【YD通讯标准】 移动互联网恶意程序检测方法 第2部分:终端侧

ICS33.060
中华人民共和宝玉通信行标准
YD/T2848.2-2015
移动互联网恶意程序检测方法
第2部分：终端侧
Malwaredetection methodof the mobileinternetPart 2: terminal side
2015-04-30发布
2015-07-01实施
中华人民共和国工业和信息化部　发布前
范围·
规范性引用文件
3术语、定义和缩略语·
3.1术语和定义
3.2缩略语
4概述·
5检测方法
5.1静态特征检测方法
5.2动态特征检测方法
5.3动态拨测检测方法
5.4动态数据抓包检测方法
5.5数字签名检测方法
5.6高权限获取检测方法
YD/T2848.2-2015
YD/T2848.2-2015
《移动互联网恶意程序检测方法》分为两个部分：第1部分：网络侧
第2部分：终端侧
本部分为第2部分
本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准起草单位：国家计算机网络应急技术处理协调中心、恒安嘉新（北京）科技有限公司。本标准主要起草人：李海灵、舒敏、邹潇湘、阿曼太、高胜、何能强、苗向阳、闫攀、姚力
王维晟、朱芸茜。
iiKAoiKAca
1范围
移动互联网恶意程序检测方法
第2部分：终端侧
本部分规定了移动互联网终端侧对恶意程序的检测方法和要求，本部分适用于第三方检测机构及个人对移动互联网终端侧恶意程序的检测。2规范性引用文件
YD/T2848.2-2015
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。YD/T2439-2012移动互联网恶意程序描述格式3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本文件。3.1.1
移动互联网恶意程序MobileInternetMalware在用户不知情或未授权的情况下，在移动终端系统中安装、运行以达到不正当目的，或具有违反国家相关法律法规行为的可执行文件、代码模块或代码片段。3.1.2
疑似移动互联网恶意程序SuspectedMobileInternetMalware非已确认的移动互联网恶意程序，但是程序行为或代码可能具备移动互联网恶意程序特征，需要通过研判分析从而确认是否为移动互联网恶意程序的移动互联网程序。3.1.3
移动互联网恶意程序检测MobileInternetMalwaredetection对于确定的检测环境，能够准确的报出移动互联网恶意程序名称，该环境包括：内存、存储卡、文件、彩信服务，邮件及WAP等。
移动互联网恶意程序特征MobileInternetMalwareSignature从移动互联网恶意程序中提取的用于扫描匹配该恶意程序的字节序列。3.1.5
移动互联网恶意程序特征库MobileInternetMalwareSignatureLibrary移动互联网恶意程序特征的集合。3.1.6
超级用户Root
Linux系统中具有系统所有的权限的用户，如启动或停止一个进程，删除或增加用户，增加或者禁用硬件等等。
HiiKAoNiKAca
YD/T2848.2-2015
系统钩子Hook
计算机术语，一般是指对正在运行中的函数地址进行重定向，达到截获函数调用的目的。3.1.8
注入Inject
计算机术语，一般是指对一个正在运行中的进程注入片段，并通过修改进程运行地址，达到运行被注入代码的目的。
活动应用组件Activity
Android组件中最基本也是最为常见用的四大组件之一，activity中所有操作都与用户密切相关，是一个负责与用户交互的组件，可以通过setContentView(View)来显示指定控件。在一个android应用中，一个activity通常就是一个单独的屏幕，它上面可以显示一些控件也可以监听并处理用户的事件做出响应。activity之间通过互联网进行通信。3.1.10
静态反编译分析StaticDecompilingAnalysis在计算机平台下将开发者发布的某种移动终端操作系统下的软件安装程序（如APK，jdr，sis/sisx等格式)的软件安装包进行解包分析。3.2缩略语
下列缩略语适用于本文件：
WinMobile
4概述
Android PacKage
AdvancedRISCMachines
Interactive Disassembler
Portable Executable
Java2MicroEdition
Windows Mobile
安卓安装包程序
高级精简指令处理器
交互式反汇编器
可移植可执行文件
Java语言2精简版
