基于Android的軟件安全技術研究獨家優(yōu)秀】

《基于Android的軟件安全技術研究獨家優(yōu)秀】》由會員分享，可在線閱讀，更多相關《基于Android的軟件安全技術研究獨家優(yōu)秀】（45頁珍藏版）》請在裝配圖網(wǎng)上搜索。

I 摘 要 在移動互聯(lián)網(wǎng)飛速發(fā)展的今天，智能手機逐漸成為人們進行溝通交流、了解外部信息的重要工具。從某種程度上來說， 智能手機相當于小型 中的 機系統(tǒng)。 臺的開源性使得市場上各種手機智能軟件日益增多并且混亂，有些非法的軟件不僅威脅著手機的性能與安全，同時也給防范意識薄弱的手機用戶帶來了時間和經(jīng)濟上的損失。 針對人們日常在使用手機的過程中 存在的問題 ，比如， 用戶手機突然死機、關機、個人資料被刪、向外發(fā)送垃圾郵件泄露個人信息等。 設計了 一款 手機安全衛(wèi)士軟件。整個軟件 基于 發(fā)平臺，采用 言，遵循 計模式，使用 本完成了 一款 功能強大、實際可行的手機安全衛(wèi)士軟件。該軟件主要實現(xiàn)了以下功能：手機防盜、通訊衛(wèi)士、軟件管理、進程管理、流量統(tǒng)計、手機殺毒、系統(tǒng)優(yōu)化、高級工具、設置中心以及二維碼掃描十大功能模塊。通過反復不斷的調試及測試，該手機安全衛(wèi)士軟件基本實現(xiàn)了用戶所需的功能，具有很強的實用性。 本文重點介紹了兩種病毒檢測的方法，一種是基于簽名的特征碼掃描的檢測方法，該方法是通過對已知的病毒特征碼進行掃描并與特征碼數(shù)據(jù)庫進行比較 ，如果能匹配上則提示用戶去查殺；另一種方法是通過掃描二維碼進行檢測，如果是惡意軟件則提示用戶去處理，否則就打開相應的鏈接，進行下載安裝 。 關鍵詞 ： 毒 安全檢測 計模式 of an to is to a C, of in of of in to s of as A is is on VC is s on a is on is by is to if is is to if it is it to 目 錄 第 1 章 緒論 . 1 究背景及其意義 . 1 內外研究現(xiàn)狀 . 2 外研究現(xiàn)狀 . 2 內研究現(xiàn)狀 . 3 要研究內容 . 4 第 2 章 臺介紹及病毒分類 . 5 系結構 . 5 建 發(fā)環(huán)境 . 7 機病毒分析 . 9 機病毒的來源 . 9 機病毒分類 . 9 機病毒傳播方式 . 9 機病毒 運行機理 . 11 章小結 . 11 第 3 章 殺毒原理介紹 . 26 于簽名的病毒掃描原理 . 錯誤 !未定義書簽。 查殺的原理 . 13 動防御的原理 . 13 發(fā)式掃描原理 . 14 章小結 . 15 第 4 章 手機安全衛(wèi)士項目開發(fā) . 錯誤 !未定義書簽。 目簡介 . 16 面的 發(fā) . 16 序主界面的 計 . 17 閉自動更新 . 18 機防盜模塊的設計 . 19 機防盜設計流程 . 19 機防盜界面設計 . 19 級工具模塊的設計 . 21 信衛(wèi)士模塊的設計 . 23 件管理模塊的設計 . 24 程管理器的設計 . 25 量管理模塊的設計 . 25 統(tǒng)優(yōu)化的功能介紹 . 26 置中心模塊的設計 . 26 維碼掃描模塊的設計 . 28 機殺毒模塊的設計 . 28 章小結 . 30 第 5 章 項目測試 . 31 功能模塊的測試 . 31 章小結 . 36 第 6 章 總結與展望 . 