告推廣的目的。所有的惡意軟件主要是通過偽裝成游戲類應(yīng)用來進(jìn)行傳播的，在 2014 年第一季度的十大惡意軟件排名中，有 7 個是游戲類應(yīng)用。網(wǎng)秦安全專家認(rèn)為，這與游戲類應(yīng)用擁有海量用戶、病毒傳播速度快、規(guī)模大、盈利見效快等有著重要關(guān)系，充分符合病毒制造者逐利的本性。此外，音樂類軟件也未能幸免。在惡意軟件的傳播上， 第三方應(yīng)用商店依然是主要途徑，由于一部分第三方應(yīng)用商店還存在安全審核機(jī)制不嚴(yán)謹(jǐn)?shù)膯栴}，使一些病毒制作者有機(jī)可乘，通過二次打包插入惡意程序重新上傳至第三方應(yīng)用商店進(jìn)行謀利。 綜上所述， 統(tǒng)的廣泛應(yīng)用所帶來的移動應(yīng)用安全形勢不容樂觀，件安全日益嚴(yán)峻，而且手機(jī)病毒的出現(xiàn)不僅給用戶的個人信息安全造成威脅，同時也給國家信息安全帶來重大安全隱患，甚至還會造成巨大的經(jīng)濟(jì)損失。因此，研發(fā)一款操作簡便、安全可靠、功能強(qiáng)大的手機(jī)衛(wèi)士是十分必要的。手機(jī)衛(wèi)士除了包括手機(jī)防盜、攔截騷擾電話和短信、管理手 機(jī)可用內(nèi)存和卸載、啟動、分享相關(guān)軟件、清理手機(jī)進(jìn)程、管理手機(jī)流量、清除緩存文件還有相關(guān)手機(jī)的設(shè)置等還包括手機(jī)殺毒模塊。手機(jī)殺毒模塊主要實現(xiàn)手機(jī)病毒的檢測和查殺。手機(jī)病毒檢測系統(tǒng)的重要意義 2 在于大力提升了我國在移動智能終端安全領(lǐng)域的競爭力，有效的改善移動智能終端領(lǐng)域匱乏有效的安全檢測平臺的現(xiàn)狀，為提高智能終端平臺安全性奠定堅實的基礎(chǔ)，保障了移動互聯(lián)網(wǎng)產(chǎn)業(yè)鏈的進(jìn)一步健康、快速的發(fā)展。因此，研發(fā)一款具有較強(qiáng)檢測病毒、查殺病毒的軟件變得更加刻不容緩、意義深遠(yuǎn)。 內(nèi)外研究現(xiàn)狀 外研究現(xiàn)狀 美國杜克大學(xué)，賓夕法尼亞州立大學(xué)，和英特爾實驗室聯(lián)合研究已經(jīng)證實了來自手機(jī)應(yīng)用程序市場的 用程序?qū)⒂脩舻碾[私數(shù)據(jù)泄露在網(wǎng)絡(luò)的廣告上 1。 參與研究的團(tuán)隊隨機(jī)從 選了 30 種流行的第三方應(yīng)用程序，并使圖 014 年第一季度 機(jī)惡意軟件特征分類 圖 014 年第一季度手機(jī)病毒傳播途徑分布 3 用了 究這些應(yīng)用程序的行為。研究的結(jié)果顯示，三分之二的應(yīng)用在研究中出現(xiàn)可疑的敏感數(shù)據(jù)處理，其中 15 個應(yīng)用程序用戶的位置到達(dá)遠(yuǎn)程的廣告服務(wù)器。這項研究結(jié)果表明在 智能手機(jī)平臺中采用如 監(jiān)控工具的有效性和可靠性。 人 2010 年在 臺上實現(xiàn)了一個基于行為檢測的 毒檢測系統(tǒng) 2。