楊 龍，藺 楊

（1.湖南省公安廳，湖南 長(zhǎng)沙 410001；2.長(zhǎng)沙市公安局，湖南 長(zhǎng)沙 410005）

據(jù)北京奇虎科技有限公司互聯(lián)網(wǎng)安全中心發(fā)布的《2014年中國(guó)手機(jī)安全狀況報(bào)告》對(duì)當(dāng)時(shí)市場(chǎng)較為流行的幾種智能終端應(yīng)用調(diào)查[1]表明:不論是Google公司的Android還是Apple公司的iOS都不同程度的存在被病毒程序攻擊的問(wèn)題。Android系統(tǒng)的惡意程序雖然出現(xiàn)的比較晚，但近年來(lái)Android系統(tǒng)惡意病毒應(yīng)用呈井噴狀態(tài)，伴隨而來(lái)，針對(duì)Android開(kāi)展電子取證的工作量也急劇增加，加強(qiáng)Android系統(tǒng)應(yīng)用程序的管理也突顯緊迫[2]。

1 Android系統(tǒng)惡意程序取證研究

研究惡意程序的電子物證技術(shù)，主要是通過(guò)逆向工程技術(shù)和動(dòng)態(tài)監(jiān)測(cè)完成對(duì)惡意應(yīng)用的電子取證，為司法訴訟提供相關(guān)證據(jù)。

1.1 Android應(yīng)用程序靜態(tài)檢測(cè)分析

根據(jù)目前Android安全數(shù)據(jù)分析，惡意程序的行為特征主要體現(xiàn)在惡意資源消耗、范圍失控傳播、隱私數(shù)據(jù)盜用、數(shù)據(jù)擦除等方面，其方式包括開(kāi)機(jī)自啟動(dòng)、靜默執(zhí)行等。根據(jù)惡意程序各種行為特征，可以通過(guò)對(duì)其行為實(shí)現(xiàn)原理上進(jìn)行分析，進(jìn)而映射到代碼層。

一個(gè)程序的惡意判斷可以從多個(gè)方面來(lái)進(jìn)行。在靜態(tài)檢測(cè)過(guò)程中，我們主要采用逆向工程技術(shù)，對(duì)程序反編譯后，再?gòu)奶卣髦灯ヅ?、?quán)限檢測(cè)、敏感API分析等多個(gè)角度進(jìn)行綜合分析，將多方面靜態(tài)檢測(cè)出來(lái)的結(jié)果合理賦值，采用危險(xiǎn)特征值加權(quán)評(píng)估的方式，進(jìn)行程序的危險(xiǎn)定級(jí)，與此同時(shí)，開(kāi)展電子取證工作，視具體情況出具相關(guān)檢驗(yàn)報(bào)告或意見(jiàn)。靜態(tài)檢測(cè)取證整體框架如圖1所示。

圖1 靜態(tài)檢測(cè)取證系統(tǒng)框圖

1.1.1 逆向工程原理

逆向工程也稱為反向工程（Reverse Engineering）[3]，其含義是根據(jù)已有的應(yīng)用程序，通過(guò)逆向工程來(lái)得到源碼，進(jìn)而分析掌握其設(shè)計(jì)框架。目前該方法被很多公司采用，也可用來(lái)分析應(yīng)用程序是否有安全隱患和漏洞。

逆向工程的功能模塊以Android APK應(yīng)用程序文件作為輸入，以配置文件和代碼文件作為輸出。其中APK應(yīng)用程序文件屬于Android系統(tǒng)安裝的文件，是我們熟知的ZIP格式文件。Android逆向工程主要處理兩部分[4]:xml和dex。 對(duì)于xml文件的反編譯一般采用工具有兩種，APKtool和 AXMLPrinter2.jar。 反編譯dex一般分為兩步:第一步，從dex文件反編譯出class文件，通常使用 dex2jar.bat和 APKtool。 從 class文件反編譯到j(luò)ava可以使用jd-gui、Jodeclipse以及JadClipse工具。

