劉洪偉+李璐+戴芬

摘要：為有效偵破使用手機(jī)木馬進(jìn)行詐騙、盜竊等違法犯罪的案件，對手機(jī)木馬病毒的特點(diǎn)、植入方式、運(yùn)行狀態(tài)進(jìn)行了研究，利用dex2jar、jdgui等工具軟件查看apk文件源代碼。結(jié)合實(shí)例，講述了如何提取關(guān)鍵代碼與配置數(shù)據(jù)，并對手機(jī)木馬病毒的危險函數(shù)、啟動方式、權(quán)限列表進(jìn)行分析，證明了該方法的可行性，提取了違法犯罪行為的關(guān)鍵線索服務(wù)于偵查辦案和證據(jù)固定。

關(guān)鍵詞：安卓系統(tǒng)；手機(jī)木馬；木馬植入；木馬提??；代碼分析

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）22-0022-02

Abstract： In order to investigate and solve the criminal cases of swindle and theft ，researched implant， running status of the mobile phone trojan virus，used dex2jar，jdgui tools to decode APK files source code.With an example， it tells how to extract the key code and configuration data， and analyzes the risk function， startup mode and authority list of mobile phone trojan virus. It proves the feasibility of this method， and extracts the key clues of illegal crime.

Key words： Android； mobile phone trojan； trojan implanted； trojan extraction； code analysis

智能手機(jī)給用戶帶來便利的同時，手機(jī)惡意軟件也在各種各樣的違法活動中充當(dāng)了重要角色，其中手機(jī)木馬病毒犯罪日漸加速化、產(chǎn)業(yè)鏈化、智能化和隱藏化。Android手機(jī)木馬病毒主要完成植入木馬、運(yùn)行病毒、監(jiān)控手機(jī)、盜取信息、轉(zhuǎn)走錢財(cái)。他們偽造成“XX照片”、“違章查詢處理”、“開房記錄查看”、“XX神器”等易于被人點(diǎn)擊安裝的方式出現(xiàn)，這種惡意短信中附的網(wǎng)址，其實(shí)就是誘導(dǎo)下載一個手機(jī)軟件，安裝后手機(jī)內(nèi)并不會顯示出該應(yīng)用，但其中的木馬病毒已植入，后臺會記錄下機(jī)主的一切操作，可以隨時監(jiān)控到手機(jī)記錄。若機(jī)主登錄網(wǎng)銀、支付寶、微信紅包等，銀行卡賬號、密碼就都被泄露了，黑客能輕易轉(zhuǎn)走資金。此類案件近期呈現(xiàn)高發(fā)的趨勢。面對各種各樣善于偽裝隱藏的手機(jī)木馬病毒，如何提取分析，并固定證據(jù)成為一項(xiàng)重要工作。本文從Android手機(jī)木馬病毒的特點(diǎn)入手，講述了如何提取分析關(guān)鍵代碼與配置數(shù)據(jù)，從而分析出違法犯罪行為的關(guān)鍵線索服務(wù)于偵查辦案和證據(jù)固定。

1 木馬病毒的植入、提取

1.1植入

（1）很多用戶不希望支付軟件費(fèi)用，含有木馬的手機(jī)應(yīng)用的第三方網(wǎng)站通過提供破解版、修改版來誘騙下載。（2） 通過發(fā)送短信或彩信到用戶手機(jī)，誘騙手機(jī)用戶點(diǎn)擊短信中URL或者打開彩信附件，從而達(dá)到了植入木馬的目的。帶網(wǎng)址鏈接的短信詐騙是目前十分流行的詐騙方式，短信內(nèi)容不斷變化，但詐騙、盜竊的目標(biāo)不變，那就是誘導(dǎo)點(diǎn)擊安裝短信的鏈接網(wǎng)址中的木馬。

木馬植入到目標(biāo)系統(tǒng)，需要一段時間來獲取信息，必須隱藏自己的行蹤，以確保木馬的整體隱藏能力，以便實(shí)現(xiàn)長期的目的。主要包括本地隱藏、文件隱藏、進(jìn)程隱藏、網(wǎng)絡(luò)連接隱藏、內(nèi)核模塊隱藏、通信隱藏、協(xié)同隱藏、日志過濾和Rootkit模塊的隱藏。然后實(shí)現(xiàn)了Android系統(tǒng)下木馬攻擊的各種功能，主要有刪除SIM卡和手機(jī)里的通訊錄、刪除SD卡里的文件和上傳文件到電腦控制端。

1.2提取

對于手機(jī)系統(tǒng)來講，為了能夠及時有效的發(fā)現(xiàn)手機(jī)病毒木馬程序必須采用動靜結(jié)合的方式。通過對Android運(yùn)行任務(wù)進(jìn)行檢查可以發(fā)現(xiàn)是否有可疑程序在運(yùn)行。

提取的方式，一是根據(jù)URL鏈接地址，從互聯(lián)網(wǎng)上進(jìn)行提??；二是根據(jù)手機(jī)存儲的位置，找到安裝文件進(jìn)行提取，比較常見的提取位置有：一般存放在根目錄下、DownLoad文件夾中、還有隱藏在系統(tǒng)文件system文件夾中；三是遇到URL無法打開，安裝源文件被刪除等情況，借助豌豆莢、360手機(jī)助手等工具軟件，從應(yīng)用程序找出木馬病毒進(jìn)行導(dǎo)出成apk文件。