該系統(tǒng)在后臺實現(xiàn)動態(tài)的監(jiān)控手機(jī)設(shè)備的各種事件和獨有特征，搜集到了大量的數(shù)據(jù)，通過機(jī)器學(xué)習(xí)算法將這些數(shù)據(jù)分為正常的（ 惡意的（ 由于當(dāng)時沒有大量的病毒可供研究， 僅通過分類 臺上的游戲和工 具軟件來進(jìn)行系統(tǒng)的檢測性能，因此系統(tǒng)的效率沒法得到驗證。 還在文獻(xiàn)中評估多種機(jī)器學(xué)習(xí)算法和特征選擇算法，從多種算法組合中選擇出了作者認(rèn)為表現(xiàn)最佳的算法組合，分別為 位于德國柏林科技大學(xué)的 驗室，對 統(tǒng)上的病毒動態(tài)檢測進(jìn)行了一系列的研究 3。其中 人在文獻(xiàn)中，提出了一種 用程序檢測沙箱，沙箱位于系統(tǒng)內(nèi)核中，它的功能主要是對 用程序進(jìn)行動態(tài)的分析，通過系統(tǒng)調(diào)用重定向方法，監(jiān)視系統(tǒng)和庫函數(shù)調(diào)用及其參數(shù)，并記錄其運行時的破壞行為。 過使用 的 具，生成偽隨機(jī)事件流，如模擬觸摸、手勢、用戶點擊或系統(tǒng)事件等，完成對應(yīng)用程序的模擬運行。沙箱在內(nèi)核中，記錄應(yīng)用程序的系統(tǒng)級行為，生成日志文件，并匯總到便于更好分析的數(shù)學(xué)向量中去。 沒有給出分析算法，只是告訴了我們?nèi)绾卫蒙诚溥M(jìn)行追蹤并記錄軟件在系統(tǒng)中運行時的相關(guān)系統(tǒng)的 調(diào)用。 內(nèi)研究現(xiàn)狀 王志國等人早在 2009 年就提出并實現(xiàn)了 能手機(jī)系統(tǒng)的文件實時監(jiān)控技術(shù) 4。文獻(xiàn)中，作者是通過替換關(guān)鍵的系統(tǒng)調(diào)用（ 實現(xiàn)對 臺文件操作行為的捕獲，但文中只是通過系統(tǒng)調(diào)用截獲到系統(tǒng)對文件的調(diào)用情況，更多的是講解了 作系統(tǒng)上的文件操作監(jiān)控，并未涉及惡意代碼行為的其他方面。并且因為當(dāng)時缺少真實的 臺惡意軟件的實際攻擊研究，使得無法使 應(yīng)用程序的檢測達(dá)到良好的效果。 最值得一提的能全方位地保護(hù)手機(jī)安全的軟件當(dāng)屬北京網(wǎng)秦天下科技有限公司推出的“網(wǎng)秦手機(jī)安全”，該軟件集成了病毒掃描、實時監(jiān)控、網(wǎng)絡(luò)防火墻、在線更新、系統(tǒng)管理五大功能，有效的防范了移動惡意程序的攻擊、數(shù)據(jù)的竊取和隱私的侵襲。有效的保護(hù)了 機(jī)操作系統(tǒng)的安全。 專為移動設(shè)備用戶提供安全運行環(huán)境的信息安全軟件當(dāng)屬北京江民新科技有限 4 公司推出的“江民殺毒軟件手機(jī)版”，該版本的優(yōu)點是具有出色的兼容性，還具有經(jīng)過特別優(yōu)化的軟件的實時監(jiān)控功能，可以實時的檢測手機(jī)文件 的變化，占用資源小，基本上不影響手機(jī)的使用效率，能夠全面查殺手機(jī)的各種病毒、木馬 5。是移動設(shè)備的天然保護(hù)傘。 總之，從國內(nèi)外比較情況來看，國內(nèi)的研究起步比較晚，對病毒的分析手段和分析工具主要依賴國外的開源組織和研究理論成果，而且主要是以人工分析為主， 機(jī)器分析為輔。