APK文件經(jīng)過(guò)逆向工程后生成dex和smali兩種不同格式的文件，使用dex2jar工具可以將android的.dex 文件轉(zhuǎn)換生成 classes.dex.dex2jar.jar文件，再用rar解壓工具解壓出jar文件中的class文件，然后用jad或者DJ Java Decomplier反編譯工具將Java的.class文件反編譯成.java文件，單獨(dú)java文件還不足以掌握程序的特征，雖smali匯編代碼的可讀性不如java，但是它可以與java代碼解析出來(lái)的源碼進(jìn)行功能比對(duì)，所以，要想完整的反映一個(gè)應(yīng)用程序的所有特性，必須要smali和java兩種類型文件各一份[5]。結(jié)合對(duì)比審查不僅能夠快速找到可疑點(diǎn)，還能夠保證分析結(jié)果的準(zhǔn)確性。

1.1.2 打包校驗(yàn)

打包校驗(yàn)過(guò)程處于整個(gè)靜態(tài)分析取證的前端，主要分析應(yīng)用程序的簽名信息和應(yīng)用程序包的信息，如PackageName等[1]，通過(guò)查尋數(shù)據(jù)庫(kù)中相應(yīng)的包名對(duì)應(yīng)的簽名信息進(jìn)行校驗(yàn)。如果發(fā)現(xiàn)簽名不統(tǒng)一，則可以判斷此安裝文件有一定的安全隱患。

二次打包技術(shù)是惡意程序作者最常用的技術(shù)。惡意程序作者會(huì)分析并下載流行的程序，反編譯而后導(dǎo)入惡意的Payloads，再二次打包生成APK。最后惡意程序作者會(huì)把二次打包的APK上傳到第三方Android應(yīng)用市場(chǎng)。用戶很容易會(huì)被誘騙安裝受到感染的惡意應(yīng)用。

在Android系統(tǒng)中，Android程序必須經(jīng)過(guò)數(shù)字證書(shū)的簽名后才可以進(jìn)行安裝。數(shù)字證書(shū)用以標(biāo)識(shí)應(yīng)用程序的作者并與應(yīng)用綁定。故可以通過(guò)打包校驗(yàn)，及時(shí)的發(fā)現(xiàn)被修改或者植入了惡意程序段的惡意應(yīng)用。這個(gè)方法通過(guò)提取APK中的公鑰信息和PackageName信息，然后和樣本數(shù)據(jù)庫(kù)中對(duì)應(yīng)的PackageName進(jìn)行匹配視其公鑰信息是否和樣本數(shù)據(jù)庫(kù)中的一致。如果發(fā)現(xiàn)簽名不一致，則可以判斷此安裝文件有一定的安全隱患，需要進(jìn)一步檢測(cè)。

1.1.3 APK 反編譯

通過(guò)打包校驗(yàn)后，我們可以初步篩選出有安全隱患的程序，接著開(kāi)始進(jìn)行APK反編譯工作。通過(guò)反編譯程序（APKtool）實(shí)現(xiàn)對(duì)APK文件的反編譯，獲取其源代碼文件以及各類資源文件。此過(guò)程也可以被稱為資源獲取過(guò)程。

通過(guò)APKtool反編譯之后可以得到應(yīng)用程序所包含的資源文件，存放在res目錄下，通過(guò)修改和替換這些資源文件可以改變這個(gè)應(yīng)用程序的界面，所以Android應(yīng)用程序的漢化和去廣告都是用APK-tool完成的。而APKtool同時(shí)會(huì)將.dex文件反編譯成.smali文件，而smali目錄中的文件與Java源文件是相對(duì)應(yīng)的，這是APKtool常用的兩個(gè)命令:

反編譯命令 APKtool d＜app_path/filename.APK＞[＜dir＞]

編譯命令 APKtool b[＜app_path/filename.APK＞][＜o(jì)ut_file＞]