37 文工作總結 . 37 續(xù)研究及展望 . 38 參考文獻 . 39 致 謝 . 40 附 錄 . 41 1 第 一 章 緒論 本章簡要介紹了 件安全 研究的背景和意義，同時簡要說明了 本課題主要研究的具體內容。 究背景及其意義 目前互聯(lián)網(wǎng)的應用以及信息交互已經(jīng)從計算機時代發(fā)展到個人移動計算機時代。目前最普及的移動智能終端設備就是搭載 作系統(tǒng)的手機 。 目前幾乎每個人都有一臺 它的普及促進了基于 用程序的開發(fā)和使用中來。 一個基于 心的開放手機操作平臺系統(tǒng)，系統(tǒng)提供開放的源代碼開發(fā)平臺，這種開放的平臺便于開發(fā)者方便、自由的開發(fā)，同時這種開放性也給不法開發(fā)商提供了便利。他們利用 臺的開放性竊取用戶隱私、偷走手機流量、惡意扣取用戶話費等，給用戶帶來了巨大的損失。 網(wǎng)秦于 2014 年 6 月 10 日正式發(fā)布 2014 年第一季度全球手機安全報告，據(jù)網(wǎng)秦“云安全”監(jiān)測平臺數(shù)據(jù)統(tǒng)計， 2014 年第一季度查殺到手機惡意軟件共計 41199款，同比增長 感染智能手機共計 1784 萬部，同比增長 在惡意軟件的特征分類中， 2014 年第一季度誘騙欺詐類惡意軟件超過了惡意扣費類惡意軟件，以總感染人數(shù) 48%的比例列第一位。如圖 圖 示。報告顯示，誘騙欺詐類惡意軟件主要是通過誘騙性的信息，來騙取用戶下載安裝其他軟件，達到廣告推廣的目的。所有的惡意軟件主要是通過偽裝成游戲類應用來進行傳播的，在 2014 年第一季度的十大惡意軟件排名中，有 7 個是游戲類應用。網(wǎng)秦安全專家認為，這與游戲類應用擁有海量用戶、病毒傳播速度快、規(guī)模大、盈利見效快等有著重要關系，充分符合病毒制造者逐利的本性。此外，音樂類軟件也未能幸免。在惡意軟件的傳播上， 第三方應用商店依然是主要途徑，由于一部分第三方應用商店還存在安全審核機制不嚴謹?shù)膯栴}，使一些病毒制作者有機可乘，通過二次打包插入惡意程序重新上傳至第三方應用商店進行謀利。 綜上所述， 統(tǒng)的廣泛應用所帶來的移動應用安全形勢不容樂觀，件安全日益嚴峻，而且手機病毒的出現(xiàn)不僅給用戶的個人信息安全造成威脅，同時也給國家信息安全帶來重大安全隱患，甚至還會造成巨大的經(jīng)濟損失。因此，研發(fā)一款操作簡便、安全可靠、功能強大的手機衛(wèi)士是十分必要的。手機衛(wèi)士除了包括手機防盜、攔截騷擾電話和短信、管理手 機可用內存和卸載、啟動、分享相關軟件、清理手機進程、管理手機流量、清除緩存文件還有相關手機的設置等還包括手機殺毒模塊。手機殺毒模塊主要實現(xiàn)手機病毒的檢測和查殺。手機病毒檢測系統(tǒng)的重要意義 2 在于大力提升了我國在移動智能終端安全領域的競爭力，有效的改善移動智能終端領域匱乏有效的安全檢測平臺的現(xiàn)狀，為提高智能終端平臺安全性奠定堅實的基礎，保障了移動互聯(lián)網(wǎng)產(chǎn)業(yè)鏈的進一步健康、快速的發(fā)展。因此，研發(fā)一款具有較強檢測病毒、查殺病毒的軟件變得更加刻不容緩、意義深遠。 內外研究現(xiàn)狀 外研究現(xiàn)狀 美國杜克大學，賓夕法尼亞州立大學，和英特爾實驗室聯(lián)合研究已經(jīng)證實了來自手機應用程序市場的 用程序將用戶的隱私數(shù)據(jù)泄露在網(wǎng)絡的廣告上 1。 