史國振，黃 瓊，席宗虎，2，蘇 铓

（1.北京電子科技學(xué)院 信息安全系，北京100070；2.西安電子科技大學(xué) 計算機(jī)學(xué)院，陜西 西安710071；3.西安電子科技大學(xué) 綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國家重點(diǎn)實(shí)驗(yàn)室，陜西 西安710071）

0 引 言

針對惡意代碼種類多樣，而現(xiàn)有的內(nèi)部檢測方法不能夠保證操作系統(tǒng)安全的問題。本文結(jié)合惡意代碼進(jìn)程的特點(diǎn)并借助虛擬化技術(shù)，以QEMU虛擬機(jī)為平臺，設(shè)計實(shí)現(xiàn)了一種Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具，從操作系統(tǒng)外部檢測，保證了操作系統(tǒng)的安全監(jiān)控。通過從QEMU模擬的內(nèi)存中獲取客戶機(jī)系統(tǒng)進(jìn)程雙向鏈表入口地址，并遍歷系統(tǒng)所有進(jìn)程來發(fā)現(xiàn)系統(tǒng)中實(shí)際運(yùn)行進(jìn)程的情況，并與原有的分析工具獲取的進(jìn)程列表進(jìn)行對比，從而分析得出惡意隱藏的進(jìn)程和代碼，實(shí)現(xiàn)系統(tǒng)的外部監(jiān)控，并對系統(tǒng)進(jìn)程全面監(jiān)管。該工具的設(shè)計與實(shí)現(xiàn)為系統(tǒng)安全性的提供和用戶隱私的保護(hù)奠定了基礎(chǔ)。

1 相關(guān)工作

1.1 研究現(xiàn)狀

進(jìn)程是程序在操作系統(tǒng)中運(yùn)行表現(xiàn)形式，為了保證運(yùn)行的有序和穩(wěn)定，操作系統(tǒng)通常具有嚴(yán)密的進(jìn)程管理和調(diào)度機(jī)制，一般惡意代碼等為了隱藏其運(yùn)行蹤跡，通常對其進(jìn)程進(jìn)行偽裝，文獻(xiàn) ［1］針對 Windows系統(tǒng)提出了一種基于直接內(nèi)核對象操作 （DKOM）的進(jìn)程偽裝保護(hù)方法.從內(nèi)核級入手，直接修改操作系統(tǒng)內(nèi)核空間中存儲進(jìn)程相關(guān)信息的數(shù)據(jù)結(jié)構(gòu)，以此實(shí)現(xiàn)進(jìn)程隱藏的目的。文獻(xiàn) ［2］針對Android惡意軟件泛濫的問題，綜合靜態(tài)和動態(tài)分析技術(shù)，設(shè)計實(shí)現(xiàn)了Android惡意軟件檢測系統(tǒng)。但這種惡意軟件檢測系統(tǒng)對新的病毒檢測成功率低、誤報的機(jī)率較高。針對Android的隱藏進(jìn)程發(fā)現(xiàn)方法鮮有研究，現(xiàn)有的安全軟件在惡意軟件檢測方面也存在一定的局限性。一方面，受操作系統(tǒng)本身安全的影響，運(yùn)行于操作系統(tǒng)內(nèi)的安全工具容易受到攻擊；另一方面，安全軟件的權(quán)限僅限于系統(tǒng)內(nèi)核級，存在被系統(tǒng)內(nèi)核級惡意軟件攻擊的危險。針對上述問題，研究并設(shè)計一種能夠在操作系統(tǒng)外部運(yùn)行的安全檢測工具至關(guān)重要，通過為其設(shè)置更高的權(quán)限，可以順利完成檢測工作，同時解決了工具自身受到攻擊的問題。虛擬化技術(shù)的迅速發(fā)展為上述構(gòu)想的實(shí)現(xiàn)提供了很好的契機(jī)，文獻(xiàn) ［3］指出虛擬機(jī)管理器具有更高的權(quán)限和更小的可信計算機(jī)，利用虛擬機(jī)管理器在單獨(dú)的虛擬機(jī)中部署監(jiān)控工具能夠?qū)δ繕?biāo)虛擬機(jī)進(jìn)行檢測，同時保證監(jiān)控工具的有效性和防攻擊性。