通過(guò)APKtool逆向出來(lái)的資源包括了res資源庫(kù)、smali文件夾、original文件夾、unknown文件夾以及 AndroidManifest.xml文件。

res包含了應(yīng)用的所有圖片資源、布局文件以及 style.xml、string.xml等 value 文件。

smali文件夾下是整個(gè)應(yīng)用的smali文件，smali是Dalvik VM內(nèi)部執(zhí)行的核心代碼。通過(guò)閱讀smali代碼，我們可以正確的理解程序的意思和思想。在smali中有對(duì)應(yīng)于Java語(yǔ)法的自身語(yǔ)法，包括數(shù)據(jù)類型和方法表示。

unknown文件夾中防止的是反編譯器不識(shí)別的文件，一般.html文件都放在這個(gè)文件夾中。

在 AndroidManifest.xml文件中我們可以看到工程的整個(gè)結(jié)構(gòu)，包括權(quán)限，組件等信息。因此AndroidManifest.xml是逆向工程第一個(gè)需要分析的文件。

1.1.4敏感權(quán)限檢測(cè)

在Android系統(tǒng)中，一個(gè)應(yīng)用如果需要實(shí)現(xiàn)某些特殊功能，都需要向系統(tǒng)申請(qǐng)權(quán)限。申請(qǐng)權(quán)限的方式主要是在源代碼的Manifest.xml中進(jìn)行聲明。一些高危權(quán)限如隱私數(shù)據(jù)擁有操作權(quán)限的申明需要格外注意。

一般情況下，除非移動(dòng)應(yīng)用已經(jīng)通過(guò)申請(qǐng)或者利用系統(tǒng)Linux內(nèi)核存在的漏洞獲取了最高管理員的權(quán)限，一個(gè)移動(dòng)應(yīng)用只能訪問(wèn)自己的私有數(shù)據(jù)（/scared目錄中的數(shù)據(jù)需要申請(qǐng)寫(xiě)外部存儲(chǔ)器的權(quán)限才可以訪問(wèn)）。所以，通過(guò)對(duì)APK的權(quán)限進(jìn)行分析，如果沒(méi)有申請(qǐng)一些敏感的權(quán)限，并且也不存在ROOT的Exploit，那么就可以判定一個(gè)應(yīng)用是一個(gè)正常的應(yīng)用，如果申請(qǐng)了一些敏感權(quán)限，則需要進(jìn)一步的檢測(cè)。

1.1.5 權(quán)重分析

以上述的權(quán)限檢測(cè)為例，即使一個(gè)應(yīng)用申請(qǐng)了大量的冗余權(quán)限，且權(quán)限中有敏感權(quán)限，但是其在實(shí)際API調(diào)用中并沒(méi)有調(diào)用敏感API，單單依靠敏感權(quán)限申請(qǐng)的檢測(cè)無(wú)法得到該程序合理的安全性解釋。

我們一般采用平均權(quán)重分配法，對(duì)上述參考因子進(jìn)行隨機(jī)權(quán)重分配。并抽取市場(chǎng)上主流的、安全的應(yīng)用進(jìn)行測(cè)試，獲得各自的參考值，然后對(duì)參考值通過(guò)聚類算法，獲得聚類中心。將聚類中心作為標(biāo)準(zhǔn)參考值。如果測(cè)試APK的危險(xiǎn)值小于標(biāo)準(zhǔn)參考值，則判斷危險(xiǎn)程度為高，并需要進(jìn)一步人工檢查。如果危險(xiǎn)值大于標(biāo)準(zhǔn)參考值，則危險(xiǎn)程度為低。

1.2 Android應(yīng)用動(dòng)態(tài)監(jiān)測(cè)分析

在實(shí)際取證應(yīng)用中，我們還會(huì)采用動(dòng)態(tài)監(jiān)測(cè)分析，應(yīng)用程序最基本的行為是在系統(tǒng)中執(zhí)行的一條條指令，包括邏輯、運(yùn)算、執(zhí)行控制、存儲(chǔ)處理和接口處理等。但是孤立的研究每一條指令其意義并不大。從軟件工程角度出發(fā)，可以把一系列命令看作是一個(gè)程序行為，通過(guò)檢測(cè)程序行為，與靜態(tài)檢測(cè)中獲取的權(quán)限聲明相比較，如果發(fā)現(xiàn)程序行為比申請(qǐng)的權(quán)限大，說(shuō)明這個(gè)程序是惡意程序的概率就大[6]。

