aDFAer：静态数据流分析对抗安卓高级恶意软件

"这篇资料是关于使用数据流分析引擎来检测高级安卓恶意软件的演讲内容，主要由徐昊和pLL在2013年的SyScan360会议上提出。随着Android恶意软件的急剧增长，传统基于签名的检测方法已不足以应对新形态的恶意APP。为此，他们开发了一个名为aDFAer的静态数据流分析框架，旨在从行为角度对Android应用进行分析，以检测恶意程序。此外，还提到了Janus项目，用于检测利用反射机制隐藏恶意行为的APP。" 本文首先介绍了Android安全问题的严峻性，强调了Android平台已成为恶意软件的主要目标。由于Google无法对所有应用进行审计，且大量应用来自第三方市场，Android的安全管理面临着巨大挑战。恶意软件的增长率极高，数量庞大，对用户隐私和设备安全构成严重威胁。 现有的检测技术主要包括基于签名的检测（如传统杀毒软件）、基于设备的防护（如LBE、360和网秦提供的服务）、动态分析（如DroidBox、TaintDroid和SmartDroid）以及静态分析（如FlowDroid、AndroidLeaks和SCANDAL）。然而，高级恶意软件采用了诸如反射机制和动态代码加载等技术来逃避检测。 反射机制允许恶意软件在运行时动态调用敏感API，使得静态扫描难以识别其恶意行为。而动态代码加载则允许恶意应用在特定条件下下载并执行恶意代码，进一步增加了检测难度。文章以DexClassLoader为例，展示了如何加载和执行外部的DEX或jar文件。 为了应对这些挑战，aDFAer数据流分析引擎应运而生。该框架通过对应用的静态分析，尝试揭示其潜在的行为模式，从而识别出可能的恶意行为。Janus项目则专注于检测利用反射进行恶意活动的应用，以提高检测的准确性。 演讲的最后部分讨论了实验结果和未来的研究方向，意味着研究人员将继续致力于改进和扩展这些工具，以对抗日益复杂的Android恶意软件威胁。通过这样的静态和动态分析结合，可以更有效地预防和检测安卓设备上的恶意行为，保护用户的设备和数据安全。