目前，Android系統(tǒng)中的惡意程序［4］大都是通過APK的形式安裝到手機(jī)中，通過應(yīng)用級或者系統(tǒng)級的漏洞獲取更高的權(quán)限，達(dá)到破壞系統(tǒng)安全、竊取用戶隱私的目的。現(xiàn)有的靜態(tài)分析方法［5，6］通過提取APK文件內(nèi)容構(gòu)建特征向量，與已知惡意代碼家族中代碼樣本進(jìn)行比較一定程度上解決了惡意程序的識別問題。但是，該方法只能檢測出特征庫中已有的惡意軟件樣本，無法檢測未知的惡意軟件，同時靜態(tài)分析很難應(yīng)對代碼混淆、反射、加密等情況。針對靜態(tài)分析的缺點(diǎn)，出現(xiàn)了動態(tài)分析方法，能夠監(jiān)控APK文件運(yùn)行時的行為，并通過行為對其是否為惡意軟件進(jìn)行判定。但是，動態(tài)分析中惡意行為難以界定，而且對使用了進(jìn)程隱藏技術(shù)的惡意代碼難以檢測。甚至在被惡意軟件的破壞或者繞過后，上述安全工具則毫無記錄可以分析。

1.2 Android進(jìn)程介紹

Android系統(tǒng)［7］中，Dalvik虛擬機(jī)作為Runtime中的核心部分，專門負(fù)責(zé)應(yīng)用程序的運(yùn)行。每個運(yùn)行的應(yīng)用程序都與一個Dalvik虛擬機(jī)實(shí)例對應(yīng)，當(dāng)某個應(yīng)用出現(xiàn)異常時，只有對應(yīng)的Dalvik虛擬機(jī)出現(xiàn)異常，系統(tǒng)不會受到其影響，這樣就保證了系統(tǒng)的穩(wěn)定。如表1所示，Dalvik虛擬機(jī)［8］中的進(jìn)程和線程的概念，同Linux系統(tǒng)中的進(jìn)程和線程概念是一致的。

表1 Dalvik虛擬機(jī)進(jìn)程和線程同Linux進(jìn)程的關(guān)系

Android系統(tǒng)的內(nèi)核是基于Linux內(nèi)核的，其繼承并沿用了Linux操作系統(tǒng)的進(jìn)程管理機(jī)制。通常在操作系統(tǒng)中，每個進(jìn)程都有一個且只有一個進(jìn)程控制塊PCB（process control block）來記錄和刻畫進(jìn)程狀態(tài)等其它相關(guān)信息，并將信息按照struct task＿struct｛｝結(jié)構(gòu)體定義的形式來保存，供操作系統(tǒng)調(diào)度和管理。每個task＿struct（）中記錄著其所對應(yīng)進(jìn)程的所有信息，其結(jié)構(gòu)部分成員如下：

通過該成員可以從當(dāng)前進(jìn)程描述符所在鏈表找到其前后的進(jìn)程描述符，進(jìn)而找到所有進(jìn)程描述符，實(shí)現(xiàn)遍歷操作系統(tǒng)進(jìn)程的目的。

1.3 QEMU介紹

QEMU［10］是一個由Fabrice Bellard編寫的開源模擬器軟件。具體來說，它是一個使用了可移植的動態(tài)二進(jìn)制翻譯器的模擬器軟件。通過分析主流CPU的體系架構(gòu)特點(diǎn)并為其定義對應(yīng)的結(jié)構(gòu)體，使用動態(tài)二進(jìn)制翻譯技術(shù)將上層需要執(zhí)行的指令翻譯成可在宿主機(jī)上直接執(zhí)行的指令，然后將其交給宿主機(jī)的CPU去執(zhí)行。由于QEMU對各種硬件的模擬也是使用純軟件化的方法實(shí)現(xiàn)，這使得QEMU可以模擬的硬件平臺與真實(shí)硬件無必然對應(yīng)關(guān)系。

QEMU的操作模式分為兩種［11］：全系統(tǒng)模擬 （full system emulation） 和 用 戶 模 式 模 擬 （user mode emulation），如圖1所示。