雖然目前各大安全廠商已經(jīng)投入大量精力，但是對手機(jī)病毒的分析檢測技術(shù)還相對比較落后，僅是對已知病毒具有一定的防護(hù)能力，雖然目前對手機(jī)軟件也能進(jìn)行實時監(jiān)控，并檢測查殺一定的未知病毒，但相對國外的技術(shù)，對未知病毒的檢測能力還有待進(jìn)一步提高。 要研究內(nèi)容 本文主要研究了基于 件安全的研究背景和國內(nèi)外研究現(xiàn)狀，并分析了作系統(tǒng)的安全機(jī)制及其可能存在的安全隱患。依據(jù) 臺的系統(tǒng)體系結(jié)構(gòu)設(shè)計了目前市場上比較普遍的手機(jī)安全衛(wèi)士所具有的 十 大功能模塊，同時對殺毒模塊進(jìn)行了單獨研究，開發(fā)了基于病毒特征碼的靜態(tài)檢測技術(shù)，并進(jìn)一步研究了如何通過二維碼掃描動態(tài)檢測軟件的安全性。 主要工作包括： 第一章 介紹了基于 件安全研究的背景和國內(nèi)外研究現(xiàn)狀。 第二章 研究 作系統(tǒng)的體系結(jié)構(gòu)， 如何 搭建 臺。同時 研究 了統(tǒng)的安全機(jī)制，并對現(xiàn)有的手機(jī)病毒進(jìn)行 了 分類。 第三章 針對目前手機(jī)病毒的分類， 研究分析了四種殺毒原理，包括基于簽名的特征碼掃描原理、云查殺原理、主動防御的原理還有就是啟發(fā)式掃描的原理。針對這四種殺毒原理分別進(jìn)行了介紹和優(yōu)缺點的比較。 第四章 介紹了手機(jī)安全衛(wèi)士的十大功能模塊的設(shè)計流程 ，包括手機(jī)防盜、通信衛(wèi)士、軟件管理、進(jìn)程管理、流量統(tǒng)計、手機(jī)殺毒、系統(tǒng)優(yōu)化、高級工具、設(shè)置中心 和二維碼掃描等。 第五章 針對第四章介紹的各個功能模塊進(jìn)行了測試，測試結(jié)果比較理想，達(dá)到了設(shè)計的預(yù)期。 第六章 總結(jié)了本課題的研究成果，同時對沒 有研究成功的方法也做了系統(tǒng)的總結(jié)，并在接下來的時間里繼續(xù)努力的去完善它。 5 第 二 章 臺介紹及病毒分類 本章將從 時對 在之后的章節(jié)針對不同的病毒設(shè)計了不同的檢測方式。 系結(jié)構(gòu) 統(tǒng)的底層建立在 統(tǒng)之上，該平臺由操作系統(tǒng)、中間件、用戶界面和應(yīng)用軟件 4 層組成，它采用一種被稱為軟件層疊的方式進(jìn)行構(gòu)建。 統(tǒng)主要由 5 部分組成，圖 示了 統(tǒng)的體系結(jié)構(gòu)。下面分別對這 5 部分進(jìn)行簡單介紹。 統(tǒng)的體系結(jié)構(gòu) S 6 程序員利用 開發(fā) 臺的應(yīng)用程序，每個應(yīng)用程序通常以序編寫。 統(tǒng)包括一系列手機(jī)基礎(chǔ)的核心應(yīng)用程序，包括 序、地圖、日歷、瀏 覽器、電子郵件客戶端、聯(lián)系人等。 統(tǒng)的應(yīng)用程序的開發(fā)就是面向底層的應(yīng)用程序框架進(jìn)行的，該應(yīng)用程序框架為應(yīng)用程序?qū)拥拈_發(fā)者提供關(guān)鍵的 一個 應(yīng)用程序可以利用應(yīng)用程序框架中的以下五部分：服務(wù)、內(nèi)容提供者、活動、廣播意圖接收者、意圖和意圖過濾器。 