Android應(yīng)用動(dòng)態(tài)監(jiān)測(cè)一般由兩部分組成:應(yīng)用運(yùn)行實(shí)時(shí)行為監(jiān)測(cè)和監(jiān)測(cè)結(jié)果分析。常用的動(dòng)態(tài)監(jiān)測(cè)技術(shù)由沙箱技術(shù)、鉤子技術(shù)等。

總體來(lái)看，動(dòng)態(tài)監(jiān)測(cè)技術(shù)就是實(shí)時(shí)的檢測(cè)被測(cè)程序的行為，所發(fā)送的數(shù)據(jù)，并對(duì)相關(guān)信息、行為和數(shù)據(jù)等進(jìn)行捕獲。因此對(duì)于惡意應(yīng)用取證來(lái)說(shuō)，靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)監(jiān)測(cè)技術(shù)都是必不可少的。

2 Android惡意程序樣本檢測(cè)與分析

2.1 Android惡意樣本程序檢測(cè)分析概述

前文已詳細(xì)闡述了如何通過(guò)靜態(tài)檢測(cè)技術(shù)和動(dòng)態(tài)監(jiān)測(cè)技術(shù)實(shí)現(xiàn)針對(duì)Android系統(tǒng)惡意程序開(kāi)展電子取證。具體流程一般為檢測(cè)環(huán)境準(zhǔn)備、樣本獲取、惡意程序檢測(cè)、電子證物提取以及出具報(bào)告這幾個(gè)環(huán)節(jié)。其中惡意程序檢測(cè)環(huán)節(jié)又分為APK逆向、靜態(tài)檢測(cè)和動(dòng)態(tài)監(jiān)測(cè)三個(gè)子項(xiàng)目。

筆者將對(duì)工作中捕獲的一個(gè)Android惡意程序“相冊(cè).APK”進(jìn)行檢測(cè)和取證。該惡意程序偽裝成相冊(cè)程序，無(wú)基本相冊(cè)功能，實(shí)際上該程序運(yùn)行后，會(huì)申請(qǐng)大量敏感權(quán)限，能夠群發(fā)惡意短信，獲取大量用戶信息，屬于典型的惡意程序。

2.2 檢測(cè)環(huán)境準(zhǔn)備

在進(jìn)行惡意程序檢測(cè)取證之前，首先準(zhǔn)備實(shí)驗(yàn)環(huán)境的搭建。其中包括硬件設(shè)備和軟件環(huán)境兩大部分。

硬件設(shè)備有:取證工作站、手機(jī)信息號(hào)屏蔽設(shè)備、手機(jī)專用檢驗(yàn)設(shè)備、照相機(jī)等。

軟件環(huán)境有:殺毒軟件、手機(jī)取證系統(tǒng)、Wireshark、手機(jī)PC套件等。

2.3 Android惡意程序樣本獲取

本次檢測(cè)實(shí)驗(yàn)是以一臺(tái)安裝了“相冊(cè).APK”木馬的手機(jī)（聯(lián)想手機(jī)A288T型號(hào)）作為樣本，該樣本手機(jī)由于用戶的疏忽，點(diǎn)擊了其短信內(nèi)含有惡意鏈接地址，下載安裝了手機(jī)木馬程序，導(dǎo)致用戶手機(jī)內(nèi)大量隱私信息被泄露。惡意程序植入用戶手機(jī)后，以致該手機(jī)用戶遭受到詐騙犯罪侵害。為查明該手機(jī)樣本中是否含有惡意程序、惡意程序的數(shù)量、惡意程序具體行為以及相關(guān)涉案線索，需對(duì)該樣本手機(jī)進(jìn)行檢測(cè)取證，獲取手機(jī)中的惡意程序進(jìn)，并開(kāi)展檢測(cè)取證工作。

2.4 Android惡意程序檢測(cè)取證

2.4.1 樣本登記

對(duì)已感染了“相冊(cè).APK”木馬的手機(jī)進(jìn)行唯一性編號(hào)，并對(duì)手機(jī)型號(hào)、手機(jī)IMEI碼、Android版本號(hào)、內(nèi)核版本號(hào)等相關(guān)信息進(jìn)行登記。隨后，再對(duì)具有唯一編號(hào)的實(shí)驗(yàn)手機(jī)進(jìn)行拍照和保全備份。