（1）全系統(tǒng)模式仿真：在這種模式下，QEMU模擬的硬件平臺可以模擬出客戶機(jī)系統(tǒng)運(yùn)行起來需要的所有硬件資源，例如ARM平臺上的ARM處理器，BIOS，內(nèi)存等常用的硬件設(shè)備?？蛻魴C(jī)中的應(yīng)用依靠客戶機(jī)上運(yùn)行的操作系統(tǒng)的進(jìn)程任務(wù)調(diào)度，作業(yè)管理來實(shí)現(xiàn)，最終將數(shù)據(jù)發(fā)送給QEMU模擬的CPU進(jìn)行處理，等待結(jié)果的返回；QEMU則是將上層發(fā)送來的指令翻譯成宿主機(jī)系統(tǒng)所能識別的指令，并交由宿主機(jī)的CPU來執(zhí)行。在宿主機(jī)看來，就是應(yīng)用程序QEMU發(fā)送了一段讓宿主機(jī)處理的數(shù)據(jù)，然后等待數(shù)據(jù)返回。其中QEMU在其中充當(dāng)?shù)氖且粋€動態(tài)的翻譯官。

圖1 QEMU的操作模式

（2）用戶模式仿真：在這種模式下，QEMU模擬的是客戶機(jī)系統(tǒng)需要運(yùn)行的CPU，接收客戶機(jī)應(yīng)用發(fā)來的各種請求，然后指令翻譯送往宿主機(jī)，等待返回的結(jié)果。而不管客戶機(jī)中的進(jìn)程任務(wù)調(diào)度及作業(yè)管理等，僅充當(dāng)CPU的功能。

通過分析發(fā)現(xiàn)全系統(tǒng)模式仿真使用的范圍更加的廣泛，并且對客戶機(jī)系統(tǒng)的監(jiān)控也更加的全面，適用于分析操作系統(tǒng)隱藏的進(jìn)程。

2 基于QEMU的Android隱藏進(jìn)程發(fā)現(xiàn)工具

2.1 基本設(shè)計思想

（1）先分析Android源碼［12］找到與內(nèi)核相關(guān)的代碼，其次，按照sched.h文件里TASK＿STRUCT的聲明，一個成員一個成員的算偏移，從而找到成員list＿h(yuǎn)ead這個雙向鏈表的地址，按圖索驥找到所有進(jìn)程。但由于TASK＿STRUCT是一個很大的結(jié)構(gòu)體 （擁有幾十或者上百個成員），并且成員長度各不相同，比如一個char占一個字節(jié)，一個int占4個字節(jié)等；此外考慮到編譯時的對齊問題，手工計算既費(fèi)力又容易錯算，這種發(fā)現(xiàn)進(jìn)程鏈表的方式不適合本工具。

（2）進(jìn)程鏈表存在于內(nèi)核區(qū)，用戶區(qū)的應(yīng)用不能直接的調(diào)用。考慮到驅(qū)動工作于內(nèi)核區(qū)，所以可以嘗試設(shè)計一個特定的驅(qū)動，實(shí)現(xiàn)在內(nèi)存中開辟獨(dú)立的空間用來存放獲取到的進(jìn)程鏈表入口地址，并將數(shù)據(jù)返回給用戶層。但驅(qū)動程序?qū)ο到y(tǒng)權(quán)限的要求很高，并且其最高權(quán)限就是內(nèi)核權(quán)限，而惡意軟件同樣可以獲取到內(nèi)核權(quán)限，若惡意軟件在發(fā)動攻擊之前破壞系統(tǒng)的安全檢測工具，則操作系統(tǒng)完全暴露在惡意軟件之下，安全問題甚是嚴(yán)重。為此，從系統(tǒng)內(nèi)監(jiān)控的方案同樣存在缺點(diǎn)。

針對以上兩種方法各自存在的缺點(diǎn)，本文依托QEMU虛擬機(jī)，設(shè)計并實(shí)現(xiàn)了一種從系統(tǒng)外部監(jiān)控并發(fā)現(xiàn)Android平臺下隱藏進(jìn)程的工具。

假設(shè)前提：通過進(jìn)程隱藏技術(shù)［13，14］對應(yīng)用A進(jìn)行了進(jìn)程隱藏處理，Android系統(tǒng)自身的進(jìn)程管理工具或者是adb工具不能夠發(fā)現(xiàn)應(yīng)用A的進(jìn)程，通過本文設(shè)計的工具來對Android系統(tǒng)進(jìn)行全面監(jiān)控，并獲取Android系統(tǒng)中運(yùn)行的所有進(jìn)程，最后，使用 “基于交叉視圖的檢測技術(shù)［15］”同原有分析工具獲取的進(jìn)程列表進(jìn)行對比來發(fā)現(xiàn)隱藏進(jìn)程。

本文設(shè)計的Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具，其關(guān)鍵技術(shù)在于尋找系統(tǒng)中運(yùn)行的進(jìn)程的入口地址，以方便獲取到鏈表的地址。具體對于是獲取到哪個進(jìn)程的入口地址沒有要求。為此，Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具的設(shè)計如圖2所示。