含一套被不同組件所使用的 C/C+庫的集合。 統(tǒng)主要的庫及其簡介如表 示。 行時 行的時候是由兩部分組成的， 心庫集和 擬機(jī)。其庫名稱 庫簡介 系統(tǒng) C 庫 一個從 統(tǒng)派生出來的標(biāo)準(zhǔn) C 系統(tǒng)庫（ ,并且專門為嵌入式 備調(diào)整過。 媒體庫 基于 套媒體庫支持播放和錄制許多流行的音頻和視頻格式。 理對顯示子系統(tǒng)的訪問，并可以對多個應(yīng) 用程序的 2D 和 3D 圖層機(jī)提供無縫整合。 個全新的 覽器引擎，該引擎為覽器提供支持，也為 供支持。 層的 2D 圖形引擎 3D 于 現(xiàn)的 3D 系統(tǒng)，這套3D 庫既可使用硬件 3D 加速，也可以使用 高度優(yōu)化的軟件 3D 加速。 圖和向量字體顯示 所有應(yīng)用程序使用的、功能強(qiáng)大的輕量級關(guān)系數(shù)據(jù)庫 表 統(tǒng)主要庫及其簡介 7 中的核心庫集提供了 言所使用的絕大部分的功能，而虛擬機(jī)則是負(fù)責(zé)運行用程序。 核 核是系統(tǒng)硬件和軟件疊層之間的抽象層。它提供了內(nèi)存管理、進(jìn)程管理、安全性、網(wǎng)絡(luò)協(xié)議棧和驅(qū)動模型等核心的系統(tǒng)服務(wù)。 建 發(fā)環(huán)境 安裝步驟： 第一步，安裝 改環(huán)境變量。 運行 直點擊下一步，直到完成為止。修改環(huán)境變量，在量值前加 %點擊確定，如圖 示。新建系統(tǒng)變量，變量值為 裝目錄。如 C:圖 示。 第二步，安裝 直接解壓縮 文版 ) 文版 )指定目錄 如：D: 第三步，安裝 第四步，修改環(huán)境變量 。 將 的 對路徑添加到系統(tǒng) ，如 D:確定”后，重新啟動計算機(jī)。 把 或 解壓到 D: 裝目錄下）， 圖 改系統(tǒng)變量 8 如有文件已存在選擇全部替換。運行 看是否安 裝好， 示已經(jīng)安裝，如圖 示，點擊關(guān)閉。 第五步，安裝 。 打開 入菜單中的 “ -> “ .”然 后點 現(xiàn)如圖 示，然后點擊 在目錄（非中文）， 然后打開，出現(xiàn)如圖 示，然后點擊 擊 到完成。 第六步，安裝 擬器系統(tǒng)版本 。 第七步，啟動 可以新建 目了。 圖 建系統(tǒng)變量 圖 行結(jié)果 圖 裝 9 機(jī)病毒分析 手機(jī)病毒是一種具有破壞性和感染性的手機(jī)程序，其可利用發(fā)送短信，瀏覽網(wǎng)站，藍(lán)牙等方式進(jìn)行傳播，會導(dǎo)致用戶手機(jī)死機(jī)、關(guān)機(jī)、個人資料被刪、向外發(fā)送垃圾郵件泄露個人信息等。 機(jī)病毒的來源 機(jī)病毒的來源可以系統(tǒng)的分為以下幾個方面。 第三方電子市場和手機(jī)論壇：各大電子市場是用戶下載 主力市場，也是手機(jī) 篡改打包病毒的主要 風(fēng)險渠道，病毒來源渠道依然占比最高，達(dá)到 23%。其次是作為手機(jī)玩家的重點聚集地，手機(jī)論壇占比為 20%。 軟件捆綁傳播：不法開發(fā)商通過植入惡意代碼或者惡意廣告插件捆綁知名軟件二次打包可以迅速感染廣大手機(jī)用戶，目前已成為病毒的主要來源。 置渠道：部分不良水貨商，以及部分互聯(lián)網(wǎng)上的第三方 作者基于黑色利益鏈分工，將病毒刷到手機(jī)的 機(jī)的用戶越多，感染性越強(qiáng)。 