基于Android平台的恶意文件(夹)隔离箱试验系统

2024年4月15日发(作者：)

雪　

Ｉ　ｄｏｉ：１０　３９６９／ｊ　ｉｓｓｎ　１６７１　１１２２　２０１２　０９　００９　

基于Ａ　ｎｄ　ｒｏｉ　ｄ平台的　

恶意文件（夹）隔离箱试验系统　

焦娜，邵羽，陈军，陈倩文　

（华东政法大学信息科学与技术系，上海２０１６２０）　

摘要：Ａｎｄｒｏｉｄ平台应用越来越广，恶意文件（夹）的植入给用户带来十分大的困扰和危害。该文　

提出采用了自动实时监控技术和“公共特征库＋自定义特征库”的方式，实现了“基于时间线分析的快照　

比对机制”、“基于特征库的离散监听”和“基于安全备份的拦截行为”，有效地利用Ａｎｄｒｏｉｄ系统自身的特　

性高效的完成相应工作。　

关键词：Ａｎｄｒｏｉｄ平台；恶意文件（夹）；隔离　

中图分类号：ＴＰ３９３．０８　文献标识码：Ａ　文章编号：１６７１—１１２２（２０１２）０９—００３２—０３　

Ｉｓｏｌａｔｉｏｎ　Ｓｙｓｔｅｍ　ｏｆ　Ｍａｌｉｃｅ　Ｆｉｌｅｓ　ｂａｓｅｄ　ｏｎ　Ａｎｄｒｏｉｄ　

儿ＡＯ　Ｎａ，ＳＨＡ０　Ｙ＿ｕ，ＣＨＥＮ　Ｊｕｎ，ＣＨＥＮ　Ｑｉａｎ—ｗｅｎ　

（Ｄｅｐａｒｔｍｅｎｔ　ｏｆｉｎｆｏｒｍａｔｉｏｎ　Ｓｃｉｅｎｃｅ　ａｎｄ　Ｔｅｃｈｎｏｌｏｇｙ，Ｅａｓｔ　Ｃｈｉｎａ　Ｕｎｉｖｅｒｓｉｔｙ　ｏｆＰｏｌｉｔｉｃａｌ　Ｓｃｉｅｎｃｅ　ａｎｄＬａｗ，Ｓｈａｎｇｈａｉ　

２０１６２０，Ｃｈｉｎａ）　

Ａｂｓｔｒａｃｔ：Ａｎｄｒｏｉｄ　ｓｙｓｔｅｍ　ｉｓ　ｂｅｃｏｍｉｎｇ　ｍｏｒｅ　ａｎｄ　ｍｏｒｅ　ｐｏｗｅｒｆｕ１．Ｔｈｅ　ａＲａｃｋ　ｏｆ　ｍａｌｉｃｅ　ｆｉｌｅｓ　ｗｉｌｌ　ｂｒｉｎｇ　ｔｈｅ　ｕｓｅｒｓ　

ｔｒｏｕｂｌｅ　ａｎｄ　ｄａｎｇｅｒ．Ａｃｃｏｒｄｉｎｇ　ｔｏ　ａｕｔｏｍａｔｉｃ　ｒｅａｌ—ｔｉｍｅ　ｍｏｎｉｔｏｒｉｎｇ　ｔｅｃｈｎｏｌｏｇｙ　ａｎｄ‘‘ｐｕｂｌｉｃ　ｆｅａｔｕｒｅ　ｌｉｂｒａｒｙ　ｃｕｓｔｏｍ　

ｆｅａｔｕｒｅ　ｌｉｂｒａｒｙ”，ｗｅ　ｐｒｏｐｏｓｅｄ‘‘ｓｎａｐｓｈｏｔ　ｃｏｍｐａｒｉｓｏｎ　ｍｅｃｈａｎｉｓｍ　ｂａｓｅｄ　ｏｎ　ｔｉｍｅ　ｌｉｎｅ　ａｎａｌｙｓｉｓ”，“ｄｉｓｃｒｅｔｅ　ｍｏｎｉｔｏｒｉｎｇ　

ｂａｓｅｄ　ｏｎ　ｆｅａｔｕｒｅ　ｌｉｂｒａｒｙ’’ａｎｄ“ｉｎｔｅｒｃｅｐｔｉｏｎ　ｂｅｈａｖｉｏｒ　ｂａｓｅｄ　ｏｎ　ｓａｆｅｔｙ　ｂａｃｋｕｐ”，Ａｎｄｒｏｉｄ　ｓｙｓｔｅｍ　ｗｏｒｋｓ　ｅｆｆｅｃｔｉｖｅｌｙ　ｏｎ　

