手机病毒木马简介与分析方法.ppt

演讲人：王加志 制作人：许霞 手机 杀毒 病毒的 危害 处理病 毒 认识手 机病毒 手机中毒原因 手机病毒木马定义 手机中毒的表现 手机中毒的危害 手机病毒木马简介 目的 目前手机病毒木马分析技术大多掌握在从 业者手中，外人对于如何对手机病毒木马 分析感觉摸不着门路。这次课程就是从简 单的原理上给大家做个介绍。 由于时间仓促且本人水平有限，讲解过程 中有什么不当之处请多多指点。 手机中毒原因 在手机的制作过程中，由于硬件或者编码 的问题，会造成手机的各种缺陷，攻击者 可以利用这些缺陷，用病毒或者木马进行 攻击。 手机缺陷与病毒木马攻击 主要内容 手机病毒木马简介 手机病毒木马分析方法 手机病毒木马定义 首先需要强调的是运行平台是手机。 手机病毒参照计算机病毒定义：破坏手机 功能或者破坏数据、影响手机使用并且能 够自我复制的一组指令或者程序代码。 手机木马参照计算机木马定义：木马是有隐 藏性的、自发性的可被用来进行恶意行为 的程序，多不会直接对手机产生危害，而 是以控制为主。 手机病毒木马定义 由于当前病毒和木马越来越多的结合在一 起，因此我在这里统称为手机病毒木马， 或者手机恶意软件。 手机病毒大事记 2004年 卡波尔病毒出现，该病毒通过蓝牙 进行传播。 2007年，一种基于手机联网方式的病毒程 序开始大量波及诺基亚手机用户，该恶意 程序可以把用户信息利用互联网功能发送 到攻击者手中。 现在，越来越多的手机病毒木马传播开来， 而且传播方式和功能也越来越强大。 目前手机病毒木马的目标 各种智能手机，特别是用户量比较大的智 能系统的手机。 因为随着手机功能越来越强大，支持用户 下载或者编写的程序也越来越多，因此给 了不法分子可乘之机。 而且目前大多数手机木马程序的运行都需 要用户的交互操作，在这里社会工程学起 到了很大的作用。 手机病毒的特点和传播方式 手机病毒紧紧结合手机系统提供的功能， 利用手机系统内部的运行机制来完成自己 的破坏，并进行传播与感染。 其特点：自我复制性、隐蔽性、破坏性。 多种传播方式：存储卡、网络下载、 wifi、 蓝牙、红外及彩信等。 手机病毒木马发展趋势 多样化 随着手机功能的多样化，留给病毒木马的 可乘之机也就越多。 隐蔽化 目前手机病毒都还很简单，但是随着手机 性能的提高，例如多任务执行。这样可以 使病毒更难以被发现。 手机病毒木马发展趋势 底层化 随着手机恶意程序制造者对手机系统内部 核心了解的越来越透彻，那么借助底层的 开发能力就可以写出一些类似 pc机内核级 别的程序，从而使查杀更加困难。 顽固化 特别是像 android这种开源的系统，手机恶 意程序制造者可以通过阅读这些代码来找 到系统的薄弱点，从而写出和系统结合在 一起的恶意程序。 手机病毒木马发展趋势 反杀毒化 当手机恶意程序获得较高权限时，类似 PC 机 就可能关闭或者欺骗各种杀毒软件，这 样杀毒软件就无法发现手机病毒木马程序。 手机中毒的一般表现 系统反应缓慢 很多人发现新买的手机在使用过一段时间 后，运行速度变慢了。其中一种原因就是 手机里面安装运行的程序多了，造成系统 资源过多消耗。而其他原因就可能是手机 上运行了病毒木马程序。 手机中毒的一般表现 莫名的短信或者彩信消息 病毒木马程序往往带有目的性，常常利用 短消息、彩信消息来监控病毒木马程序的 运行，或者控制其完成某种功能。甚至为 了宣传某些东西而发送大量短信。 手机中毒的一般表现 自动联网 特别是当 3G业务推广以后，自动联网也成 为手机病毒木马程序运行的一大特征。手 机病毒木马程序联网后，可以访问特定的 网站，从而下载执行更多恶意软件等操作， 这样就可以实现更加复杂的功能。 简单识别方法： 1.手机一旦接入 Internet，手机屏幕上会有 联网图标。 2.检查手机实时流量。 手机中毒的一般表现 通话质量下降或者延迟（ dos攻击） 某些手机病毒木马程序可以监听使用者的 语音通话，一旦中了这种恶意程序就可能 会发现手机通话质量产生明显的下降。还 有一种情况是恶意程序大量发送短信时也 会造成信道繁忙，从而影响通话。 曾经某地区用户发现手机信号是满格的， 当时却打不出去电话，这就是由于在该时 段许多用户的手机同时发送大量垃圾短信 从而，造成这种现象。 手机中毒的一般表现 耗电量增加 使用这种方式判断是否中病毒木马程序不 是很准确。但是对于一个使用电话有规律 的人来讲这也是非常重要的一个参考方式。 手机病毒木马的危害 直接性破坏 1.破坏手机系统，从而使用户造成直接经济 损失。 2.破坏用户手机资料，例如联系人等。 手机病毒木马的危害 手机吸费 例如有些不法的 SP，就是通过手机病毒木 马发送收费短信或者来电进行收费。 特别是山寨手机大多数存在吸费现象，而 且大部分是刷在固件里的。 手机病毒木马的危害 窃密与监听 手机是现代人类主要的通讯联系方式之一， 使之成为社会成为社会生活中一个不可缺 失的部分，但是也带来了社会安全的巨大 隐患问题。 例如用户的通信录资料窃取、音频窃听、 视频照片泄露等等一系列的安全问题。 手机病毒木马的危害 欺骗与敲诈 通过获取的用户信息，向用户发送欺骗短 信骗取钱财。