微软的用于移动设备的操作系统移动互联网中恶意程序种类繁多、增长迅速，且恶意程序存在隐蔽性和再生性强、易传播、发作快危害严重的特点，需对移动互联网中的恶意程序及时进行识别和判定。本标准描述了移动终端侧对移动互联网中恶意程序进行检测的检测方法，对于被测的移动终端应用软件，检测结果有以下三种：一未见异常：通过检测方法没有发现移动互联网恶意程序。一存在风险：通过检测方法发现存在安全风险，判定为疑似移动互联网恶意程序一恶意程序：通过检测方法直接发现并判定为移动互联网恶意程序。本部分描述的移动互联网恶意程序终端侧检测方法包括但不限于以下6类：a）静态特征检测方法：对移动终端文件解包后的代码片段进行十六进制级别的快速静态特征定位，当对移动互联网恶意程序进行特征检测时，通过匹配恶意程序特征码的方法达到检测恶意程序的目的。b）动态特征检测方法：通过对移动终端文件解析，提取移动互联网恶意程序常调用的动态危险行为函数序号形成动态特征检测库，通过比对行为对象特征库，检测和发现移动互联网恶意程序。2
HiiKAoNiKAca
YD/T2848.2-2015
c）动态拨测检测方法：通过对安装在移动终端上的应用程序进行各个功能点的实际拨测，发现其是否产生未经用户授权的移动互联网恶意程序行为。d）动态数据抓包检测方法：通过截获移动互联网应用在移动终端上安装运行过程中的数据流，检测其是否产生未经用户授权的移动互联网恶意程序行为。e）数字签名特征检测方法：根据数字签名的唯一性，通过提取移动互联网恶意程序的签名特征，达到检测移动互联网恶意程序的目的。f）高权限获取检测方法：通过获取移动终端最高权限（即root权限）获取系统的大部分调用的函数，用注入和挂钩子方式检测和拦截移动互联网恶意程序行为。由于恶意程序存在于多种移动终端操作系统平台，如Symbian、Android、J2me、WinMobile等，因此各类检测方法针对不同的操作系统也有所区分。5检测方法
5.1静态特征检测方法
5.1.1Android系统静态特征检测5.1.1.1检测环境
在计算机中安装被测移动终端软件的运行环境（常用的为Java环境，推荐安装jdk1.6），安装方法参照官网提示，
5.1.1.2检测流程
本方法通过对被测Android系统应用软件的安装程序（APK格式）解包反汇编后开展代码分析，得到程序的运行流程、操作行为及所调用的系统资源等信息，提取出该被测软件的特征，然后依据YD/I2439-2012第3章内容判定是否存在移动互联网恶意程序行为。提取出来的移动互联网恶意程序特征形成特征库以供安全检测软件和工具使用。APK文件是使用Androidsdk编译的工程打包的Android系统安装程序，文件格式为APK”，通过Winzip解压缩工具即可对其解压。一个APK文件结构通常由以下几个部分组成：一“META-INF\”目录：存放签名信息，以保证APK包的完整性和系统安全；“res”目录：存放资源文件，包括图片、字符串等；一“AndroidManifest.xml”：全局配置文件，描述了该应用程序的名字、版本、权限、应用的库文件等信息：
一“classes.dex”：Dalvik字节码文件及AndroidDalvik执行程序，利用解析工具可将其转换成Java源代码进行阅读和理解；
一“resources.arsc”：编译后的二进制资源文件。具体检测流程如下：
a）解压及静态反编译：首先将APK文件进行解压，然后在Java环境下使用工具（如APKtool、Dex2jar）将APK文件反编译，生成应用程序的xml配置文件、Java源代码和图片、语言资源等文件。b)文件分析：对静态反编译后的文件开展静态分析，提取移动互联网应用程序特征。其中“classes.dex”和“AndroidManifest.Xml”文件是分析重点。1）Classes.dex文件分析：将Classes.dex文件反编译为java源文件进行代码检查，检查软件中是否调用了与软件功能无关的系统api函数，提取相关的移动互联网应用程序特征。3
HiiKAoNiKAca
YD/T2848.2-2015
2）Androidmainfest.xml文件分析：通过“Androidmanifest.xml”文件获得程序的全局配置信息，进而获取程序的activity、广播接收者、意图过滤器、服务以及权限等信息。通过分析上述信息，检查软件中是否存在恶意的系统广播意图（如开机、接收短信等等）、系统权限等，提取相关的移动互联网应用程序特征。
c）判定：依据YD/T2439-2012第3章判定其是否存在移动互联网恶意程序行为5.1.2J2me系统静态特征检测方法5.1.2.1检测环境
在计算机中安装被测移动终端软件的运行环境（常用的为Java环境），安装方法参照官网提示。5.1.2.2检测流程