ｔｈｅ　ｂａｓｉｓ　ｏｆ　ｉｔｓ　ｃｈａｒａｃｔｅｒｉｓｔｉｃｓ．　

Ｋｅｙ　ｗｏｒｄｓ：ａｎｄｒｏｉｄ　ｓｙｓｔｅｍ；ｍａｌｉｃｅ　ｆｉｌｅ；ｉｓｏｌａｔｉｏｎ　

０引言　

Ｇｏｏｇｌｅ公司开发的Ａｎｄｒｏｉｄ系统因其开源性和其他一系列的系统特征，短短几年内就风靡全球，成为主要的移动终端智能系　

统。Ａｎｄｒｏｉｄ平台上的应用开发也呈现百花齐放之势，每天都有数以百计的应用在不同的Ａｎｄｒｏｉｄ市场上架　］。　

在这股应用井喷的浪潮之下，也隐藏了许多不良的意图一一通过反向工程改变Ａｎｄｒｏｉｄ安装包结构，以植人病毒、广告等　

恶意文件（夹）。这给用户带来很大的困扰和危害，损害了用户使用手机的体验性及隐私陛，也带来了巨大的安全隐患Ｉ２’　。目前，　

Ａｎｄｒｏｉｄ平台上还没有可以应对这种行为的应用，现有的几款手机安全软件也只局限于常规的病毒查杀和临时文件清理等功能。　

本文针对这一现状进行开发，通过网络方式或用户自定义方式获取特征库，进而对系统进行实时监控　】，阻断特征库内的对　

象文件（夹）的创建及生成，以满足用户个性化需求和净化手机环境的目的　。　

本文在手段上创新地采用了自动实时监控技术【６’　，以此保证用户的手机可以不间断的得到保护，同时也降低了用户使用应　

用的难度。在策略上创新地采用了“公共特征库＋白定义特征库”的方式，使应用可以最大程度的满足不同用户的个性化需求，　

使应用所能发挥的功用提升到较高水平。同时，本文还提出了“基于时间线分析的快照比对机制”、“基于特征库的离散监听”和“基　

于安全备份的拦截行为”，分别对应对系统的分析模块和操纵模块，能有效利用Ａｎｄｒｏｉｄ系统本身的特性高效地完成相应工作。　

１研究内容及关键技术　

１．１研究内容　

本文初步研究了基于Ａｎｄｒｏｉｄ平台的恶意文件（夹）隔离箱试验系统的开发工作，探索在Ａｎｄｒｏｉｄ平台下对恶意文件（夹）信　

●　

收稿时间：２０１２—０７—２８　

基金项目：上海高校青年教师培养资助计划［ｈｄｚｆｌ０００８］、华东政法大学科研项目［１１Ｈ２Ｋ０３４］　

作者简介：焦娜（１９７７一），女，辽宁，讲师，主要研究方向：Ａｘ．￣ｇ、模式识别、粗糙集、信息网络安全等；邵羽（１９９１一），男，广西，本科，　

主要研究方向：信息网络安全；陈军（１９９２一），男，安徽，本科，主要研究方向：信息网络安全；陈倩文（１９９２一），女，上海，本科，主要研　

究方向：信息网络安全。　

息的搜集、记录、处理、存储等过程，并依据这些信息研究　

对平台文件系统中的对应目标进行清除处理工作的流程，旨　

在确定一种可以解决这一问题，形成试验系统雏形构架方案，　

同时希望能深入内核底层层面进行研究，探索如何在恶意文　

件（夹）生成过程中进行拦截阻断　’　。　

本系统在开发过程中从理论角度进行研究，将探索如何　

将用户自定义行为与公共行为相统一，寻求一种可以兼顾用户　

意愿和系统安全的解决方案，形成一种专业科学分析和大用户、　

大数据量挖掘信息相整合的数据库建设方法。　

１．２关键技术　

１）ＳｈａｒｅＰｒｅｆｅｒｅｎｃｅ技术。对于软件配置参数的保存，　

Ａｎｄｒｏｉｄ平台给我们提供了＿一个ＳｈａｒｅｄＰｒｅｆｅｒｅｎｃｅｓ类，它是一　

个轻量级的存储类，特别适合用于保存软件配置参数，使用　

ＳｈａｒｅｄＰｒｅｆｅｒｅｎｃｅｓ保存数据，其背后是用ｘｍｌ文件存放数据，　

本质是一张哈希图，数据在其中以键一值对的形式被存储，　

文件存放在／ｄａｔａ／ｄａｔａ／＜ｐａｃｋａｇｅ　ｎａｍｅ＞／ｓｈａｒｅｄ—ｐｒｅｆｓ目录—Ｆ＾　

２）ＳＱＬｉｔｅ。ＳＱＬｉｔｅ是一款轻型的数据库，它占用资源非　