參與研究的團隊隨機從 選了 30 種流行的第三方應用程序，并使圖 014 年第一季度 機惡意軟件特征分類 圖 014 年第一季度手機病毒傳播途徑分布 3 用了 究這些應用程序的行為。研究的結果顯示，三分之二的應用在研究中出現(xiàn)可疑的敏感數(shù)據(jù)處理，其中 15 個應用程序用戶的位置到達遠程的廣告服務器。這項研究結果表明在 智能手機平臺中采用如 監(jiān)控工具的有效性和可靠性。 人 2010 年在 臺上實現(xiàn)了一個基于行為檢測的 毒檢測系統(tǒng) 2。該系統(tǒng)在后臺實現(xiàn)動態(tài)的監(jiān)控手機設備的各種事件和獨有特征，搜集到了大量的數(shù)據(jù)，通過機器學習算法將這些數(shù)據(jù)分為正常的（ 惡意的（ 由于當時沒有大量的病毒可供研究， 僅通過分類 臺上的游戲和工 具軟件來進行系統(tǒng)的檢測性能，因此系統(tǒng)的效率沒法得到驗證。 還在文獻中評估多種機器學習算法和特征選擇算法，從多種算法組合中選擇出了作者認為表現(xiàn)最佳的算法組合，分別為 位于德國柏林科技大學的 驗室，對 統(tǒng)上的病毒動態(tài)檢測進行了一系列的研究 3。其中 人在文獻中，提出了一種 用程序檢測沙箱，沙箱位于系統(tǒng)內核中，它的功能主要是對 用程序進行動態(tài)的分析，通過系統(tǒng)調用重定向方法，監(jiān)視系統(tǒng)和庫函數(shù)調用及其參數(shù)，并記錄其運行時的破壞行為。 過使用 的 具，生成偽隨機事件流，如模擬觸摸、手勢、用戶點擊或系統(tǒng)事件等，完成對應用程序的模擬運行。沙箱在內核中，記錄應用程序的系統(tǒng)級行為，生成日志文件，并匯總到便于更好分析的數(shù)學向量中去。 沒有給出分析算法，只是告訴了我們如何利用沙箱進行追蹤并記錄軟件在系統(tǒng)中運行時的相關系統(tǒng)的 調用。 內研究現(xiàn)狀 王志國等人早在 2009 年就提出并實現(xiàn)了 能手機系統(tǒng)的文件實時監(jiān)控技術 4。文獻中，作者是通過替換關鍵的系統(tǒng)調用（ 實現(xiàn)對 臺文件操作行為的捕獲，但文中只是通過系統(tǒng)調用截獲到系統(tǒng)對文件的調用情況，更多的是講解了 作系統(tǒng)上的文件操作監(jiān)控，并未涉及惡意代碼行為的其他方面。并且因為當時缺少真實的 臺惡意軟件的實際攻擊研究，使得無法使 應用程序的檢測達到良好的效果。 最值得一提的能全方位地保護手機安全的軟件當屬北京網(wǎng)秦天下科技有限公司推出的“網(wǎng)秦手機安全”，該軟件集成了病毒掃描、實時監(jiān)控、網(wǎng)絡防火墻、在線更新、系統(tǒng)管理五大功能，有效的防范了移動惡意程序的攻擊、數(shù)據(jù)的竊取和隱私的侵襲。有效的保護了 機操作系統(tǒng)的安全。 專為移動設備用戶提供安全運行環(huán)境的信息安全軟件當屬北京江民新科技有限 4 公司推出的“江民殺毒軟件手機版”，該版本的優(yōu)點是具有出色的兼容性，還具有經(jīng)過特別優(yōu)化的軟件的實時監(jiān)控功能，可以實時的檢測手機文件 的變化，占用資源小，基本上不影響手機的使用效率，能夠全面查殺手機的各種病毒、木馬 5。是移動設備的天然保護傘。 總之，從國內外比較情況來看，國內的研究起步比較晚，對病毒的分析手段和分析工具主要依賴國外的開源組織和研究理論成果，而且主要是以人工分析為主， 機器分析為輔。