圖2 Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具設(shè)計思想

（1）于Android系統(tǒng)中選擇系統(tǒng)初始化時進(jìn)程swpper。

（2）將這個進(jìn)程控制表的入口地址，寫入到QEMU模擬的CPU的一個寄存器Ri中。

（3）通過QEMU上的VMM從Ri中讀取進(jìn)程地址內(nèi)容，以獲得swpper的進(jìn)程控制表的入口地址。

（4）根據(jù)sched.h文件里結(jié)構(gòu)體task＿stract｛｝的聲明并結(jié)合特定的偏移算法，計算出各成員的偏移，找到循環(huán)雙向鏈表list＿h(yuǎn)ead｛｝結(jié)構(gòu)體，并獲取下一個進(jìn)程的鏈表入口地址＊next。

（5）通過＊next內(nèi)容尋到下一個進(jìn)程的＊next地址，同時獲取當(dāng)前進(jìn)程task＿stract｛｝結(jié)構(gòu)體中的信息。

（6）重復(fù)步驟 （5）直到遍歷完所有進(jìn)程。

2.2 進(jìn)程發(fā)現(xiàn)工具實(shí)現(xiàn)

針對上節(jié)提出的進(jìn)程發(fā)現(xiàn)模型，具體的實(shí)現(xiàn)步驟如下：

步驟1 修改Android系統(tǒng)代碼

（1）定位進(jìn)程描述結(jié)構(gòu)體

在Android 4.0的內(nèi)核源碼中，在內(nèi)核根目錄下include／linux／sched.h的1114行定位進(jìn)程描述符struct task＿struct，其重要成員變量如下：

tasks是連接進(jìn)程描述符之間的雙向鏈表結(jié)構(gòu)，通過該成員就可以從當(dāng)前進(jìn)程描述符所在鏈表找到它前后的進(jìn)程描述符，進(jìn)而找到所有進(jìn)程描述符。

（2）初始化進(jìn)程描述符：init＿task

初始化進(jìn)程 “swpper”的進(jìn)程描述符在內(nèi)核根目錄arch／arm／kernel／Init＿task.c中，init＿task定義如下：

struct task＿struct init＿task ＝ INIT＿TASK （init＿task）；

在INIT＿TASK （）中，對init＿task結(jié)構(gòu)進(jìn)行了初始化：

步驟2 將進(jìn)程描述法寫入寄存器

（1）在Android中找寄存器

在Android的GoldFish虛擬處理器的電池驅(qū)動程序，相關(guān) 文 件 在 根 目 錄 下 drivers／power／goldfish＿battery.c，這是一個power＿supply的驅(qū)動程序，實(shí)現(xiàn)了讀取屬性等幾個操作，通過讀取虛擬機(jī)的寄存器得到當(dāng)前 “電池”的信息。而這個信息在goldfish＿battery.c是一個固定值，不會被內(nèi)核修改，所以選擇這種數(shù)值不會被修改的寄存器來存儲上一步初始化的特定進(jìn)程描述符的地址。

（2）將init＿task地址寫入寄存器

在goldfish＿battery.c的goldfish＿battery＿probe （）中寫入：GOLDFISH＿BATTERY＿WRITE （data，SYSTEM＿TASK＿STRUCT，＆init＿task）；

步驟3 修改QEMU源代碼

（1）在QEMU找寄存器

在 QEMU源代碼的根目錄下external／qemu／hw／goldfish＿battery.c

（2）獲取寄存器中內(nèi)容

goldfish＿battery＿write （val）；

（3）讀取Android操作系統(tǒng)的進(jìn)程描述符到qemu

Android操作系統(tǒng)的內(nèi)存是QEMU中的虛擬內(nèi)存，故獲取的進(jìn)程描述符地址是操作系統(tǒng)內(nèi)存里的地址，需要使用QEMU的cpu＿memory＿rw＿debug（）函數(shù)將操作系統(tǒng)內(nèi)存內(nèi)容讀取到QEMU控制臺可見的地方。

（4）尋找進(jìn)程名

進(jìn)程名即成員comm，在以進(jìn)程描述符結(jié)構(gòu)體起始地址為基準(zhǔn)偏移0x2d4處，使用：

（5）尋找下一進(jìn)程

進(jìn)程的雙向鏈表即成員tasks，在以進(jìn)程描述符結(jié)構(gòu)體起始地址為基準(zhǔn)偏移0x1c0處，使用：

即可得到下一進(jìn)程的雙向鏈表結(jié)構(gòu)地址，如果想使用下一進(jìn)程的進(jìn)程描述符，需要減去雙向鏈表結(jié)構(gòu)的地址，使用：