二維碼染毒：是一種新興途徑，在 2013 年 10 月，用戶二維碼染毒比例就已經(jīng)達(dá)到 7%。目前通過掃描二維碼下載軟件越來越普遍，使得病毒傳播更加 嚴(yán)重。 機(jī)病毒分類 機(jī)病毒主要分為八種類型：惡意扣費、隱私竊取、遠(yuǎn)程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為。表 出了這八種手機(jī)病毒的類型及其相對應(yīng)的惡意行為。 機(jī)病毒傳播方式 機(jī)病毒的傳播方式大致可分為以下五種方式： 圖 裝控件 10 第一，利用短信或亂碼傳 播 ，病毒發(fā)出一系列由怪字符組成的病毒短信，使手機(jī)無法提供某些方面的服務(wù)。亂碼電話，則是在來電顯示中顯示亂碼，機(jī)主一旦接聽，則會感染上病毒，機(jī)內(nèi)資料可能被破壞。 第 二，誘騙用戶下載和運行病毒軟件，利用該病毒，攻擊者可以偷竊手機(jī)里的電話號碼和電子郵件，同時可以遠(yuǎn)程控制手機(jī)，執(zhí)行各種危險指令。 第三，利用藍(lán)牙方式傳播，此病毒可以更改手機(jī)的系統(tǒng)設(shè)置，使手機(jī)一開機(jī)就能先運行該病毒，并且它可以利用藍(lán)牙自動搜索附近的手機(jī)是否存在漏洞，并試圖進(jìn)行攻擊。 手機(jī)病毒類型 惡意行為概述 惡意扣費 在用戶不知情或未授權(quán)的情況下，通過隱蔽執(zhí)行、欺騙用戶點擊等手段，訂購各類收費業(yè)務(wù)或使用移動終端支付，導(dǎo)致用戶經(jīng)濟(jì)損失 隱私竊取 在用戶不知情或未授權(quán)的情況下，獲取涉及用戶個人信息的，具有 隱私竊取屬性 遠(yuǎn)程控制 在用戶不知情或未授權(quán)的情況下，能夠接受遠(yuǎn)程控制端指令并進(jìn)行相關(guān)操作 惡意傳播 自動通過復(fù)制、感染、投遞、下載等方式將自身、自身的衍生物或其他惡意代碼進(jìn)行擴(kuò)散 資費消耗 在用戶不知情或未授權(quán)的情況下，通過自動撥打電話、發(fā)送短信、彩信、郵件、頻繁連接網(wǎng)絡(luò)等方式，導(dǎo)致用戶資費損失 系統(tǒng)破壞 通過感染、劫持、篡改、刪除、終止進(jìn)程等手段導(dǎo)致移動終端或其他非惡意軟件部分或全部功能、用戶文件等無法正常使用的，干擾、破壞、阻斷移動通信網(wǎng)絡(luò)、網(wǎng)絡(luò)服務(wù)或其他合法業(yè)務(wù)正常運行 誘騙欺詐 通過偽造 、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾、桌面等方式，誘騙用戶，而達(dá)到不正當(dāng)目的 流氓行為 執(zhí)行對系統(tǒng)沒有直接損害，也不對用戶個人信息、資費造成侵害的其他惡意行為 第四，利用 播，這種病毒的傳播方式是利用傳送 方式來達(dá)到傳送病毒的目的。 表 種手機(jī)病毒的類型及其相對應(yīng)的惡意行為 11 第五，利用手機(jī) 手機(jī)電話設(shè)備的“ 運行，如“ “ “ “ ，主要表現(xiàn)是持續(xù)發(fā)出警告聲音；將用戶信息變更為“ 在手機(jī)的屏幕上顯示格式化內(nèi)置硬盤時畫面；最嚴(yán)重的是使手機(jī)鍵盤操作功能喪失。 