【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义
文章目錄
- 一、惡意軟件判定規(guī)則
- 二、惡意軟件的范圍定義
一、惡意軟件判定規(guī)則
在 【Android 插件化】基于插件化的惡意軟件的加載策略分析 ( 自定義路徑加載插件 | 系統(tǒng)路徑加載插件 | 用戶同意后加載插件 | 隱藏惡意插件 ) 博客中介紹了 444 種插件加載運行策略 ;
在 VAHunt: Warding Off New Repackaged Android Malware in App-Virtualization’s Clothing 中給出了判定 插件化軟件 是否是惡意軟件的標準 ;
Google 官方明確反對 靜默加載插件 和 隱藏應用操作 , 上述兩個操作都會被認定為惡意操作 ;
應用中存在虛擬化引擎 , 不一定會加載插件 , 只有 " 自定義路徑加載插件 " , " 系統(tǒng)路徑加載插件 " 確定發(fā)生了 , 才能確定該虛擬化引擎加載了插件 ;
VAHunt 中定義了一個靜默加載策略 , 用于判定應用是否是惡意應用 ;
如果一個插件化應用軟件 , 有 " 自定義路徑加載插件 " 或者 " 系統(tǒng)路徑加載插件 " 中的其中之一操作 , 同時 如果出現(xiàn) " 不經(jīng)用戶同意加載插件 " 的行為 , 那么就可以認定該 插件化應用 是 惡意應用 ;
如果同時具備
① " 自定義路徑加載插件 " 或者 " 系統(tǒng)路徑加載插件 " 中的其中之一操作 ,
② " 不經(jīng)用戶同意加載插件 " 的行為 ,
③ " 隱藏惡意插件 " 行為 ,
333 個條件 , 那么該插件化應用的惡意程度更加嚴重 ;
如果同時具備
① " 自定義路徑加載插件 " 或者 " 系統(tǒng)路徑加載插件 " 中的其中之一操作 ,
② " 隱藏惡意插件 " 行為 ,
222 個條件 , 那么該插件化應用會被標記為可疑應用 , 可能是惡意軟件 , 也可能是用戶選擇不創(chuàng)建 Launcher 應用啟動圖標 ;
二、惡意軟件的范圍定義
這個判定規(guī)則個人感覺有點嚴格 , 感覺很多公司的插件化操作 , 是不經(jīng)過用戶同意的 ; ( 本專欄的前半部分開發(fā)的插件化應用示例 , 會被 VAHunt 判定為惡意軟件 , 因為加載插件前沒有經(jīng)過用戶同意 )
這個 惡意軟件 的范圍定義很大 , 只要是違反了 Google 的安全政策 , 都可以被判定為惡意軟件 , 并不是只有作出惡意行為的 APK 會被判定為惡意軟件 ;
假如插件中作出了惡意行為 , 如盜取用戶數(shù)據(jù) , 攔截電話 等操作 ; 插件安裝前經(jīng)過用戶同意了 , 則不會被判定為惡意軟件 ;
VAHunt 準確的說是檢測使用了 插件化引擎 的軟件中 , 那些不經(jīng)過用戶同意 , 就私自安裝插件的軟件 , 僅僅是檢測這一類的軟件 ;
總結(jié)
以上是生活随笔為你收集整理的【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 【Android 插件化】基于插件化的恶
- 下一篇: 【Android 插件化】现有的针对插件