采用系统调用监测安卓应用资源使用的研究

摘要

现今手机、平板电脑等手持移动设备的运算能力日益增强，搭载智能系统的移动设备逐渐融入人们生活，成为日常活动不可或缺的一部分。手持移动设备大多存储了大量涉及用户隐私的重要信息，如通讯录、短信、彩信、邮件、文件等等，这些信息涵盖了用户生活和工作的各个方面。随着智能手机的普遍推广，针对手机的恶意应用的数量也极速增长，智能手机的安全面临诸多挑战。
　　安卓恶意应用行为大多源于对系统资源的非法使用，资源使用信息将有助于快速地分析恶意行为。然而，由于安卓系统使用权限机制对资源进行管理的特性，现有的基于系统调用监测安卓应用资源使用的方法并不行之有效。
　　针对该问题，本文通过对安卓系统资源管理特点的研究，提出并实现了一种采用系统调用辅以系统调用-API映射关系来监测安卓应用资源使用的方法SysTracker。SysTracker能够在不对应用程序和系统进行修改的前提下，把应用程序当做黑盒进行监测。因此，该方法能够适用于任何版本的安卓系统，特别适用对系统预装软件的监测分析。
　　首先，SysTracker通过ptrace系统调用对应用程序进行追踪，以截获应用程序产生的系统调用。在截获系统调用后，SysTracker会根据该系统调用的参数个数以及类型对参数进行解析。其次，SysTracker使用Monkey工具对1879个应用程序进行自动化测试，收集了安卓程序框架中提供资源访问和操作的568个API对应的系统调用信息，并采用特征提取的方法分析出系统调用与API调用之间精确的映射关系。最后，SysTracker借助系统调用与API调用之间精确的映射关系，采用多路匹配的方式将应用程序的系统调用信息还原为相应的API调用，再根据已有的API与权限及资源的映射关系识别出应用程序对资源的使用情况。
　　为了验证SysTracker识别安卓应用程序资源使用的准确性，我们使用Monkey收集316个应用的API调用情况，将收集到的API调用信息与SysTracker识别出来的API调用进行对比，结果显示SysTracker识别的正确率高达99.2％。此外，我们还使用SysTracker对多款应用程序进行分析。结果显示，SysTracker能够直接监测到应用对API的调用情况，大大降低了程序行为分析的代价。同时，根据监测到的API调用信息，分析人员能够快速准确地识别出应用程序对敏感资源的使用，这对于分析应用程序的恶意行为具有较大的参考价值。

目录

摘要

图目

表目

第1章 绪论

1．1 引言

1．2 研究背景及现状

1．2．1 恶意应用及资源使用

1．2．2 Android资源使用监测技术

1．3 本文工作及贡献

1．4 论文组织结构

第2章 Android背景知识

2．1 Android系统架构

2．2 Android系统资源管理

2．2．1 Linux系统资源管理

2．2．2 Android系统服务资源管理

2．3 Android进程间通信

2．4 Android权限机制

2．5 本章小结

第3章 SysTracker的设计

3．1 SysTracker基本架构

3．2 功能模块设计要点

3．2．1 截获系统调用

3．2．2 解析系统调用参数

3．2．3 构建系统调用-API映射关系

3．2．4 还原API调用

3．2．5 生成资源使用报告

3．3 本章小结

第4章 SysTracker的实现

4．1 系统调用截获模块具体实现

4．1．1 截获系统调用的具体流程

4．1．2 多线程中系统调用的截获

4．2 参数解析模块具体实现

4．2．1 获取系统调用号

4．2．2 解析参数数值信息

4．2．3 解析参数语义信息

4．3 API调用与系统调用信息收集

4．3．1 识别API调用开始和结束

4．3．2 API调用插装

4．3．3 收集系统调用信息

4．4 系统调用-API映射关系挖掘

4．5 API调用还原模块具体实现

4．6 本章小结

第5章 实验验证与分析

5．1 系统调用-API映射关系正确性测试

5．2 实用性及有效性测试

5．3 本章小结

第6章 总结与展望

6．1 总结与讨论

6．2 未来工作展望

参考文献

作者简历

致谢

声明