2木馬病毒的分析

Android木馬程序由client端程序和server端程序組成，server端通過移動互聯(lián)網(wǎng)控制client端，client端程序安裝在目標(biāo)手機(jī)上，接收控制端的一些命令并執(zhí)行，同時把結(jié)果返回給控制端，android木馬帶來的危害主要是遠(yuǎn)程竊密、通話監(jiān)聽、信息截獲和偽造欺騙。Android手機(jī)木馬病毒程序是以APK文件形式存在的，APK是基于JAVA開發(fā)的，JAVA的優(yōu)勢之一就是JAVA的反編譯要比其他高級語言容易實(shí)現(xiàn)。在JAVA環(huán)境中可以用apktool、DoAPK、apk manager、Dex2jar和jdgui等工具將APK文件反編譯，生成應(yīng)用程序的XML配置、JAVA源代碼和圖片、語言資源等文件。一個APK文件結(jié)構(gòu)為：“META-INF＼ Jar文件”、“res＼ 存放資源文件”、“AndroidManifest.xm程序全局配置文件”“classes.dex”Dalvik字節(jié)碼、“resources.arsc”編譯后的二進(jìn)制資源文件。其中classes.dex和AndroidManifest.xml是偵查破案工作中分析的重點(diǎn)。AndroidManifest.xml是程序全局配置文件，描述應(yīng)用的名字、版本、權(quán)限、引用庫文件等信息，每一個應(yīng)用程序的根目錄都會有一個AndroidManifest.xml文件；classes.dex是Dalvik字節(jié)碼，可以在Android Dalvik虛擬機(jī)上直接運(yùn)行的執(zhí)行程序，利用解析工具可以將其轉(zhuǎn)換為Java源代碼進(jìn)行閱讀和理解。本文通過介紹一種新型的木馬病毒程序MM.APK來對Android系統(tǒng)中的木馬進(jìn)行分析。該款病毒程序發(fā)送到我市多位用戶手機(jī)，接收到銀行發(fā)送的轉(zhuǎn)賬驗(yàn)證碼，造成財(cái)產(chǎn)損失20余萬元。

2.1 AndroidManifest.xml

該新型木馬程序，AndroidManifest.xml文件定義的功能有：啟動服務(wù)、獲取用戶ID（手機(jī)串號）、添加View、調(diào)用Intent的setAction、獲取郵件Session、獲取本機(jī)電話號碼、讀取文件、激活A(yù)ctivityForResult、注冊ContentObserver、登錄郵箱、初始化Intent、傳遞附加信息、初始化URL、發(fā)送短信、寫入文件、發(fā)送郵件、讀取手機(jī)短信、隱藏桌面快捷圖標(biāo)、獲取運(yùn)行service、查詢App共享數(shù)據(jù)等功能。

2.2 classes.dex 文件

使用dex2jar工具對classes.dex文件進(jìn)行反編譯，再使用jdgui工具來查看源代碼文件的具體內(nèi)容。首先，該程序通過短信點(diǎn)擊下載到手機(jī)后會自動安裝并在后臺運(yùn)行，手機(jī)界面會自動隱藏圖標(biāo)；其次，MM.APK軟件安裝成功后會向特定手機(jī)號碼136****8120發(fā)送安裝成功信息，同時把手機(jī)的內(nèi)容發(fā)送到136****8120@163.com的郵箱中。

3 結(jié)束語

通過對新型木馬病毒的分析，此類型的木馬程序主要是定向發(fā)送，盜竊銀行卡錢財(cái)為主，嫌疑人留有實(shí)施犯罪接收的郵箱和手機(jī)號碼，案件偵查人員和取證人員可以通過此類方法掌握該類木馬病毒實(shí)施惡意行為的配置數(shù)據(jù)、JAVA關(guān)鍵代碼等內(nèi)容，最終確定回傳方式，快速鎖定犯罪嫌疑人。但對于采用代碼混淆或加殼的手機(jī)木馬病毒程序，很難進(jìn)行精準(zhǔn)還原。在具體的工作實(shí)踐中，充分利用多種技術(shù)，靈活運(yùn)用網(wǎng)絡(luò)資源，分析木馬病毒使用者的目的、動機(jī)，進(jìn)而分析案件線索，為案件的偵破提供方向和技術(shù)執(zhí)掌，充分發(fā)揮網(wǎng)絡(luò)偵查的作用。

參考文獻(xiàn)：

[1] 董蕾，黃淑華，尹浩然，等. 基于Android 平臺的手機(jī)木馬關(guān)鍵技術(shù)分析[J].技術(shù)研究，2011（11）：63-65.

[2] 劉昊辰，羅森林. Android 系統(tǒng)木馬隱藏及檢測技術(shù)[J].技術(shù)研究，2013（1）：33-37.

[3] 朱雪梅. Android木馬攻擊與防范技術(shù)的研究[D].杭州電子科技大學(xué)，2013.

[4] 黃曉昆 . Windows+Mobile 平臺木馬關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D].中山大學(xué)，2008.

[5] 賴超，龍曦，李金霖，等.基于 Android 平臺的手機(jī)后臺監(jiān)聽技術(shù)[J]. 計(jì)算機(jī)工程應(yīng)用技術(shù)，2011（6）：9472-9474.

[6] 劉澤衡.基于 Android 智能手機(jī)的安全檢測系統(tǒng)的研究與實(shí)現(xiàn)[D].哈爾濱工業(yè)大學(xué)，2011.

[7] 蔡羅成. Android 后臺監(jiān)聽實(shí)現(xiàn)機(jī)制淺析[J].信息安全與通信保密，2010（6）：39-41.

[8] 戴威，鄭滔. 基于 Android權(quán)限機(jī)制的動態(tài)隱私保護(hù)模型[J]. 計(jì)算機(jī)應(yīng)用研究，2012，5（9）：3478-3412.