雖然目前各大安全廠商已經(jīng)投入大量精力，但是對手機病毒的分析檢測技術還相對比較落后，僅是對已知病毒具有一定的防護能力，雖然目前對手機軟件也能進行實時監(jiān)控，并檢測查殺一定的未知病毒，但相對國外的技術，對未知病毒的檢測能力還有待進一步提高。 要研究內容 本文主要研究了基于 件安全的研究背景和國內外研究現(xiàn)狀，并分析了作系統(tǒng)的安全機制及其可能存在的安全隱患。依據(jù) 臺的系統(tǒng)體系結構設計了目前市場上比較普遍的手機安全衛(wèi)士所具有的 十 大功能模塊，同時對殺毒模塊進行了單獨研究，開發(fā)了基于病毒特征碼的靜態(tài)檢測技術，并進一步研究了如何通過二維碼掃描動態(tài)檢測軟件的安全性。 主要工作包括： 第一章 介紹了基于 件安全研究的背景和國內外研究現(xiàn)狀。 第二章 研究 作系統(tǒng)的體系結構， 如何 搭建 臺。同時 研究 了統(tǒng)的安全機制，并對現(xiàn)有的手機病毒進行 了 分類。 第三章 針對目前手機病毒的分類， 研究分析了四種殺毒原理，包括基于簽名的特征碼掃描原理、云查殺原理、主動防御的原理還有就是啟發(fā)式掃描的原理。針對這四種殺毒原理分別進行了介紹和優(yōu)缺點的比較。 第四章 介紹了手機安全衛(wèi)士的十大功能模塊的設計流程 ，包括手機防盜、通信衛(wèi)士、軟件管理、進程管理、流量統(tǒng)計、手機殺毒、系統(tǒng)優(yōu)化、高級工具、設置中心 和二維碼掃描等。 第五章 針對第四章介紹的各個功能模塊進行了測試，測試結果比較理想，達到了設計的預期。 第六章 總結了本課題的研究成果，同時對沒 有研究成功的方法也做了系統(tǒng)的總結，并在接下來的時間里繼續(xù)努力的去完善它。 5 第 二 章 臺介紹及病毒分類 本章將從 時對 在之后的章節(jié)針對不同的病毒設計了不同的檢測方式。 系結構 統(tǒng)的底層建立在 統(tǒng)之上，該平臺由操作系統(tǒng)、中間件、用戶界面和應用軟件 4 層組成，它采用一種被稱為軟件層疊的方式進行構建。 統(tǒng)主要由 5 部分組成，圖 示了 統(tǒng)的體系結構。下面分別對這 5 部分進行簡單介紹。 統(tǒng)的體系結構 S 6 程序員利用 開發(fā) 臺的應用程序，每個應用程序通常以序編寫。 統(tǒng)包括一系列手機基礎的核心應用程序，包括 序、地圖、日歷、瀏 覽器、電子郵件客戶端、聯(lián)系人等。 統(tǒng)的應用程序的開發(fā)就是面向底層的應用程序框架進行的，該應用程序框架為應用程序層的開發(fā)者提供關鍵的 一個 應用程序可以利用應用程序框架中的以下五部分：服務、內容提供者、活動、廣播意圖接收者、意圖和意圖過濾器。 含一套被不同組件所使用的 C/C+庫的集合。 統(tǒng)主要的庫及其簡介如表 示。 行時 行的時候是由兩部分組成的， 心庫集和 擬機。其庫名稱 庫簡介 系統(tǒng) C 庫 一個從 統(tǒng)派生出來的標準 C 系統(tǒng)庫（ ,并且專門為嵌入式 備調整過。 媒體庫 基于 套媒體庫支持播放和錄制許多流行的音頻和視頻格式。 理對顯示子系統(tǒng)的訪問，并可以對多個應 用程序的 2D 和 3D 圖層機提供無縫整合。 個全新的 覽器引擎，該引擎為覽器提供支持，也為 供支持。 層的 2D 圖形引擎 3D 于 現(xiàn)的 3D 系統(tǒng)，這套3D 庫既可使用硬件 3D 加速，也可以使用 高度優(yōu)化的軟件 3D 加速。 