機(jī)病毒運行機(jī)理 機(jī)病毒的運行機(jī)理主要是以下兩種方式：一是將病毒代碼嵌入正常組件中去，然后在正常應(yīng)用的進(jìn)程中運行病毒代碼程序；二是將病毒組件嵌入到正常應(yīng)用中，一般情況，被植入正常程序的病毒組件都是以后臺的形式運行的，并且它們擁有正常應(yīng)用所具有的所有權(quán)限。 章小結(jié) 本章主要對 臺的體系結(jié)構(gòu)進(jìn)行了介紹，同時講解了搭建 行環(huán) 境的方法，并且對市場上存在的各種病毒進(jìn)行了分析，為下文開發(fā)手機(jī)衛(wèi)士的各項功能，和殺毒程序的開發(fā)和測試奠定了基礎(chǔ)。 12 第 三 章 殺毒原理介紹 本節(jié)針對第二章總結(jié)的病毒的分類及特征，介紹了四種目前比較普及的殺毒原理，包括基于簽名的特征碼的掃描、主動防御、啟發(fā)式掃描、云查殺。當(dāng)然各個殺毒軟件的殺毒原理基本都相同，區(qū)別就在于殺毒引擎。下面針對各殺毒原理進(jìn)行介紹。 于簽名的病毒掃描原理 在本次設(shè)計中，就是采用的這種方式進(jìn)行掃描并查殺病毒的。其基本原理就是提取出文件的特征 碼，將提取出來的特征碼與病毒數(shù)據(jù)庫中的進(jìn)行比較，如果存在就判斷為病毒。其主要的殺毒流程如圖 示。 首先進(jìn)入殺毒界面，創(chuàng)建一個殺毒的子線程，然后通過 歷手機(jī)中所有已經(jīng)安裝的和尚未卸載干凈的應(yīng)用程序，通過掃描應(yīng)用程序的特征碼與病毒數(shù)據(jù)庫里面的特征碼進(jìn)行對比，判斷是否為病毒，如果匹配上，則證明是病毒，那么就彈出相應(yīng)的殺毒提示框，讓用戶去處理，否則，應(yīng)用程序是安全的，則返回殺毒主界面。 圖 機(jī)殺毒流程圖 手機(jī)殺毒界面 創(chuàng)建子線程 是否為病毒 彈出刪除病毒界面 程序簽名與數(shù)據(jù)庫對比 通過 掃描程序 13 病毒掃描由兩部分組成：一部分是病毒特征碼庫，含有經(jīng)過特殊 選定的各種手機(jī)病毒的特征碼；另一部分是利用該特征碼庫進(jìn)行掃描的掃描程序。病毒掃描程序能識別的手機(jī)病毒的數(shù)目完全取決于病毒特征碼庫內(nèi)所含病毒特征碼種類的多少。顯而易見，庫中病毒特征碼種類越多，掃描程序能認(rèn)出的病毒就越多。特征碼的掃描法的最大的優(yōu)點是易于商業(yè)化，并且可以依據(jù)檢測結(jié)果做進(jìn)一步的殺毒處理。但是這種方式也有很大的局限性，這種掃描方式只能查殺病毒數(shù)據(jù)庫中的已知病毒，對于病毒庫里邊沒有的病毒無法掃描出來。但是隨著病毒的種類越來越多，需要存入數(shù)據(jù)庫中的特征碼也越來越多，數(shù)據(jù)庫的體積也越來越大，對用戶來說，下 載這些殺毒軟件時同時也要下載這些病毒數(shù)據(jù)庫才可以實現(xiàn)殺毒，因此給手機(jī)用戶帶來很大的不便，同時占用手機(jī)很大的內(nèi)存，而且數(shù)據(jù)庫中的數(shù)據(jù)增多，掃描所需要的時間也會加長，查詢速度就非常慢。盡管如此，基于特征碼的掃描法仍是使用最為普遍的手機(jī)病毒檢測方法。 查殺的原理 由于每檢測出一種新的病毒，我們都需要將它的特征碼提取出來，然后將其存入病毒數(shù)據(jù)庫當(dāng)中，由于病毒的種類越來越多，需要存入病毒數(shù)據(jù)庫里邊的特征碼也越來越多，因此病毒庫怎么保存？