Jar文件通常是用javasdk编译的工程打包的J2me系统安装程序，文件格式为“jar\。jar文件是Zip格式，通过Winzip解压缩工具可对其解压。本方法的检测流程如下：a）静态反编译：利用工具（如jad）对jar程序反编译获取java代码。b）文件分析：分析iava代码，得出被测应用程序的运行流程，操作行为及所调用的系统资源，提取J2me系统中应用程序的特征。
c）判定：依据YD/T2439-2012中第3章判定其是否存在移动互联网恶意程序行为。5.1.3Symbian系统静态特征检测5.1.3.1检测环境
在计算机中安装被测移动终端软件的运行环境。5.1.3.2检测流程bZxz.net
本方法通过对被测Symbian系统应用软件的安装程序（sis/sisx格式)解包反汇编后开展代码分析，得到程序的运行流程、操作行为及所调用的系统资源等信息，提取出该被测软件的特征，然后依据YD/2439-2012第3章内容判定是否存在移动互联网恶意程序行为。提取出来的移动互联网恶意程序特征形成特征库以供安全检测软件和工具使用。Sis和Sisx文件是指使用CarbideC++工具编译的工程打包后的Symbian系统安装程序，文件格式为.sis\和\.sisx”
具体检测流程如下：
a）解压及静态反编译：首先利用Siscontents解压工具将sis/sisx文件进行解压，然后通过IDA工具静态载入解压出可执行文件（一般为exe），还原出程序的整体结构和调用逻辑。b）文件分析：通过查看目标程序函数的调用和被调用的反汇编代码，查看目标程序是否包含有移动互联网恶意程序代码，提取出被测Symbian系统应用程序的特征。c）判定：依据YD/T2439-2012中第3章判定其是否存在移动互联网恶意程序行为。5.1.4WinMobile系统静态特征检测方法5.1.4.1检测环境
WinMobile系统移动互联网恶意程序静态检测只需要计算机环境支持即可。5.1.4.2检测方法
本方法通过对被测WinMobile系统应用软件的安装程序（cab格式）解包反汇编后开展代码分析，得到程序的运行流程，操作行为及所调用的系统资源等信息，提取出该被测软件的特征，然后依据YD门4
HiiKAoiKAca
YD/T2848.2-2015
2439-2012第3章内容判定是否存在移动互联网恶意程序行为。提取出来的移动互联网恶意程序特征形成特征库以供安全检测软件和工具使用。WinMobile平台静态特征检测方法是通过逆向反编汇分析来实现。逆向反汇编分析是将WinMobile程序的PE格式文件，用反汇编工具（如IDA)进行反汇编的分析方法。在IDA载入过程中选择“ARMprocessors:ARM类型处理器。载入后通过选择目标程序所调用的函数和被调用的反汇编代码，分析检测目标程序是否包含有移动互联网恶意程序代码。Cab文件是WinMobile系统表中的系统安装程序，文件格式为\.cab\。程序文件头采用的是Zip格式，通过Winzip解压缩工具即可对其解压，解压后得到PE格式文件。a）解压及静态反编译：首先将Cab文件解压，得到WinMobile程序的PE格式文件，然后用反汇编工具（如IDA）进行反汇编。
b）文件分析：选择目标程序所调用的函数和被调用的反汇编代码，查看目标程序是否包含有移动互联网恶意程序代码，并提取出被测WinMoblie系统应用程序的特征。c）判定：依据YD/T2439-2012第3章判定是否存在移动互联网恶意程序行为。5.2动态特征检测方法
5.2.1Android系统动态特征检测方法5.2.1.1检测环境
在计算机上搭建完整的Android系统应用软件的开发环境（具体安装方法参照各类Android官网）。5.2.1.2检测流程
本方法通过对被测Android系统底层的动态链接库“so”文件进行动态监测分析，查找分析文件中的对外提供函数表、敏感字符串信息和加密算法等，提取被测APK文件的特征，依据YD/T2439-2012第3章判定是否存在移动互联网恶意程序行为。提取出来的移动互联网恶意程序特征形成特征库以供安全检测软件和工具使用。
具体检测流程如下：
a）反汇编：通过反汇编工具（如IDA）加载android底层的动态链接库“so”文件，查看“so”文件中对外提供的函数表，查找敏感的字符串信息，通过分析arm指令中的代码逻辑，找出移动互联网恶意程序的加密算法。
b）动态调用“so”文件函数并分析：使用搭建好的android开发环境创建一个android工程，工程的目录需要和待分析的目标APK程序的结构要完全相同，然后通过该工程来动态调用“so”文件中提供的函数，分析出“so”文件中返回的一些字符串信息供检测分析移动互联网恶意程序使用，提取Android系统中应用程序的特征。
c）判定*依据YD/T2439-2012中第3章判定是否存在移动互联网恶意程序行为5.2.2Symbian系统动态特征检测方法5.2.2.1检测环境