即可得到下一進(jìn)程的進(jìn)程描述符。

（6）讀取所有進(jìn)程

通過上面的步驟，借助QEMU成功的發(fā)現(xiàn)了Android系統(tǒng)的所有進(jìn)程。

3 實(shí) 驗(yàn)

本文設(shè)計的Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具是基于QEMU模擬器的1.2.0版本實(shí)現(xiàn)的，在對本工具進(jìn)行測試時，QEMU模擬Android 4.0版本的系統(tǒng)平臺。

在部署完測試環(huán)境之后，首先在Android虛擬機(jī)運(yùn)行Gallery應(yīng)用，使用進(jìn)程隱藏技術(shù)將Gallery應(yīng)用的進(jìn)程隱藏，通過Android系統(tǒng)上的模擬終端列出所有的運(yùn)行進(jìn)程。如圖3所示，發(fā)現(xiàn)所列舉的進(jìn)程中沒有Gallery應(yīng)用對應(yīng)的進(jìn)程。在上述情況下，使用本文設(shè)計的Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具來檢測隱藏進(jìn)程，本工具從系統(tǒng)之外列舉出Android系統(tǒng)中運(yùn)行的所有進(jìn)程。通過兩次獲取的進(jìn)程列表對比，本工具成功的發(fā)現(xiàn)了Gallery應(yīng)用的隱藏進(jìn)程 （圖3黃線框中的android.gallery3d），驗(yàn)證了本文隱藏進(jìn)程發(fā)現(xiàn)工具設(shè)計的正確性。

圖3 進(jìn)程發(fā)現(xiàn)測試實(shí)驗(yàn)結(jié)果

4 結(jié)束語

近年來，隨著Android系統(tǒng)版本的不斷更新，Android系統(tǒng)的惡意軟件數(shù)量呈快速增長態(tài)勢，用戶的隱私、財產(chǎn)安全面臨著嚴(yán)峻的考驗(yàn)和前所未有的挑戰(zhàn)。本文針對現(xiàn)有的內(nèi)部檢測方法不能夠保證操作系統(tǒng)安全的問題，設(shè)計并實(shí)現(xiàn)了一種基于QEMU的Android隱藏進(jìn)程發(fā)現(xiàn)工具。該工具從系統(tǒng)外部監(jiān)控整個系統(tǒng)，遍歷系統(tǒng)所有進(jìn)程來發(fā)現(xiàn)系統(tǒng)中實(shí)際運(yùn)行進(jìn)程的情況，并與原有的分析工具獲取的進(jìn)程列表進(jìn)行對比，從而分析得出惡意隱藏的進(jìn)程和代碼，實(shí)現(xiàn)系統(tǒng)的外部監(jiān)控，并對系統(tǒng)進(jìn)程全面監(jiān)管。并通過實(shí)驗(yàn)驗(yàn)證了隱藏進(jìn)程發(fā)現(xiàn)工具設(shè)計的可行性和正確性。然而，本工具有些地方還有待改進(jìn)，還需要進(jìn)一步的研究。針對Android系統(tǒng)下的進(jìn)程發(fā)現(xiàn)問題，本工具暫時不能發(fā)現(xiàn)游離于進(jìn)程鏈路表之外的隱藏進(jìn)程，這將是接下來需要研究的內(nèi)容。

［1］LAN Zhiling，SONG Yubo，TANG Lei.Novel process－protecting method using camouflage techniques based on direct ker－nel object manipulation ［J］.Journal of Southeast University（Natural Science Edition），2013，43 （1）：24－29 （in Chinese）.［藍(lán)智靈，宋宇波，唐磊.基于直接內(nèi)核對象操作的進(jìn)程偽裝保護(hù)方法 ［J］.東南大學(xué)學(xué)報：自然科學(xué)版，2013，43（1）：24－29.］

［2］HU Wenjun，ZHAO Shuang，TAO Jing，et al.A detection method and system implementation for Android malware ［J］.Journal of Xi’an Jiaotong University，2013，47 （10）：37－43（in Chinese）.［胡文君，趙雙，陶敬，等.一種針對Android平臺惡意軟件的檢測方法及系統(tǒng)實(shí)現(xiàn) ［J］.西安交通大學(xué)學(xué)報，2013，47 （10）：37－43.］