就成為安全領(lǐng)域的一大難題。 20 年前，一年大概只能找到 1000 多種病毒，每 隔幾天去更新一次用戶的病毒庫就能夠保障用戶的安全。但是目前每天要新增幾乎 2 萬多種病毒，安全廠商即使不間斷的在線更新用戶端的病毒庫，也不能做到 100%的安全。因此，安全廠商們就研究了“云計算”，將病毒數(shù)據(jù)庫放在“云端”，與客戶端所構(gòu)成的防御體系能夠通過網(wǎng)絡(luò)直接去阻斷病毒和木馬的傳播路徑，從而保護(hù)了終端機(jī)器的安全。 云查殺即是新一代不需要病毒數(shù)據(jù)庫的殺毒方法，它的原理是將常見的病毒特征碼存到客戶機(jī)上，不常見的存到服務(wù)器上，然后掃描所有的啟動項和現(xiàn)在在運行的后臺和前臺的進(jìn)程和各個進(jìn)程的服務(wù)項，當(dāng)有一些可疑的文件出 現(xiàn)時，它會將該文件的特征碼提交到服務(wù)器上，由服務(wù)器來處理。而服務(wù)器的處理能力是比較強(qiáng)的，會將處理的結(jié)果返回給客戶端。另外它還會定期更新一些安全項和非安全項的數(shù)據(jù)，這種方法不需要等待服務(wù)器響應(yīng)所以分析快很多，缺點是不能保證有實時的安全項數(shù)據(jù)。 動防御的原理 主動防御顧名思義不是以查殺為主要手段，而是以防御為主。主動防御是最新的殺毒 方式 ，監(jiān)視系統(tǒng)關(guān)鍵的 否改變，或者是注冊表的操作，比如 360 的主動防御就會提示我們某某程序正在加載，是否允許更改瀏覽器主頁等。主動防御就是一個后臺的 務(wù) ，實時監(jiān)控 設(shè)備狀態(tài)，比如短信監(jiān)控、電話監(jiān)控、網(wǎng) 14 絡(luò)監(jiān)控和程序安裝監(jiān)控等，當(dāng)有病毒入侵時，可以及時監(jiān)測出來，并提醒用戶處理。 主動防御的一般流程是通過掛接系統(tǒng)建立進(jìn)程的 毒 程 序就在一個進(jìn)程建立之前對進(jìn)程的代碼進(jìn)行掃描，如果發(fā)現(xiàn) 定位指令 (一般正常軟件不會有這些指令 )，就提示用戶處理，如果用戶放行，就讓進(jìn)程繼續(xù)運行 ;接下來監(jiān)視進(jìn)程調(diào)用 情況，如果發(fā)現(xiàn)以讀寫方式打開一個 件，可能進(jìn)程的線程想感染 件，就發(fā)出警告 ;如果收發(fā)數(shù)據(jù)違反了規(guī)則，發(fā)出提示 ;如果進(jìn)程調(diào)用了，則發(fā)出警告 (因為 是一個非常危險的常進(jìn)程很少用到，倒是被病毒木馬用得最多 )。通過這樣的一個流程實現(xiàn)主動防御，將未知的病毒給檢測出來，防患于未然。 發(fā)式掃描原理 我們知道無論是 病毒的特征碼還是基因碼，其原理都是根據(jù)對已知病毒的分析，對未知病毒進(jìn)行防御。這種方法雖然能夠殺死一部分的未知病毒，但是卻很難對全新的病毒的威脅進(jìn)行防御。于是安全廠商就意識到要改進(jìn)病毒的查殺思路， 如果一味的跟著病毒的改變走，永遠(yuǎn)只會處于被動狀態(tài)。因此安全廠商就研究設(shè)計了這種啟發(fā)式掃描病毒的方式。 啟發(fā)式掃描是目前一種比較主流的對付新型病毒的方式。 