圖和向量字體顯示 所有應用程序使用的、功能強大的輕量級關系數(shù)據(jù)庫 表 統(tǒng)主要庫及其簡介 7 中的核心庫集提供了 言所使用的絕大部分的功能，而虛擬機則是負責運行用程序。 核 核是系統(tǒng)硬件和軟件疊層之間的抽象層。它提供了內存管理、進程管理、安全性、網(wǎng)絡協(xié)議棧和驅動模型等核心的系統(tǒng)服務。 建 發(fā)環(huán)境 安裝步驟： 第一步，安裝 改環(huán)境變量。 運行 直點擊下一步，直到完成為止。修改環(huán)境變量，在量值前加 %點擊確定，如圖 示。新建系統(tǒng)變量，變量值為 裝目錄。如 C:圖 示。 第二步，安裝 直接解壓縮 文版 ) 文版 )指定目錄 如：D: 第三步，安裝 第四步，修改環(huán)境變量 。 將 的 對路徑添加到系統(tǒng) ，如 D:確定”后，重新啟動計算機。 把 或 解壓到 D: 裝目錄下）， 圖 改系統(tǒng)變量 8 如有文件已存在選擇全部替換。運行 看是否安 裝好， 示已經(jīng)安裝，如圖 示，點擊關閉。 第五步，安裝 。 打開 入菜單中的 “ - “ .”然 后點 現(xiàn)如圖 示，然后點擊 在目錄（非中文）， 然后打開，出現(xiàn)如圖 示，然后點擊 擊 到完成。 第六步，安裝 擬器系統(tǒng)版本 。 第七步，啟動 可以新建 目了。 圖 建系統(tǒng)變量 圖 行結果 圖 裝 9 機病毒分析 手機病毒是一種具有破壞性和感染性的手機程序，其可利用發(fā)送短信，瀏覽網(wǎng)站，藍牙等方式進行傳播，會導致用戶手機死機、關機、個人資料被刪、向外發(fā)送垃圾郵件泄露個人信息等。 機病毒的來源 機病毒的來源可以系統(tǒng)的分為以下幾個方面。 第三方電子市場和手機論壇：各大電子市場是用戶下載 主力市場，也是手機 篡改打包病毒的主要 風險渠道，病毒來源渠道依然占比最高，達到 23%。其次是作為手機玩家的重點聚集地，手機論壇占比為 20%。 軟件捆綁傳播：不法開發(fā)商通過植入惡意代碼或者惡意廣告插件捆綁知名軟件二次打包可以迅速感染廣大手機用戶，目前已成為病毒的主要來源。 置渠道：部分不良水貨商，以及部分互聯(lián)網(wǎng)上的第三方 作者基于黑色利益鏈分工，將病毒刷到手機的 機的用戶越多，感染性越強。 二維碼染毒：是一種新興途徑，在 2013 年 10 月，用戶二維碼染毒比例就已經(jīng)達到 7%。目前通過掃描二維碼下載軟件越來越普遍，使得病毒傳播更加 嚴重。 機病毒分類 機病毒主要分為八種類型：惡意扣費、隱私竊取、遠程控制、惡意傳播、資費消耗、系統(tǒng)破壞、誘騙欺詐、流氓行為。表 出了這八種手機病毒的類型及其相對應的惡意行為。 機病毒傳播方式 機病毒的傳播方式大致可分為以下五種方式： 圖 裝控件 10 第一，利用短信或亂碼傳 播 ，病毒發(fā)出一系列由怪字符組成的病毒短信，使手機無法提供某些方面的服務。亂碼電話，則是在來電顯示中顯示亂碼，機主一旦接聽，則會感染上病毒，機內資料可能被破壞。 第 二，誘騙用戶下載和運行病毒軟件，利用該病毒，攻擊者可以偷竊手機里的電話號碼和電子郵件，同時可以遠程控制手機，執(zhí)行各種危險指令。 第三，利用藍牙方式傳播，此病毒可以更改手機的系統(tǒng)設置，使手機一開機就能先運行該病毒，并且它可以利用藍牙自動搜索附近的手機是否存在漏洞，并試圖進行攻擊。 