0

目前参与了一个大学项目,并且可以从成员那里获得有关为 Android 设计的 rootkit 的任何帮助。

我对 Android 恶意软件知之甚少,到目前为止,该项目已经让我们反编译 apk 以查看 java 类文件(如果可读)和 AndroidManfiest.xml 文件。我还设法在 uni lab 中使用各种 adb 命令将手机植根,并将文件推送到手机上。

我想知道的是,在类文件中发现恶意 rootkit 代码是否相对容易?有什么我可以注意的吗?是获得 su 状态还是涉及添加用户?假设下一阶段是联系服务器,以便开发人员可以远程访问..

此外,是否有系统或服务可以处理 apk 以发现它是否包含 rootkit(不仅仅是恶意)?

回复:

嗨,很抱歉回复晚了 - 尝试立即回复,但由于我是新手,所以不被允许,但后来忘记了!

谢谢(你的)信息!我很欣赏我可能听起来很天真,但我想我必须看到,因为我对 rootkit 或它们的工作方式一无所知..

你是对的,他们不是在询问第 3 方扫描仪,这只是我的兴趣。那么关于那个话题,你是说那里有专门在样本中寻找 rootkit 的扫描仪吗?或者这种检测是他们提供的整体 AV 服务的所有部分。如果仅针对 rootkit,那么我真的很想知道哪些,所以我可以研究它们。

另外,关于漏洞利用 - 我假设您的意思是 Android 操作系统中的漏洞?这是否意味着当从 Google 推出补丁更新时,rootkit 将无法运行?

谢谢

4

1 回答 1

1

恶意的 rootkit 会尽力偷偷地获得某些访问权限。因此,您对它如何开展业务所做的任何概括都可能已经被任何好的 rootkit 解决了。

“设置 su 状态”几乎不值得被称为“rootkit”,这只是你似乎赋予应用程序的“使用 root 权限”。rootkit 会寻找一种方法,通过利用某种错误,在未经许可的情况下实际获取此信息。

发现这些东西的服务系统通常称为病毒和/或恶意软件扫描程序。是的,它们存在。

不要消极,但这似乎是关于该主题的幼稚帖子,并且可能不是一个项目的良好开端:我想说使用 3rd 方恶意软件扫描程序可能不是问的?

例如,您可以寻找已知的漏洞利用方法。出于某种原因想到的是溢出,但这只是一件随机的事情。阅读 Rootkit、它们的方法、寻找它们的启发式方法等。

于 2014-02-21T11:13:40.767 回答