Details

Целью работы является защита мобильных устройств под управлением операционной системы Android от вредоносного программного обеспечения. Предметом исследования являются методы и технологии обнаружения вредоносного программного обеспечения в ОС Android. Задачи, решаемые в ходе исследования: 1. Провести анализ методов обнаружения вредоносного программного обеспечения в операционной системе Android. 2. Выделить особенности обнаружения вредоносного программного обеспечения программными средствами, использующими технологию аппаратной виртуализации. 3. Разработать метод обнаружения вредоносного программного обеспечения на основе технологии аппаратной виртуализации архитектуры ARM. 4. Разработать программное средство, реализующее предложенный метод и оценить точность его работы. В рамках исследования были выделены ключевые недостатки современных средств обнаружения вредоносного программного обеспечения в ОС Android. Вследствие чего, был предложен метод обнаружения вредоносных приложений на основе аппаратной виртуализации, решающий основные проблемы существующих методов. В результате был разработан программный прототип, реализующий данный метод, и оценена его точность на практике.

The purpose of the study is protecting mobile devices based on Android operating system from malware software. The subject of the work is methods and technologies of malware software detection in OS Android. The research set the following goals: 1. analyze the methods of malware software detection in OS Android; 2. highlight the features of malware software detection by tools, using hardware virtualization technology; 3. propose the method of malware software detection based on hardware virtualization technology of ARM architecture; 4. develop tool implementing proposed method and evaluate the accuracy of its work. The study identified key disadvantages of modern malware detection tools in Android OS. As a result, malware software detection method based on hardware virtualization was proposed, solving the main problems of existing methods. As a result, a tool implementing this method was developed and its accuracy was evaluated in practice.

• РЕФЕРАТ
• ABSTRACT
• Содержание
• Определения, обозначения и сокращения
• Введение
• 1 Обзор методов обнаружения вредоносного программного обеспечения в ОС Android
  • 1.1 Структура APK
  • 1.2 Основные типы вредоносных приложения в ОС Android
    • 1.2.1 Программное обеспечение типа троянский конь (trojan)
    • 1.2.2 Программное обеспечение типа бэкдор (backdoor)
    • 1.2.3 Программное обеспечение типа червь (worm)
    • 1.2.4 Программное обеспечение типа ботнет (botnet)
    • 1.2.5 Программное обеспечение типа шпионское приложение (spyware)
    • 1.2.6 Программное обеспечение типа вымогатель (ransomware)
    • 1.2.7 Программное обеспечение типа потенциально опасное (riskware)
    • 1.2.8 Выводы
  • 1.3 Основные подходы к анализу Android приложений
    • 1.3.1 Статический анализ
      • 1.3.1.1 Исследование разрешений
      • 1.3.1.2 Анализ API-вызов
      • 1.3.1.3 Taint-анализ
      • 1.3.1.4 Анализ строковых констант
    • 1.3.2 Динамический анализ
      • 1.3.2.1 Анализ сетевого трафика
      • 1.3.2.2 Taint-анализ
      • 1.3.2.3 Бинарная инструментация
      • 1.3.2.4 Отслеживание системных вызовов
  • 1.4 Подходы к усложнению проведения анализа Android приложений
    • 1.4.1 Методы усложнения проведения статического анализа
      • 1.4.1.1 Шифрование
      • 1.4.1.2 Переименование
      • 1.4.1.3 Рефлексия
      • 1.4.1.4 Использование NDK
    • 1.4.2 Подходы к усложнению проведения динамического анализа
      • 1.4.2.1 SSL pinning
      • 1.4.2.2 Проверка целостности
      • 1.4.2.3 Обнаружение root, отладчика, эмулятора
      • 1.4.2.4 Отслеживание внедрения в память
  • 1.5 Исследование научных работ в области обнаружения вредоносного программного обеспечения в ОС Android
  • 1.6 Архитектурные ограничения ОС Android в рамках задачи обнаружения вредоносного программного обеспечения
  • 1.7 Выводы
• 2 Исследование особенностей программных средств на основе технологии аппаратной виртуализации для обнаружения вредоносного программного обеспечения
  • 2.1 Общая теория виртуализации
    • 2.1.1 Реализация виртуализации ОС
      • 2.1.1.1 Программная эмуляция
      • 2.1.1.2 Бинарная трансляция
      • 2.1.1.3 Аппаратная виртуализация
      • 2.1.1.4 Паравиртуализация
    • 2.1.2 Классификация гипервизоров
      • 2.1.2.1 Классификация по способу запуска
      • 2.1.2.2 Классификация по архитектуре
  • 2.2 Обзор применения технологии аппаратной виртуализации в рамках ОС Android
    • 2.2.1 Google AVF
    • 2.2.2 Samsung RKP
    • 2.2.3 Huawei Hypervisor Execution Environment
    • 2.2.4 MediaTek GenieZone
  • 2.3 Исследование научных работ в области обнаружения вредоносного программного обеспечения с применением технологии аппаратной виртуализации в архитектуре x86
  • 2.4 Выводы
• 3 Разработка метода обнаружения вредоносного программного обеспечения на основе технологии аппаратной виртуализации архитектуры ARM
  • 3.1 Разработка метода обнаружения вредоносного программного обеспечения
    • 3.1.1 Модуль контроля
    • 3.1.2 Модуль перехвата
  • 3.2 Анализ преимуществ и недостатков предложенного метода
  • 3.3 Выводы
• 4 Программная реализация предложенного метода
  • 4.1 Реализация модуля контроля
    • 4.1.1 Реализация методов статического анализа
    • 4.1.2 Реализация методов динамического анализа
  • 4.2 Реализация модуля перехвата
  • 4.3 Выводы
• 5 Экспериментальная оценка
  • 5.1 Формирование набора данных
  • 5.2 Тестирование реализованного программного прототипа
  • 5.3 Выводы
• Заключение
• Список использованных источников
• ПРИЛОЖЕНИЕ. EL1 модуль