Browse By

Quark-Engine – Um sistema de pontuação para malware Android com ofuscamento por negligência

Um Obfuscation-Neglectmalware para AndroidScoring System

O mecanismo de análise de malware do Android não é uma história nova. Todaempresa de antivírus tem seus próprios segredos para construí-lo. Com curiosidade, desenvolvemos um sistema de pontuação de malware da perspectiva do Direito Penal de Taiwan de uma maneira fácil, mas sólida.
Temos uma teoria da ordem criminal que explica os estágios de cometer um crime. Por exemplo, o crime de assassinato consiste em cinco etapas: são determinadas, conspiração, preparação, início e prática. Quanto mais tarde o estágio, mais temos certeza de que o crime é praticado.
De acordo com o princípio acima,we developed our order theory of android malware. Desenvolvemos cinco estágios para verificar se a atividade maliciosa está sendo praticada. Eles são 1. Permissão solicitada. 2. Chamada de API nativa. 3. Determinada combinação de API nativa. 4. Sequência de chamadas da API nativa. 5. APIs que manipulam o mesmo registro. Não apenas definimos atividades maliciosas e seus estágios, mas também desenvolvemos pesos e limites para calcular o nível de ameaça de um malware.
O malware evoluiu com novas técnicas para obter dificuldades para a engenharia reversa. A ofuscação é uma das técnicas mais usadas. Nesta palestra, apresentamos um carregador de bytecodes da Dalvik com a teoria das ordens de malware para Android para negligenciar certos casos de ofuscação.
carregador de bytecode Dalvik Our Dalvik consiste em funcionalidades como 1. Encontrar referência cruzada e sequência de chamada da API nativa. 2. Rastreando o registro de bytecode. A combinação dessas funcionalidades (sim, a teoria da ordem) não apenas pode negligenciar a ofuscação, mas também combina perfeitamente com o design do nosso sistema de pontuação de malware. Relatório detalhado É assim que examinamos um malware Android real (milho doce) com uma única regra (crime).

$ quark -a sample/14d9f1a92dd984d6040cc41ed06e273e.apk \
                 -r rules/ \
                 --detail

Relatório Resumo
Examine com as regras.

quark -a sample/14d9f1a92dd984d6040cc41ed06e273e.apk \
               -r rules/ \
               --easy

Instalação

$ git clone https://github.com/quark-engine/quark-engine.git; cd quark-engine/quark
$ pipenv install
$ pipenv shell
$ python setup.py install

Verifique se a sua versão python é 3.7, ou você pode alterá-la Pipfilepara o que possui.

Uso

$ quark --help
usage: quark [-h] [-e] [-d] -a APK -r RULE

optional arguments:
  -h, --help            show this help message and exit
  -e, --easy            show easy report
  -d, --detail          show detail report
  -a APK, --apk APK     APK file
  -r RULE, --rule RULE  Rules need to be checked

Baixar Quark-Engine

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.