2.4.2 數(shù)據(jù)提取

首先，啟動(dòng)檢驗(yàn)工作站的殺毒軟件對(duì)工作站自身工作系統(tǒng)進(jìn)行殺毒，其次，在手機(jī)通信信號(hào)屏蔽的狀態(tài)下，運(yùn)行手機(jī)檢驗(yàn)系統(tǒng)，分別獲取其內(nèi)存和SD卡信息，找出所有APK文件。

2.4.3 篩查分析

將所有提取的APK文件進(jìn)行靜態(tài)篩查過(guò)濾，排除正常APK程序包，通過(guò)識(shí)別簽名、查看權(quán)限申請(qǐng)等方法，將剩下未知來(lái)歷的APK文件，批量導(dǎo)入手機(jī)取證系統(tǒng)中，通過(guò)敏感權(quán)限檢測(cè)，發(fā)現(xiàn)只有“相冊(cè).APK”申請(qǐng)了大量與其描述功能完全不一致的敏感權(quán)限，因此它的危險(xiǎn)等級(jí)高。

2.4.4 逆向工程

為了能夠更好的確定風(fēng)險(xiǎn)函數(shù)的調(diào)用檢測(cè)，需要對(duì)原始的可執(zhí)行應(yīng)用程序進(jìn)行反編譯，在反匯編實(shí)現(xiàn)過(guò)程中，綜合比較 Dexdump、APKtool、Dedexer等工具性能，發(fā)現(xiàn)APKtool可以對(duì)所有資源進(jìn)行處理，功能強(qiáng)大，可以重新打包，能夠快速地解析出應(yīng)用程序中的manifest.xml配置文件，通過(guò)Android-Manifest.xml文件的掃描比對(duì)，提高了檢測(cè)速度，避免對(duì)所有代碼進(jìn)行全部特征值掃描比對(duì)。通過(guò)APKtool反編譯APK，獲取資源文件。進(jìn)而可對(duì)資源文件進(jìn)行綜合分析評(píng)估，判定該程序是否具有安全風(fēng)險(xiǎn)性。

2.4.5 靜態(tài)檢測(cè)

靜態(tài)檢測(cè)主要還是指在程序沒(méi)有實(shí)際運(yùn)行的情況下，通過(guò)程序控制流、數(shù)據(jù)流等信息來(lái)研究分析程序的行為[7]。因?yàn)椤跋鄡?cè).APK”樣本的風(fēng)險(xiǎn)評(píng)估高，屬惡意程序。首先需要在不運(yùn)行的情況下，通過(guò)dex2jar反編譯出惡意程序的源代碼，使用jd-gui工具閱讀jar文件代碼。但是經(jīng)一系列操作后，發(fā)現(xiàn)無(wú)法進(jìn)一步查看源代碼文件。因此對(duì)“相冊(cè).APK”內(nèi)的lib.so文件進(jìn)行分析，經(jīng)過(guò)逆向分析源程序解密出的字符串，如圖2所示。

經(jīng)分析發(fā)現(xiàn)AB為分隔符，前面的數(shù)字為字符ASCII碼減去51所以100AB等于1，102AB等于3依此類推。得到一個(gè)郵箱名a1353347****@vip.*.com，手機(jī)號(hào) 1353347****，密碼:****168。

圖2 逆向結(jié)果

2.4.6 動(dòng)態(tài)監(jiān)測(cè)

由于AndroidManifest.xml文件的靜態(tài)分析不能反映應(yīng)用程序數(shù)據(jù)流的走向和遠(yuǎn)程服務(wù)端，在此我們還需采用動(dòng)態(tài)監(jiān)測(cè)技術(shù)進(jìn)行分析。本實(shí)驗(yàn)網(wǎng)絡(luò)抓包使用Linux支持的Tcpdump工具。為實(shí)時(shí)監(jiān)測(cè)掌握“相冊(cè).APK”程序運(yùn)行后的具體行為特征，在此，將“相冊(cè).APK”程序安裝到聯(lián)網(wǎng)的實(shí)驗(yàn)機(jī)中。操作流程如下:

