admin管理员组文章数量:1530518
2024年7月4日发(作者:)
主流Android安全软件对比及功能分析
一、主流Android安全软件一览
网秦安全:
主要功能:
1. 杀毒:扫描,实时防护,上网防护;
2. 隐私保护:根据已安装程序获取的权限;
3. 流量监控;
4. 其他功能:如系统设置优化,通讯录备份,手机防盗等;
360手机卫士:
主要功能:
1. 杀毒:扫描,实时防护;
2. 流量监控;
3. 防骚扰;
4. 其他功能:常用号码,系统配置优化,隐私空间等;
AVG Mobilation Antivirus:
主要功能:
1. 杀毒;
2. 系统安全配置建议:如关闭未知源,关闭USB调试;
3. 其他功能:其他文件内容扫描;
金山手机卫士:
主要功能:
1. 杀毒:快速扫描,云查杀,深度扫描;
2. 防骚扰;
3. 流量监控;
4. 软件监控:软件的下载、安装和启动时监控;
5. 其他功能:如手机防盗,短信管理,通话管理,进程管理,私密空间等;
QQ手机管家
主要功能:
1. 杀毒;
2. 权限监控:根据已安装程序获取的权限;
3. 扣费短信扫描;
4. 其他功能:系统配置优化,通信录备份,软件管理,号码归属地查询,手
机令牌(用于其他腾讯产品的安全登录)等;
Dr. Web
主要功能:
1. 杀毒:快速扫描,全盘扫描;
2. 实时防护;
LBE 隐私卫士
主要功能:
1. 敏感API用监控:如发送短信,访问网络,读取通讯录或短信,获取小区
基站信息等;
杀毒先锋
主要功能:
1. 杀毒:本地查杀,云查杀;
2. 实时监控;
3. 防护日志;
4. 热点病毒播报;
二、主流安全软件功能分析:
综上比较几款安全软件,核心的功能有:杀毒扫描、实时监控、流量监控
等,详见如下表格:
网秦安全
杀毒扫描 实时监控 行为监控 流量监控 权限管理 防骚扰 系统优化
√ √
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
√
360手机卫士 √
AVG √
金山手机卫士 √
QQ管家
√
√
LBE隐私卫士
杀毒先锋
√
由此可见,对于一款任意的安全软件,实时监控是必备功能,特别是对于新
安装应用,及时对已知恶意程序进行识别查杀。
对于LBE隐私卫士,由于其并非杀毒软件,其实时监控没有杀毒扫描功能,
而是对新安装软件进行权限配置,杜绝一款软件获取超出其正常运行需要获取的权
限,对敏感API调用进行监控。
对于杀毒软件通常包含一种以上的杀毒扫描方式,如下图:
本地扫描通常包含快速扫描和深度扫描两种方式:
快速扫描通常是扫描系统的软件安装目录(如/system/app 和/data/app),
对已安装程序进行查杀;
深度扫描扩大扫描范围,包含SD卡,媒体文件夹等其他可访问文件系统,检
查收藏夹,通讯录,收件箱是否有可疑内容等;
本地扫描优点是不依赖于网络,缺点是需要定期更新病毒库;
云查杀通常是提取已安装程序的特征码,通过联网上传至远端服务器,然后
讲远端扫描结果反馈回终端,其优点是查杀更精准,无需本地存储病毒库,降低手
机资源消耗,缺点是依赖于网络。
三、代码初步分析:
实时监控对于新安装软件进行扫描,以AVG Mobilation Antivirus分析为
例:
1. 软件启动AVService 服务,监听系统事件,比如当有新的软件安装时,
调用handleMessage(),跳转到函数onNewPackage():
2. 之后启动安装包扫描引擎:
3. 通过关键字匹配,判别安装包中是否包含可疑代码:
4. 关键字是保存在名为
(/data/data/rus/files)的unicode编码的配置文件中;
记录了一个文件的扫描过程:
针对以上代码分析,我做如下验证测试:
由于内容是明文,根据其中关键字我们写个包含有其中关键字
的测试例(包名为“LE”):
安装后就会立刻出发Antivirus报警:
执行本地扫描也可以检测出来:
如上测试可以说明上述代码逻辑分析基本准确。
小结:
因为作为分析样例的AVG是尚未混淆过的,其病毒库也未加密,总体分析起
来比较方便,逆向后的代码可读性较高。
相比之下其他的常见杀毒软件的安装包都经过混淆加密处理,并且机制也更
先进:采用ARM EABI方式实现,引擎的核心代码都有C或C++开发,生成linux
的动态调用库,如手机卫士的动态库如下:
在android 程序的实现里面只要调用native接口即可,这样把核心引擎的
实现完全隐藏起来,而且执行效率较高:
手机卫士里的病毒库存储方式与AVG也不同,其分别是两个SQLiteDatabase
类型的数据库分别是, antivirus_:
其数据标签包含MD5等信息,猜测是病毒类型通过MD5来匹配,需要进一步
研究:
与手机卫士相似,LBE安全卫士(最新版本叫做:LBE安全大师)也是核心代
码用本地实现,因此逆向后可分析的空间相对不大,根据晚上相关资料得知,其大
体上采用的是进程注入技术,其他程序调用敏感API时会先激发LBE的程序,LBE
进行相关处理和用户授权提示操作后再回调正常系统API,从而达到安全的监控目
的,不过我觉得有一点是相对需要改进的,即假如是个恶意的程序发送短信或者获
取隐私数据,调用到敏感API时,提示用户操作,可能由于用户缺乏安全意识或相
关经验而允许应用进行相关操作,这样便对用户的手机安全造成了隐患,如果能结
合病毒库加入操作推荐功能就十分强大了。
附上关于LBE的网络上相关分析信息: 和
版权声明:本文标题:主流Android安全软件对比及功能分析 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/xitong/1720055154a819580.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论