［3］XIANG Guofu，JIN Hai，ZOU Deqing，et al.Virtualizationbased security monitoring ［J］.Journal of Software，2012，23（8）：2173－2187 （in Chinese）.［項國富，金海，鄒德清，等.基于虛擬化的安全監(jiān)控 ［J］.軟件學(xué)報，2012，23 （8）：2173－2187.］

［4］FANG Xinxin.Malware implementation and detected on Android ［D］.Nanjing：Nanjing Post and Communications University，2013 （in Chinese）.［房鑫鑫.Android惡意軟件實(shí)現(xiàn)及檢測研究 ［D］.南京：南京郵電大學(xué)，2013.］

［5］QIN Zhongyuan，XU Yuqing，LIANG Biao，et al.An Android malware static detection method ［J］.Journal of Southeast University （Natural Science Edition），2013，43 （6）：1162－1167 （in Chinese）. ［秦中元，徐毓青，梁彪，等.一種Android平臺惡意軟件靜態(tài)檢測方法 ［J］.東南大學(xué)學(xué)報 （自然科學(xué)版），2013，43 （6）：1162－1167.］

［6］MEI Hong，WANG Qianxiang，ZHANG Lu，et al.Software analysis：A road map ［J］.Chinese Journal of Computers，2009，32 （9）：1697－1710 （in Chinese）. ［梅宏，王千祥，張路，等.軟件分析技術(shù)進(jìn)展 ［J］.計算機(jī)學(xué)報，2009，32（9）：1697－1710.］

［7］SONG Jie，DANG Licheng，GUO Zhenchao，et al.The security mechanism analysis and applied research of Android OS mobile platform ［J］.Computer Technology and Development，2010，20 （6）：152－155 （in Chinese）. ［宋杰，黨李成，郭振朝，等.Android OS手機(jī)平臺的安全機(jī)制分析和應(yīng)用研究［J］.計算機(jī)技術(shù)與發(fā)展，2010，20 （6）：152－155.］

［8］ZHOU Yimin，CHEN Rong.Analysis about process in Dalvik virtual machine ［J］.Computer Technology and Development，2010，20 （2）：83－86 （in Chinese）. ［周毅敏，陳榕.Dalvik虛擬機(jī)進(jìn)程模型分析 ［J］.計算機(jī)技術(shù)與發(fā)展，2010，20（2）：83－86.］

［9］Linux kernel［EB／OL］.［2013－11－28］.http：／／www.kernel.org.

［10］QEMU［EB／OL］.［2009－02－01］.http：／／www.oschina.net／p／qemu.

［11］LUO Yan.Research on dynamic binary translation and optimization based on OEMU ［D］.Hangzhou：Zhejiang University，2013（in Chinese）.［羅艷.基于QEMU的動態(tài)二進(jìn)制翻譯優(yōu)化研究 ［D］.杭州：浙江大學(xué)，2013.］

［12］Android［EB／OL］.［2013－09－04］.http：／／source.android.com／source／downloading.html.

［13］WO Tianyu，HU Chunming，LI Jianxin，et al.Hidden OS objects correlated detection technology based on VMM ［J］.Journal of Software，2013，24 （2）：405－420 （in Chinese）.［沃天宇，胡春明，李建欣，等.基于VMM的操作系統(tǒng)隱藏對象 關(guān) 聯(lián) 檢 測 技 術(shù) ［J］. 軟 件 學(xué) 報，2013，24 （2）：405－420.］

［14］LIU Haochen，LUO Senlin.Trojan horse’s hiding and detecting technique of Android OS ［J］.Netinfo Security，2013，13 （1）：33－37 （in Chinese）.［劉昊辰，羅森林.Android系統(tǒng)木馬隱藏及檢測技術(shù) ［J］.信息網(wǎng)絡(luò)安全，2013，13（1）：33－37.］

［15］LI Peng，WANG Ruchuan，GAO Dehua.Research on Rootkit dynamic detection based on fuzzy pattern recognition and support virtual machine technology ［J］.Acta Electronica Sinica，2012，40 （1）：115－120 （in Chinese）. ［李鵬，王汝傳，高德華.基于模糊識別和支持向量機(jī)的聯(lián)合Rootkit動態(tài)檢測技術(shù)研究 ［J］.電子學(xué)報，2012，40 （1）：115－120.］