啟發(fā)式 指的 是 “自我發(fā)現(xiàn)的能力”或“運用某種方式或方法去判定事物的知識和技能?！眴l(fā)式掃描的原理就是，用這種掃描技術(shù)“啟發(fā)”一下各種可執(zhí)行程序，然后根據(jù)這些程序的行為進(jìn)行判斷，因為絕大多數(shù)病毒程序都是通過用戶啟動它，它才開始攻擊用戶的手機(jī)程序。這種方法說的通俗一點就比較類似于釣魚，用只有病毒才會咬鉤的餌料，把病毒釣上來。 這種啟發(fā)式掃描的實現(xiàn)途徑是通過虛擬機(jī)技術(shù)，以及智能的分析技術(shù)。啟發(fā)式會在用戶的移動終端模擬一個虛擬環(huán)境，和實機(jī)的環(huán)境隔絕，無論虛擬機(jī)里邊發(fā)生什么情況，都 不會影響到實機(jī)。當(dāng)我們點擊運行啟發(fā)式掃描的時候，可執(zhí)行程序會被裝入虛擬機(jī)，并被誘發(fā)執(zhí)行，然后監(jiān)測這些可執(zhí)行程序的行為，如果虛擬機(jī)里邊有一個可執(zhí)行程序是病毒，那么當(dāng)被執(zhí)行之后，它就會瘋狂的侵染虛擬機(jī)，這時候殺毒程序就會將其查殺，而實機(jī)不會受任何的影響。當(dāng)然啟發(fā)式掃描技術(shù)也有其缺點，比如遇到手法高明的病毒，啟發(fā)式掃描也很難將其檢測出來。因此啟發(fā)式掃描也不是能夠?qū)⑺械奈粗《径寄軝z測出來。另外，啟發(fā)式掃描誤報率高，不是任何一個讀取其他程序的可執(zhí)行程序都具有破壞性，因此這就需要用戶去判斷了。 15 章小結(jié) 本 章詳細(xì)介紹了四種病毒的查殺原理，其中包括本課題實現(xiàn)的基于簽名的特征碼掃描的查殺原理，還有本課題尚未實現(xiàn)的主動防御，云查殺，啟發(fā)式掃描的查殺原理，總結(jié)來說基于簽名的特征碼掃描和云查殺屬于靜態(tài)查詢方式，是通過提取病毒特征碼跟病毒數(shù)據(jù)庫進(jìn)行比較來實現(xiàn)的。還有另外兩種主動防御和啟發(fā)式掃描屬于動態(tài)掃描原理，是通過監(jiān)控可執(zhí)行程序的行為來判斷未知的病毒。并將檢測出來的病毒的特征碼提取出來，保存到病毒數(shù)據(jù)庫中 。 16 第 四 章 手機(jī)安全衛(wèi)士項目 實現(xiàn) 本章系統(tǒng)地 講解 了 一個完整的 際項目的 設(shè)計流程 ，該項目涵蓋了市場上主流手機(jī)安全衛(wèi)士的主要功能，具體包括：手機(jī)防盜、通信衛(wèi)士、軟件管理、進(jìn)程管理、流量統(tǒng)計、手機(jī)殺毒、系統(tǒng)優(yōu)化、高級設(shè)置、設(shè)置中心 及二維碼掃描 。 下面將對各模塊的具體設(shè)計流程進(jìn)行詳細(xì)介紹。 目簡介 整個項目綜合運用 識點，以 架構(gòu)建項目 。 本項目所實現(xiàn)的功能模塊主要包含以下幾個： 手機(jī)防盜模塊： 變更報警、 蹤、遠(yuǎn)程數(shù)據(jù)銷毀、遠(yuǎn)程鎖屏四個子模塊。 通信衛(wèi)士模塊：黑名單管理、電話攔截、短信攔截三個子模塊。 軟件管理模塊：顯示 所有軟件、卸載軟件、啟動軟件、分享軟件四個子模塊。 進(jìn)程管理模塊：顯示所有正在運行的進(jìn)程和剩余內(nèi)存、一鍵清理兩個子模塊。 流量統(tǒng)計模塊：顯示軟件消耗的流量。 手機(jī)殺毒