在计算机中安装Symbian应用软件的调试工具和命令端口工具，及安装Symbian操作系统的移动终端1台。
5.2.2.2检测流程
HiiKAoNiKAca
YD/T2848.2-2015
Symbian系统的动态特征检测主要是在计算机平台上用工具（如IDA）通过远程调用安装symbian系统上的可执行程序实现的。
a）软件加载：使用调试工具（如IDA，该工具支持静态和动态调试)将目标程序加载至Symbian手机中加载处理器类型为“ARMprocessors:ARM”，调试模式为“RemoteGDBdebugger”。b）动态调试检测：将解压后的“pkg”文件安装到Symbian手机，打开调试工具（如IDA）的“Processoptions选项”记录文件路径后释放，在程序入口处设置断点：在Symbian手机中安装命令端口工具（如TRK），该工具将接收来自调试工具动态调试器的命令：利用调试工具将手机中的“.exe\文件启动，程序断在入口处：在可疑的目标函数中下断点，并进行单步调试、查看目标程序的运行流程，以检测分析移动互联网恶意程序。
c）判定：依据YD/T2439-2012中第3章判定是否存在移动互联网恶意程序行为，5.2.3WinMobile系统动态检测方法5.2.3.1检测环境
在计算机环境下安装ActiveSync同步工具和WinMobile模拟器，安装以后ActiveSync工具会将计算机与WinMobile模拟器建立同步连接，方便计算机与模拟器之间WinMobile应用程序。5.2.3.2检测流程
WinMobile系统的动态特征检测是在计算机平台上通过调试工具（如IDA）远程调试WinMobile系统的PE文件来进行的。
a）建立同步连接：建立计算机与WinMobile模拟器的同步连接，将Cab文件复制到模拟器的存储卡路径下，在“START”->“FileExplorer”中运行目标检测程序（通常为“.exe”）。b）动态调试检测：在调试工具（如IDA）中选择“RemoteWinCEdebugger”调试器、文件路径选择模拟器存储卡中的目标“.exe”，完成调试工具与模拟器的远程连接，进行动态调试检测。在动态调试过程中对目标函数设下断点，并进行单步调试、查看目标程序的运行流程，提取被测应用程序特征。c）判定：依据YD/T2439-2012第3章判定是否存在移动互联网恶意程序行为。5.3动态拨测检测方法
动态拨测检测方法适用于智能机操作平台。将被测移动应用安装到测试终端上并运行，拨测终端上各种应用功能模块，检测其对资源的调用情况。在拨测过程中对未经用户授权的自动请求联网、访问网址、发送短信号码及内容、上传下载文件等行为进行记录，依据YD/T2439-2012第3章判定是否存在恶意扣费、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为等移动互联网恶意程序行为属性。5.4动态数据抓包检测方法
本方法将移动互联网应用程序产生的数据包进行截取并分析，提取出该应用的特征。此方法适用于对远程控制服务器进行加密的移动互联网恶意程序的检测分析。依据YD/T2439-2012第3章判定是否存在移动互联网恶意程序行为，进而提取相关的移动互联网恶意程序特征形成特征库供安全软件和工具使用。5.5数字签名检测方法
5.5.1概述
TiiKAoNiKAca
YD/T2848.2-2015
数字签名是指附加在程序数据单元上的一些数据，或是对数据单元所做的密码变换。这种数据或密码变换充许数据单元的接收者用以确认数据单元的来源，数据单元的完整性并保护数据，防止被人伪造本方法主要通过对数字签名进行比对来实施检测。5.5.2Android系统数字签名检测方法Android系统数字签名机制是APK文件完整性和发布机构唯一性的一种校验机制，通过比较被非法修改的APK的证书签名与程序原有的签名的差异，来检测移动互联网恶意程序的方法。使用工具（如MiniC）提取APK程序的证书，并将证书的串号存入数据库中，当分析时将待检测样本的签名串号提取出来与库里的串号做对比，达到检测的目的。5.5.3Symbian系统数字签名检测方法Symbian系统数字签名的检测方法是用sisontents工具将sis或sisx文件签名信息，与已有的移动互联网恶意程序特征库中的恶意行为进行比来检测移动互联网恶意程序的方法。5.6高权限获取检测方法
本方法通过高权限获取技术获取移动终端的最高root权限，截获系统的大部分函数调用，适用于智能机操作平台（如Android、iOS、Symbian等），是在终端侧实现主动式防御的检测方法以Android平台为例，高权限获取检测方法通过将inject和hook注入到关键进程的方式实现对移动互联网恶意程序行为的检测和拦截。
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。