例如利用用户手机向用户通 信录中的联系人发送银行帐号，同时说明 用户自己目前缺钱，从而骗取钱财。 识别方法 让手机选择离线模式 这是有些容错性不好的手机木马就有可能 暴露出来。因为手机木马最为关键的就是 和外界取得联系，一旦关闭网络，有些木 马程序出于编写原因或者进程无法执行的 错误而暴露自己。 检查蓝牙发送信息，接收方和发送方数据 是否一致。 手机病毒木马的分析方法 动态方法 动态监控手机病毒木马运行后的各种状况 ，并详细记录。 静态分析方法 对病毒木马程序进行反汇编，从源码分析 其特征。 动静结合 在实际分析工程中，采用动静结合的方法 更容易对样本进行分析。 手机病毒木马的动态分析方法 发现手机病毒的方法和计算机相类似但是 又有很多不同的地方。以下是基于手机行 为的分析查找方法： 手机自启动方式检查 手机文件系统检查 手机运行任务检查 手机联网检查 手机功能检查 手机病毒简介 BD.MobileSearch病毒（ Android平台吸费 ） BD.MobileSearch病毒，该病毒侵入用户手机安装后，启动恶意服务程序 ，后台联网下载一个安卓上的 jar库文件，文件直接由 Dalvik虚拟机运行 ，上传用户浏览器内书签内容，同时上传用户 IMEI和 IMSI信息，给用户 造成一定的资费消耗和安全威胁。 病毒危害 后台联网，下载具有其它恶意行为插件，给用户手机造成进一步的危害 。 后台联网过程中的一系列数据下载行为，将大量消耗用户资费，造成 经济损失。 病毒原理 1、传播方式：网络下载安装。 2、触发方式：随程序启动而启动。 3、运行现象：软件功能为收费软件破解程序，内有插包，运行后插包 内恶意服务启动，后台联网下载一个安卓上的 jar库文件（实际是包含 dex文件的压缩文件）。下载的文件直接由 Dalvik虚拟机运行，用户难以 检测到，该包的功能为获取用户浏览器内书签内容，并同时上传用户的 IMEI和 IMSI信息。 手机病毒简介 AVK.FavouriteForm病毒（ Symbian平台系统破坏 ） AVK.FavouriteForm病毒，该病毒以当前热门的团购类软件为名诱 使用户下载安装。进程激活后在后台联网上传用户手机型号、 IMEI及 IMSI号等信息，大量消耗用户资费，还会破坏手机安全软 件进程，给用户带来经济损失和手机安全的双重危害。 病毒危害 1.后台联网行为大量消耗用户资费，造成经济损失。 2.破坏手机安全软件进程，给用户手机带来潜在威胁。 病毒原理 1、传播方式：网络下载安装。 2、触发方式：病毒安装到手机中需手动启动进程。 3、运行现象：进程不会开机自启需手动激活，该进程被激活后 会在后台联网上传用户的手机型号， IMEI 及 IMSI 号等信息，还会 停止手机安全软件进程。 手机病毒简介 SW.Msgspy病毒（ Android平台 后门 ） SW.Msgspy病毒，该病毒启动后，自动向指定的手机号码发送短信。并对手机周 围环境和用户通话内容进行录音，后台联网上传至服务器，同时将用户手机中收 件箱和发件箱短信，上传服务器。更会上传用户 IMEI及地理位置等信息，严重泄 露用户隐私。 病毒危害 1.后台录音，对手机周围环境和用户通话内容进行录音，后台联网上传至服务器 ，泄露用户隐私。 2.后台联网，将用户手机中收件箱和发件箱中短信，上传服务器，泄露用户隐私 。 3.后台联网，泄露用户 IMEI及地理位置等信息。 病毒原理 1、传播方式：网络下载安装。 2、触发方式：开机自启。 3、运行现象：开机启动 1分钟后，病毒向手机号码 15859*发送 你好，灵 猫静静已第一次开机使用 ,IMEI:发送用户 IMEI号；监听手机待机环境和通话内容 进行录音，录音文件保存在 /sdcard/shangzhou/callrecord/文件夹下，并上传至服 务器；监听收件箱和发件箱中的短消息内容和 GPS地理位置信息，并上传至服务 器。 手机病毒的查杀方法 1、关闭乱码电话 当对方的电话拨入时，屏幕上显示的 应该是来电电话号码，结果却显示别的字 样或奇异符号。如果遇到上述情形，用户 应不回答或立即把电话关闭。如接听来电 ，则会感染上病毒，同时机内所有新名词 及设定将被破坏。 手机病毒的查杀方法 2、尽量少从网上下载信息 病毒要想侵入且在流动网络上传送， 要先破坏掉手机短信息保护系统，这本非 容易的事情。但随着 3G时代的来临，手机 更加趋向于一台小型电脑，有电脑病毒就 会有手机病毒，因此从网上下载信息时要 当心感染病毒。 手机病毒的查杀方法 3、注意短信息中可能存在的病毒 短信息的收发作为移动通讯的一个重 要方式，也是感染手机病毒的一个重要途 径。如今手机病毒的发展已经从潜伏期过 渡到了破坏期，短信息已成为下毒的常用 工具。手机用户一旦接到带有病毒的短信 息，阅读后便会出现手机键盘被锁，甚至 破坏手机 IC卡等严重效果。 手机病毒的查杀方法 4、对手机进行查杀病毒 目前查杀手机病毒的主要技术措施有 是通过在手机上安装杀毒软件对手机进行 杀毒。 开发环境 Android开发环境 1、 eclipse-javad的 ide开发工具（有基于 c+的） 2、下载 JDK-java的基本环境 3、 android sdk下载 谢谢！