基于ARM虚拟化扩展的Android内核动态度量方法

针对现阶段内核级攻击对Android系统完整性的威胁,提出一种基于ARM虚拟化扩展的Android内核动态度量方法DIMDroid。该方法利用ARM架构中的硬件辅助虚拟化技术,提供度量模块与被度量Android系统的隔离,首先通过分析在Android系统运行时影响内核完整性的因素从而得到静态和动态度量对象,其次在度量层对这些度量对象进行语义重构,最后对其进行完整性分析来判断Android内核是否受到攻击;同时通过基于硬件信任链的启动保护和基于内存隔离的运行时防护来保证DIMDroid自身安全。实验结果表明,DIMDroid能够及时发现破环Android内核完整性的rootkit,且该方法的性能损失在可接受范围内。     

Android安全性分析

从Android系统的系统框架入手,全面深入地分析了Android系统的安全机制与组成部分,进而得出Android面临的安全隐患与攻击行为。为增强Android的安全性,针对应用程序级攻击与内核级攻击行为．研究了XManDroid框架与基于logcat模式的内核行为分析框架,检测并阻止针对Android的恶意攻击行为,有效地保护了Android系统的安全。     

Linux下基于可执行路径分析的内核 rootkit检测技术研究

如何检测系统是否被入侵者安装了rootkit是计算机安全领域中的重要问题。该文描述了一种基于可执行路径分析(EPA)的检测内核级rootkit的新技术,该技术利用处理器的单步执行模式,来测定系统内核中执行指令的数量,从而达到检测rootkit的目的。     

一种基于交叉视图的Windows Rootkit检测方法

Rootkit被病毒、木马等恶意软件用来隐藏其在被入侵系统上的踪迹,使得它们能够在系统中潜伏较长时间,它的存在给系统及其使用者带来较大的安全隐患.首先对Windows rootkit进行了研究,以此为基础,从rootkit的行为入手,提出了基于进程检测进行rootkit检测的机制,并设计了一种基于交又视图的Windows rootkit检测方法.这种方法通过比较从系统高层和底层获得的进程列袁,从中检测出被rootkit隐藏的进程,其中,系统底层的进程列表通过在Windows内核中查找内核对象的方法获得.最后,利用这种方法实现了一个Windows rootkit检测工具Ⅵ一TAL,并选用若干有代表性的rootkit进行实验,通过和其他工具的对比,验证了这种方法具有较强的检测功能.     

硬件虚拟化rootkit检测方法研究综述

随着虚拟化技术的发展及其在云计算中的广泛应用, 传统的rootkit也开始利用硬件虚拟化技术来隐藏自己。为了对抗这一新型rootkit的攻击, 研究了传统rootkit检测方法在检测硬件虚拟化rootkit（HVMR）上的不足, 分析了现有的HVMR检测方法, 包括基于指令执行时间差异的检测方法、基于内存资源视图差异的检测方法、基于CPU异常和错误的检测方法, 以及基于指令计数的监测方法等。总结了这些检测方法的优缺点, 并在此基础上提出了两种通过扫描内存代码来检测HVMR恶意性的方法, 分别是基于hypervisor的恶意性检测方法和基于硬件的恶意性检测方法, 同时也预测了未来虚拟化检测技术的发展方向。     

Kylin系统的内核级Rootkit防护

内核级rootkit是破坏内核完整性的最大威胁,它主要通过可加载模块方式和文件补丁方式破坏内核完整性。该文提出一种针对内核级rootkit威胁的防护模型,从一个可信根开始,开机引导验证完整性到系统运行时认证可加载模块,整个过程以信任链的形式传递,一级级度量,保证整个过程的可信赖性。讨论了该模型对系统性能的影响。     

Linux下基于交叉视图的隐蔽恶意代码检测

Rootkit是攻击者入侵操作系统后,用于秘密保留对目标机器的超级访问权限的一项技术.首先分析了内核级rootkit的原理,分析了现有的Iinux rootkit的检测方法并指出其中的不足.在此基础上,提出一种基于交叉视图的隐藏恶意代码自动检测方法,并提出了系统恢复的机制.提及的检测和恢复系统以可加载内核模块的形式实现,可还原被恶意修改的系统调用表的内容,终止隐藏的进程,移除隐藏的文件,阻止攻击网络流.实验数据表明提出的方法是有效可行的.     

基于Dalvik寄存器污点分析的Android漏洞检测方法*

针对Android应用中存在的漏洞易被恶意攻击者利用进行攻击的问题,提出了一种基于Dalvik寄存器污点分析的Android应用漏洞检测方法。首先对Android应用进行预分析以获取应用基本信息并构建函数调用图,然后将指定的Dalvik寄存器作为污点,实现对污点的前向分析和后向分析功能,最后使用脚本执行器连接预分析模块、污点分析模块和漏洞检测脚本,共同完成漏洞检测功能。基于该检测方法实现了原型系统AndroDetector并进行了对比性实验,实验结果表明此漏洞检测方法检测范围更广且准确率更高。     

Android内核钩子的混合检测技术

针对Android平台上内核级钩子检测的研究,提出了一种结合基于特征模式的静态检测技术和基于行为分析的动态检测技术的Android内核钩子检测技术,这两种技术的结合能够检测基于修改系统调用表项的攻击和基于内联钩子的攻击。为所提技术构建了软件原型系统并进行了实验评测,实验结果表明,提出的技术能够针对Android内核钩作出精确检测,并且运行时间开销在7%以内,具有良好运行效率,能够适用于Android内核钩子的混合。     