（1）加載實(shí)驗(yàn)機(jī)，即加載聯(lián)想手機(jī)A288T，如圖3所示。

圖3 加載實(shí)驗(yàn)機(jī)

（2）向?qū)嶒?yàn)機(jī)中 Tcpdump文件賦值，如圖 4所示。

圖4 權(quán)限賦值

（3）為抓包的文件進(jìn)行命名，命名為1_capture.Pcap，如圖5所示。

圖5 重命名

在抓包工具Tcpdump打開(kāi)后，運(yùn)行“相冊(cè).APK”，間隔數(shù)十幾秒鐘后，關(guān)閉該應(yīng)用程序。將1_capture.pcap文件pull到電子檢驗(yàn)工作站中，通過(guò)Wireshark讀取網(wǎng)絡(luò)數(shù)據(jù)通信包。通過(guò)抓包分析能夠發(fā)現(xiàn)實(shí)驗(yàn)機(jī)聯(lián)網(wǎng)后數(shù)據(jù)的流向，明確了“相冊(cè).APK”惡意程序運(yùn)行時(shí)數(shù)據(jù)回傳的地址，為案件偵查提供線索支撐。

至此，我們已掌握該惡意程序聯(lián)網(wǎng)后數(shù)據(jù)的流向?yàn)槟赤]件服務(wù)器IP地址，與靜態(tài)檢測(cè)的結(jié)果進(jìn)行比對(duì)吻合。為獲取動(dòng)態(tài)監(jiān)測(cè)出來(lái)的郵箱地址信息。我們還需要進(jìn)行抓包解析工作，如圖6所示。

圖6 捕捉到的數(shù)據(jù)包

經(jīng)實(shí)驗(yàn)發(fā)現(xiàn)，郵件發(fā)件人和收件人均為a1353347****@vip.*.com，因此，我們可以證實(shí)，a1353347****@vip.*.com 郵箱為惡意程序編寫(xiě)用于接收手機(jī)使用者通話記錄、短信內(nèi)容等個(gè)人手機(jī)信息。

同時(shí)，動(dòng)態(tài)監(jiān)測(cè)發(fā)現(xiàn)，該惡意程序會(huì)向通信錄列表內(nèi)用戶群發(fā)惡意短信，該惡意短信包括了接收人姓名，因此極易欺騙用戶，如圖7所示。

圖7 截獲的惡意短信

對(duì)惡意短信內(nèi)的連接URL地址進(jìn)行調(diào)查發(fā)現(xiàn)，用戶如果點(diǎn)擊鏈接，則會(huì)出現(xiàn)下載安裝一個(gè)“相冊(cè).APK”程序的提示，被害者通過(guò)幾次點(diǎn)擊“下一步”安裝后，該惡意程序便成功地實(shí)現(xiàn)感染和傳播。

2.5 Android惡意程序取證結(jié)果

本次實(shí)驗(yàn)中所捕獲并分析的惡意程序“相冊(cè).APK”，屬于木馬型惡意APK，調(diào)用大量敏感權(quán)限，且該惡意程序會(huì)讀取手機(jī)聯(lián)系人信息和用戶收件箱信息。同時(shí)對(duì)聯(lián)系人列表內(nèi)的聯(lián)系人群發(fā)惡意短信。通過(guò)短信完成該惡意程序的傳播過(guò)程。同時(shí)該惡意程序會(huì)將用戶隱私信息如聯(lián)系人列表、短信等相關(guān)信息發(fā)送到指定郵箱，因此本惡意程序具有極高的危害性。

3 結(jié)論

在現(xiàn)有Android安全機(jī)制下，需要在第三方的參與下對(duì)應(yīng)用程序進(jìn)行檢測(cè)分析，及時(shí)發(fā)現(xiàn)應(yīng)用程序可能帶來(lái)的威脅，為發(fā)布預(yù)警信息、案件調(diào)查和取證提供技術(shù)支撐和保障。