常的低，在嵌入式设备中，可能只需要几百Ｋ的内存。它能够　

支持Ｗｉｎｄｏｗｓ／Ｌｉｎｕｘ／Ｕｎｉｘ等主流的操作系统，同时能够与多　

种程序语言相结合。　

Ａｎｄｒ　，ｉｄ在运行时集成了ＳＱＬｉｔｅ，所以每个Ａｎｄｒｏｉｄ应　

用程序郝可以使用ＳＱＬｉｔｅ数据库。数据库存储在／ｄａｔａ／ｄａｔａ／　

＜ｐａｃｋａｇｅ　ｎａｍｅ＞／ｄａｔａｂａｓｅｓ／下。在Ａｎｄｒｏｉｄ应用程序中使用　

ＳＱＬｉｔｅ，必须自己创建数据库，创建表、索引器，填充数据。　

２基于时间线分析的快照比对机制　

利用未设定最高使用权限的Ａｎｄｒｏｉｄ手机本身防护性较　

高的特性，从其不能保护的环节着手研究，提出基于时间线　

分析的快照比对机制，在此分析方法下利用系统本身对私有　

空问的保护特性，进行了非毁灭性的行为阻截操作。应用设　

计了一个有自主循环潜力的系统，集行为分析、行为监控、行　

为操纵于一体，互相之间相辅相成，彼此提供数据以完善系统。　

２．１机制与模式　

首先，利用系统日志作为行为触发器，然后二次生成文件　

系统快照并进行比对、记人Ｅｔ志，通过对Ｅｔ志读取进行时间　

线分析，最后多次分析找　差异产生原因。　

２．２核心类　

图１包含了＿一个与具体对象对应的文件类实例，一个表示　

该节　增减标志量以及一组代表其子节　的快照类列表。一个　

快照类的对象生成初始化该对象的路径下的快照。同时快照　

类包含了比对两组陕照差异的方法。　

图２为快照比对类，维持了两组日志，分别持有过滤前后　

的日志，以方便进行时间线分析比对。同时该类是快照比对　

２０１２年第０９期　

功能的实际调用者，根据过滤条件控制了服务启动开关，并　

负责对调用比对后形成的结果进行记录、分析。　

图１快照类的设计　

图２快照比较类的设计　

３基于特征库的离散监听　

应用可以对用户手机的文件系统进行监控，根据特征库　

将被列入黑名单的文件（夹）的创建工作阻断，并开放一定权　

限给用户，使用户可以自定义需要隔离的文件（夹），防止它们　

自动生成　。　

用户可以将特征库导出到应用程序的ＳＱＬｉｔｅ数据库或者　

从ＳＱＬｉｔｅ数据库导人，也可以通过网络下载特征库或将特征　

库上传到网络备份。　

用户可以通过设置选择是否自动监听、是否提示等功能　

的停启用，也可以查看系统日志以追踪应用程序的行为。　

对于用户来说，只需要完成特征库的配置（网络方式／自　

定义方式），再开启监控即可。　

３．１机制与模式　

第一次过滤，由监听者过滤，不在监听范围内无动作。　

第二次过滤，不同特征因子对应不同动作监控，行为不　

符无动作。　

３．２核心类　

图３为特征库因子类的设计图，其中特征因子性质　

ｍＳｔａｔｕｓ用来确定该特征因子在特征库中所属的是白名单还是　

黑名单，值由该类定义的两个静态常量确定（ＢＬＡＣＫＬＩＳＴ＝０　

和ＷＨＩＴＥＬＩＳＴ＝Ｉ）；系统备注ｓｙｓＮｏｔｅ和用户备注ｕｓｅｒＮｏｔｅ用　

来为该因子添加解释、补充性备注的，前者由系统统一定义，　

后者由用户管理；性质可修改性ｃａｎＭｏｄｉｆｙ的值则是用来表示　

是否可以对ｍＳｔａｔｕｓ进行修改，这是出于后期系统优化而定义　

的属性，为的是防止用户对关键的特征因子进行任何修改性　

质的操作。　

图４为监听者类的设计图，其中包含了一个特征库的　

实例，用来为监听者提供匹配的正文。监听对象的父路径　

ｒ＿＿　

ｍＰａｒｅｎｔＰａｔｈ为监听者的构造提供了实参，表示监听者要监听　

的对象的父目录。只有监听了父目录，才能捕获监听对象的创　

５实验及结果　

１）将测试设备用ＵＳＢ线连接至电脑，开启调试模式，然　