手機病毒類型 惡意行為概述 惡意扣費 在用戶不知情或未授權的情況下，通過隱蔽執(zhí)行、欺騙用戶點擊等手段，訂購各類收費業(yè)務或使用移動終端支付，導致用戶經(jīng)濟損失 隱私竊取 在用戶不知情或未授權的情況下，獲取涉及用戶個人信息的，具有 隱私竊取屬性 遠程控制 在用戶不知情或未授權的情況下，能夠接受遠程控制端指令并進行相關操作 惡意傳播 自動通過復制、感染、投遞、下載等方式將自身、自身的衍生物或其他惡意代碼進行擴散 資費消耗 在用戶不知情或未授權的情況下，通過自動撥打電話、發(fā)送短信、彩信、郵件、頻繁連接網(wǎng)絡等方式，導致用戶資費損失 系統(tǒng)破壞 通過感染、劫持、篡改、刪除、終止進程等手段導致移動終端或其他非惡意軟件部分或全部功能、用戶文件等無法正常使用的，干擾、破壞、阻斷移動通信網(wǎng)絡、網(wǎng)絡服務或其他合法業(yè)務正常運行 誘騙欺詐 通過偽造 、篡改、劫持短信、彩信、郵件、通訊錄、通話記錄、收藏夾、桌面等方式，誘騙用戶，而達到不正當目的 流氓行為 執(zhí)行對系統(tǒng)沒有直接損害，也不對用戶個人信息、資費造成侵害的其他惡意行為 第四，利用 播，這種病毒的傳播方式是利用傳送 方式來達到傳送病毒的目的。 表 種手機病毒的類型及其相對應的惡意行為 11 第五，利用手機 手機電話設備的“ 運行，如“ “ “ “ ，主要表現(xiàn)是持續(xù)發(fā)出警告聲音；將用戶信息變更為“ 在手機的屏幕上顯示格式化內置硬盤時畫面；最嚴重的是使手機鍵盤操作功能喪失。 機病毒運行機理 機病毒的運行機理主要是以下兩種方式：一是將病毒代碼嵌入正常組件中去，然后在正常應用的進程中運行病毒代碼程序；二是將病毒組件嵌入到正常應用中，一般情況，被植入正常程序的病毒組件都是以后臺的形式運行的，并且它們擁有正常應用所具有的所有權限。 章小結 本章主要對 臺的體系結構進行了介紹，同時講解了搭建 行環(huán) 境的方法，并且對市場上存在的各種病毒進行了分析，為下文開發(fā)手機衛(wèi)士的各項功能，和殺毒程序的開發(fā)和測試奠定了基礎。 12 第 三 章 殺毒原理介紹 本節(jié)針對第二章總結的病毒的分類及特征，介紹了四種目前比較普及的殺毒原理，包括基于簽名的特征碼的掃描、主動防御、啟發(fā)式掃描、云查殺。當然各個殺毒軟件的殺毒原理基本都相同，區(qū)別就在于殺毒引擎。下面針對各殺毒原理進行介紹。 于簽名的病毒掃描原理 在本次設計中，就是采用的這種方式進行掃描并查殺病毒的。其基本原理就是提取出文件的特征 碼，將提取出來的特征碼與病毒數(shù)據(jù)庫中的進行比較，如果存在就判斷為病毒。其主要的殺毒流程如圖 示。 首先進入殺毒界面，創(chuàng)建一個殺毒的子線程，然后通過 歷手機中所有已經(jīng)安裝的和尚未卸載干凈的應用程序，通過掃描應用程序的特征碼與病毒數(shù)據(jù)庫里面的特征碼進行對比，判斷是否為病毒，如果匹配上，則證明是病毒，那么就彈出相應的殺毒提示框，讓用戶去處理，否則，應用程序是安全的，則返回殺毒主界面。 圖 機殺毒流程圖 手機殺毒界面 創(chuàng)建子線程 是否為病毒 彈出刪除病毒界面 程序簽名與數(shù)據(jù)庫對比 通過 掃描程序 13 病毒掃描由兩部分組成：一部分是病毒特征碼庫，含有經(jīng)過特殊 選定的各種手機病毒的特征碼；另一部分是利用該特征碼庫進行掃描的掃描程序。病毒掃描程序能識別的手機病毒的數(shù)目完全取決于病毒特征碼庫內所含病毒特征碼種類的多少。顯而易見，庫中病毒特征碼種類越多，掃描程序能認出的病毒就越多。