【An Analysis of the AnserverBot Trojan】
来源:互联网 发布:c语言可视化编程ide 编辑:程序博客网 时间:2024/05/16 18:37
AnserverBot Trojan
这片论文是Xuxian Jiang 教授研究的成果,Xuxian Jiang教授在ANdroid 安全方面研究显著,特别是对Android恶意软件的工作方式,本文就算针对 AnserverBot Trojan进行的研究,分析它的恶意行为恶意部分。
资料:http://www.csc.ncsu.edu/faculty/jiang/AnserverBot/
how it works
1、安装payload
动态加载:当宿主app触发的时候,会弹出一个假的更新窗口,当你选择确定键的时候,它会去安装一个隐藏的payload A,这个payload A会在后台默默运行,而且不会在屏幕上留下图标,即使你将母包删除,这个payload仍然会运行。与之前研究的BaseBridge【如下】比较相似。
- A.BaseBridge
2、执行payload
与payload A 不同,payload B不是在手机上安装的,而是当宿主app运行活在 payload A 运行时进行动态加载。它利用了 Dalvik virtual machine的动态加载功能,与Plankton spyware比较相似,不过相比 Plankton spyware,它更进一层,它对敏感的寒数调用都进行了加密(也就是说静态分析不能够分析出来,只能够进行动态分析)
3、获取payload的条件
使用了远程调用的指令:两层,第一层指向了一个已经加密了的博客,用来存储第二层的指令和最新版本的payload B。通过将第二层的指令进行解密,我们即可以得到payload B。
4、具有保护策略
1)、payload A与 B 代码严重混淆,难以进行逆向分析
2)、防止篡改与再度重打包,如果发现特征值不对,则会拒绝执行
3)、关闭安全软件
- 【An Analysis of the AnserverBot Trojan】
- An Analysis of the Producer-Consumer Problem
- An Analysis of Data Corruption in the Storage Stack
- An analysis of the importance of the long tail in search engine marketing
- The analysis of suse_register
- Finding the Longest Nondecreasing Subsequence of A Given Sequence:An analysis of dynamic programming
- DarkComet Analysis – Understanding the Trojan used in Syrian Uprising
- 跟踪算法基准--Tracking the Trackers: An Analysis of the State of the Art in Multiple Object Tracking
- 读《An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol》
- Possible Trojan.Gromozon analysis
- An Analysis Of Linux Ram Forensics
- An Analysis of Facebook Photo Caching
- Analysis of the NoSQL landscape
- The Default Value Problem in JAXB (Source: "An analysis of interface specification in XML using Design by Contract ", Author: Yi
- The analysis of project robot rat
- The Analysis of My Own Procrastination
- Analysis the execution plan of Sybase
- The flag analysis of struct termios
- 网页站点加速守则
- jsp自定义标签
- php 双向队列类
- 二维码相关---java生成二维码名片,并且自动保存到手机通讯录中...
- jeecms 整体架构介绍--很好的
- 【An Analysis of the AnserverBot Trojan】
- 自定义UINavigationBar的背景图片
- AT&T Memory Reference Syntax
- (8)CSS链接与链接伪类
- 产生不相同的随机数(低效率版)
- 黑马程序员——final 修饰符,抽象类,接口,内部类---
- 逆天的jquery版本 jquery-1.3.2.min、jquery-1.4.4.min 完美解决跨域问题
- CodeForces 275C k-Multiple Free Set
- c数组实现线性表储存。