建信号，并作出对应的动作。　

图３特征库因子类的设计　

图４监听者类的设计　

图５为监听服务类的设计图，其维护了一个监听者类实例　

的序列，用来在启动服务时依个启动监听者实例的监听工作。　

图５监听服务类的设计　

４基于安全备份的拦截行为　

利用系统本身对私有空间的保护特性，进行了非毁灭性　

的行为阻截操作。　

４．１机制与模式　

截获恶意文件（夹）的生成，截获目标备份人私有空间。　

若是误操作则恢复，超时或超量则清除。　

４．２核心类　

包含图４和图６两部分。　

图６为工具类的设计图，包含两部分的功能。一个功能　

是判断监听服务是否正在运行，并在必要情况下重启服务（如　

特征库监听列表发生了变化）；另一个功能是封装了将文字内　

容格式化并传递到日志中的过程，使客户端可以轻松地将要　

记人日志的内容添加到日志当中。　

图６工具类的设计　

后在Ｅｃｌｉｐｓｅ中选择将整个项目以Ａｎｄｒｏｉｄ　Ａｐｐｌｉｃａｔｉｏｎ方式运　

行，应用将自动安装到测试设备上。安装完毕后，测试设备上　

出现应用图标。　

２）启动应用，进入应用主活动界面。　

３）点击“黑名单管理”按钮，进入黑名单管理界面。　

４）点击‘加入黑名单”按钮，切换到一个简易的文件管理器，　

可以在里面选择要加入特征库黑名单的文件（夹）。选中至少　

一

项的时候会出现“添加”按钮，可以将文件（夹）加入特征　

库黑名单中。如果首选项中的“在加入黑名单前是否询问清理”　

是呈被勾选状态，则会弹出警示框提示是加入黑名单并马上　

执行一次清理还是仅加入黑名单。　

５）快照功能测试。开唐陕照服务后会关联相关进程进行　

快照比对。本例中，文件浏览器进程新建（手动）了ｎｅｗ文　

件夹，即被快照识别并提示。　

６）拦截到特定行为时会将结果备份到私有空间；特征库　

因子移出时会提示是否从私有空间恢复结果到原位置，可有　

效防止误操作。　

６结束语　

从应用本身来讲，它距离商业化应用软件的要求还有一　

段距离。如在界面设计方面还有优化空间，可以设计出更符　

合这类功能应用的界面。　

在功能方面也有许多的提升空间，如应考虑实时监控的　

代价，测试是否用计时器来进行周期性监控会有更好的性能；　

应考虑用户误操作行为，是否加入临时文件夹来保存由用户　

黑名单清除的对象。警（责编张岩）　

参考文献：　

［１】佘志龙等．Ｇｏｏｇｌｅ　Ａｎｄｒｏｉｄ　ＳＤＫ开发范例大全［Ｍ１．北京：人民邮　

电出版社．２０１１　

［２］（美）Ｒｉｃｋ　Ｒｏｇｅｒｓ等．Ａｎｄｒｏｉｄ应用开发［Ｍ］北京：人民邮电出　

版社．２０１０　

［３１（美）Ｈａｆｌａｎ　Ｃａｒｖｅｙ．Ｗｉｎｄｏｗｓ取证分析ＩＭ】北京：科学出版社，　

２００９．　

【４］时金桥等．Ｌｉｎｕｘ系统调用劫持：技术原理、应用及检测ＵＪ计算　

机工程与应用，２００３．３２：１６７—１７０．　

【５】王力生等．一种基于Ａｎｄｒｏｉｄ的防火墙的研究与实现ｕ　Ｊｌ计算机安　

全．２００９．（１０）：３６　３８　

ｆ６１王志国等Ａｎｄｒｏｉｄ智能手机系统的文件实时监控技术Ｕ１．计算机　

安全，２００９，（１２）：４２－４４．　

ｆ７１温敏等．Ａｎｄｒｏｉｄ智能手机系统中文件实时监控的研究与实现Ｕ】ｌ　

科学技术与工程，２００９，９（０７）：１７１６—１７１９．　

【８］彭国军等．基于Ａｎｄｒｏｉｄ的手机隐私保护技术及实现［Ｊ１．信息网络　

安全，２０１２，（０４）：５４—５７．　

【９］贾菲等基于Ａｎｄｒｏｉｄ平台恶意代码逆向分析技术的研究Ｕ】信息　

网络安全．２０１２，（０４）：６１—６３