特征碼的掃描法的最大的優(yōu)點是易于商業(yè)化，并且可以依據(jù)檢測結果做進一步的殺毒處理。但是這種方式也有很大的局限性，這種掃描方式只能查殺病毒數(shù)據(jù)庫中的已知病毒，對于病毒庫里邊沒有的病毒無法掃描出來。但是隨著病毒的種類越來越多，需要存入數(shù)據(jù)庫中的特征碼也越來越多，數(shù)據(jù)庫的體積也越來越大，對用戶來說，下 載這些殺毒軟件時同時也要下載這些病毒數(shù)據(jù)庫才可以實現(xiàn)殺毒，因此給手機用戶帶來很大的不便，同時占用手機很大的內存，而且數(shù)據(jù)庫中的數(shù)據(jù)增多，掃描所需要的時間也會加長，查詢速度就非常慢。盡管如此，基于特征碼的掃描法仍是使用最為普遍的手機病毒檢測方法。 查殺的原理 由于每檢測出一種新的病毒，我們都需要將它的特征碼提取出來，然后將其存入病毒數(shù)據(jù)庫當中，由于病毒的種類越來越多，需要存入病毒數(shù)據(jù)庫里邊的特征碼也越來越多，因此病毒庫怎么保存？就成為安全領域的一大難題。 20 年前，一年大概只能找到 1000 多種病毒，每 隔幾天去更新一次用戶的病毒庫就能夠保障用戶的安全。但是目前每天要新增幾乎 2 萬多種病毒，安全廠商即使不間斷的在線更新用戶端的病毒庫，也不能做到 100%的安全。因此，安全廠商們就研究了“云計算”，將病毒數(shù)據(jù)庫放在“云端”，與客戶端所構成的防御體系能夠通過網(wǎng)絡直接去阻斷病毒和木馬的傳播路徑，從而保護了終端機器的安全。 云查殺即是新一代不需要病毒數(shù)據(jù)庫的殺毒方法，它的原理是將常見的病毒特征碼存到客戶機上，不常見的存到服務器上，然后掃描所有的啟動項和現(xiàn)在在運行的后臺和前臺的進程和各個進程的服務項，當有一些可疑的文件出 現(xiàn)時，它會將該文件的特征碼提交到服務器上，由服務器來處理。而服務器的處理能力是比較強的，會將處理的結果返回給客戶端。另外它還會定期更新一些安全項和非安全項的數(shù)據(jù)，這種方法不需要等待服務器響應所以分析快很多，缺點是不能保證有實時的安全項數(shù)據(jù)。 動防御的原理 主動防御顧名思義不是以查殺為主要手段，而是以防御為主。主動防御是最新的殺毒 方式 ，監(jiān)視系統(tǒng)關鍵的 否改變，或者是注冊表的操作，比如 360 的主動防御就會提示我們某某程序正在加載，是否允許更改瀏覽器主頁等。主動防御就是一個后臺的 務 ，實時監(jiān)控 設備狀態(tài)，比如短信監(jiān)控、電話監(jiān)控、網(wǎng) 14 絡監(jiān)控和程序安裝監(jiān)控等，當有病毒入侵時，可以及時監(jiān)測出來，并提醒用戶處理。 主動防御的一般流程是通過掛接系統(tǒng)建立進程的 毒 程 序就在一個進程建立之前對進程的代碼進行掃描，如果發(fā)現(xiàn) 定位指令 (一般正常軟件不會有這些指令 )，就提示用戶處理，如果用戶放行，就讓進程繼續(xù)運行 ;接下來監(jiān)視進程調用 情況，如果發(fā)現(xiàn)以讀寫方式打開一個 件，可能進程的線程想感染 件，就發(fā)出警告 ;如果收發(fā)數(shù)據(jù)違反了規(guī)則，發(fā)出提示 ;如果進程調用了，則發(fā)出警告 (因為 是一個非常危險的常進程很少用到，倒是被病毒木馬用得最多 )。通過這樣的一個流程實現(xiàn)主動防御，將未知的病毒給檢測出來，防患于未然。 