Android恶意软件模拟器检测技术
前言 下面的报告来自SophosLabs实验室的Android安全专家陈宇,还有来自Android组的成员William Lee, Jagadeesh Chandraiah and Ferenc László Nagy的帮助。 随着Android恶意软件的数量的持续增长,它紧随Windows下的应用采用的用于逃脱模拟器的技术,用来防止被动态分析。在这篇文章中,我们将展示一些用于模拟器检测的技术。 模拟器是一种可以允许一台电脑(主机)模拟另外一台电脑(客户机)的硬件或软件。通常,它允许主机系统运行软件或者使用外部设备来模拟器客户机系统。在安全方面,用它很容易检测恶意软件的行为,这也是为什么恶意软件的作者很想避免运行于模拟器。 模拟器检测技术在许多不同的Android恶意软件家族中均被发现了,最近的一款是在Google Play发现的Android加载广告的恶意软件。 于是,下面是SophosLabs实验室发现的6中常用的模拟器检测技术: 1. 检测手机服务信息 所有模拟器检测的关键是确定模拟器和真机设备的运行环境之间的差异。首先,模拟器上面的设备ID、手机号、IMEI号和IMSI号都不同...