Android系统木马隐藏及检测技术

Android操作系统用户数量庞大,已经成为黑客攻击的重要目标。作为攻击Android操作系统的主要手段,特洛伊木马拥有良好的隐蔽性、欺骗性和破坏性。因此针对Android的木马隐藏及检测技术的研究也越来越有必要。文章首先从Linux内核和Android系统架构两个方面分析了Android操作系统的安全机制,针对Android平台下木马的隐藏技术和检测方法进行了详细论述,并提出了一种基于系统调用拦截的检测方法。     

一种基于JOP的rootkit构造方法

ROP是一种新的恶意代码构造方法,该方法可以利用系统中已有的代码来构造恶意程序,利用ROP构造的rootkit可以躲避目前已有的内核完整性保护机制的检测。由于ROP采用的以ret指令结尾的短指令序列具有一定的规律性,因此目前已经有很多防御手段能够对其进行防御。相比ROP而言,基于JOP[1]的rootkit构造方法没有明显的规律可言,因此目前针对ROP的防御手段都无法对其进行防御。此外,较传统的ROP而言该方法不会受限于内核栈的大小,而且构造过程中所使用到的数据在内存中的布局也比较灵活。     

Android vs. SEAndroid: An empirical assessment

Android has a layered architecture that allows applications to leverage services provided by the underlying Linux kernel. However, Android does not prevent applications from directly triggering the kernel functionalities through system call invocations. As recently shown in the literature, this feature can be abused by malicious applications and thus lead to undesirable effects. The adoption of SEAndroid in the latest Android distributions may mitigate the problem. Yet, the effectiveness of SEAndroid to counter these threats is still to be ascertained. In this paper we present an empirical evaluation of the effectiveness of SEAndroid in detecting malicious interplays targeted to the underlying Linux kernel. This is done by extensively profiling the behavior of honest and malicious applications both in standard Android and SEAndroid-enabled distributions. Our analysis indicates that SEAndroid does not prevent direct, possibly malicious, interactions between applications and the Linux kernel, thus showing how it can be circumvented by suitably-crafted system calls. Therefore, we propose a runtime monitoring enforcement module (called Kernel Call Controller) which is compatible both with Android and SEAndroid and is able to enforce security policies on kernel call invocations. We experimentally assess both the efficacy and the performance of KCC on actual devices.     

Android内核分析

介绍Android移动平台系统架构．通过对Android源代码的分析．将其与标准Linttx内核（2．6．27）源代码相比较,详细解析Android内核的功能更新,分析讨论Android内核与标准Linux内核之间的不同以及Android在移动平台上的优势．并对Android在各种内核之间做出一个定位,介绍Ubuntu环境下Android内核的获得与编译。     

Detecting and categorizing kernel-level rootkits to aid future detection

Existing techniques to detect kernel-level rootkits expose some infections, but they don't identify specific attacks. This rootkit categorization approach helps system administrators identify the extent of specific infections, aiding in optimal recovery and faster reactions to future attacks. The authors present a framework to detect and classify rootkits and discuss a methodology for determining if a system has been infected by a kernel-level rootkit. Once infection is established, administrators can create new signatures for kernel-level rootkits to detect them. The authors conducted their research on a Red Hat Linux-based system, but the methodology is applicable to other Linux distributions based on the standard Linux kernel. They also believe the method can apply to other Unix- and Windows-based systems.     

Linux下VFS层Rootkit技术研究

Linux下VFS层rootkit隐藏层次深,查杀难度大。其典型应用adore-ng在实际使用时无法屏蔽卡巴斯基等实时监控软件,破坏隐蔽效果。针对该问题,运用系统调用修改和VFS写函数内容过滤2种方法,设计并实现了相应的改进方案。仿真实验结果表明,该方案易于实现、效果良好,可以有效提高adore-ng的隐蔽性能。     

煤矿井下Android可视语音通信终端设计

提出了一种基于低功耗ARM Cortex-A8内核的煤矿井下可视语音通信终端设计方案,详细讨论了可视语音通信终端的功能、硬件组成和软件模块。该方案在Android嵌入式操作系统平台上,结合SIP协议和语音视频编解码器实现井下终端的可视语音通信功能。测试结果表明,可视语音通信终端整机功耗可控制在20W以内,能够实现本质安全设计;终端进行语音对讲时CPU负荷很轻,处理视频压缩和显示时,CPU平均使用率能够保持在50%以下,性能满足可视对讲需求。     

一种基于安全优先架构的细粒度可信监测度量方法

Linux下的Rootkit通常使用修改系统内核关键位置数据的手段破坏系统内核完整性。可信计算是保护系统内核完整性的重要方法,可以使用它对Rootkit攻击进行监测。相较传统的被动可信计算体系,主动可信计算体系因其对上层应用透明、安全机制与计算功能充分隔离、可信根完全受硬件保护等特点,可以更有效地进行系统内核完整性保护。但目前的主动可信监测度量方法存在监测结果粒度较粗的问题,不能为防御者进行攻击对抗提供更详细的信息。针对这一问题,本文提出了一种基于安全优先架构的细粒度可信监测度量方法,安全域通过解析计算域内存语义信息,实现符号级别的细粒度可信度量,得到可用来对攻击进行分析的监测结果。实验表明,该方法可以在计算域受到Rootkit攻击时检测到全部被篡改的.text和.rodata段的符号,使用该方法得到的细粒度监测结果可以用来分析Rootkit的攻击手段和攻击目的,同时该方法对计算域的性能几乎没有影响。     

Linux系统调用劫持:技术原理、应用及检测

系统调用劫持是黑客入侵系统后保留后门常用的一项技术。文章提出了利用可装入内核模块修改系统调用表和中断描述符表两种实现Linux系统调用劫持的方法,探讨了系统调用劫持技术在rootkit、入侵检测等方面的应用,并给出了利用kmem进行系统调用劫持检测的一般方法。该文的分析基于Intelx86平台上的2.4内核。