發(fā)式掃描原理 我們知道無論是 病毒的特征碼還是基因碼，其原理都是根據(jù)對已知病毒的分析，對未知病毒進行防御。這種方法雖然能夠殺死一部分的未知病毒，但是卻很難對全新的病毒的威脅進行防御。于是安全廠商就意識到要改進病毒的查殺思路， 如果一味的跟著病毒的改變走，永遠只會處于被動狀態(tài)。因此安全廠商就研究設計了這種啟發(fā)式掃描病毒的方式。 啟發(fā)式掃描是目前一種比較主流的對付新型病毒的方式。 啟發(fā)式 指的 是 “自我發(fā)現(xiàn)的能力”或“運用某種方式或方法去判定事物的知識和技能?！眴l(fā)式掃描的原理就是，用這種掃描技術“啟發(fā)”一下各種可執(zhí)行程序，然后根據(jù)這些程序的行為進行判斷，因為絕大多數(shù)病毒程序都是通過用戶啟動它，它才開始攻擊用戶的手機程序。這種方法說的通俗一點就比較類似于釣魚，用只有病毒才會咬鉤的餌料，把病毒釣上來。 這種啟發(fā)式掃描的實現(xiàn)途徑是通過虛擬機技術，以及智能的分析技術。啟發(fā)式會在用戶的移動終端模擬一個虛擬環(huán)境，和實機的環(huán)境隔絕，無論虛擬機里邊發(fā)生什么情況，都 不會影響到實機。當我們點擊運行啟發(fā)式掃描的時候，可執(zhí)行程序會被裝入虛擬機，并被誘發(fā)執(zhí)行，然后監(jiān)測這些可執(zhí)行程序的行為，如果虛擬機里邊有一個可執(zhí)行程序是病毒，那么當被執(zhí)行之后，它就會瘋狂的侵染虛擬機，這時候殺毒程序就會將其查殺，而實機不會受任何的影響。當然啟發(fā)式掃描技術也有其缺點，比如遇到手法高明的病毒，啟發(fā)式掃描也很難將其檢測出來。因此啟發(fā)式掃描也不是能夠將所有的未知病毒都能檢測出來。另外，啟發(fā)式掃描誤報率高，不是任何一個讀取其他程序的可執(zhí)行程序都具有破壞性，因此這就需要用戶去判斷了。 15 章小結 本 章詳細介紹了四種病毒的查殺原理，其中包括本課題實現(xiàn)的基于簽名的特征碼掃描的查殺原理，還有本課題尚未實現(xiàn)的主動防御，云查殺，啟發(fā)式掃描的查殺原理，總結來說基于簽名的特征碼掃描和云查殺屬于靜態(tài)查詢方式，是通過提取病毒特征碼跟病毒數(shù)據(jù)庫進行比較來實現(xiàn)的。還有另外兩種主動防御和啟發(fā)式掃描屬于動態(tài)掃描原理，是通過監(jiān)控可執(zhí)行程序的行為來判斷未知的病毒。并將檢測出來的病毒的特征碼提取出來，保存到病毒數(shù)據(jù)庫中 。 16 第 四 章 手機安全衛(wèi)士項目 實現(xiàn) 本章系統(tǒng)地 講解 了 一個完整的 際項目的 設計流程 ，該項目涵蓋了市場上主流手機安全衛(wèi)士的主要功能，具體包括：手機防盜、通信衛(wèi)士、軟件管理、進程管理、流量統(tǒng)計、手機殺毒、系統(tǒng)優(yōu)化、高級設置、設置中心 及二維碼掃描 。 下面將對各模塊的具體設計流程進行詳細介紹。 目簡介 整個項目綜合運用 識點，以 架構建項目 。 本項目所實現(xiàn)的功能模塊主要包含以下幾個： 手機防盜模塊： 變更報警、 蹤、遠程數(shù)據(jù)銷毀、遠程鎖屏四個子模塊。 通信衛(wèi)士模塊：黑名單管理、電話攔截、短信攔截三個子模塊。 軟件管理模塊：顯示 所有軟件、卸載軟件、啟動軟件、分享軟件四個子模塊。 進程管理模塊：顯示所有正在運行的進程和剩余內存、一鍵清理兩個子模塊。 流量統(tǒng)計模塊：顯示軟件消耗的流量。 手機殺毒