主流Android安全软件对比及功能分析

admin管理员组

文章数量:1530518

2024年7月4日发(作者：)

主流Android安全软件对比及功能分析

一、主流Android安全软件一览

网秦安全：

主要功能：

1. 杀毒：扫描，实时防护，上网防护；

2. 隐私保护：根据已安装程序获取的权限；

3. 流量监控；

4. 其他功能：如系统设置优化，通讯录备份，手机防盗等；

360手机卫士：

主要功能：

1. 杀毒：扫描，实时防护；

2. 流量监控；

3. 防骚扰；

4. 其他功能：常用号码，系统配置优化，隐私空间等；

AVG Mobilation Antivirus：

主要功能：

1. 杀毒；

2. 系统安全配置建议：如关闭未知源，关闭USB调试；

3. 其他功能：其他文件内容扫描；

金山手机卫士：

主要功能：

1. 杀毒：快速扫描，云查杀，深度扫描；

2. 防骚扰；

3. 流量监控；

4. 软件监控：软件的下载、安装和启动时监控；

5. 其他功能：如手机防盗，短信管理，通话管理，进程管理，私密空间等；

QQ手机管家

主要功能：

1. 杀毒；

2. 权限监控：根据已安装程序获取的权限；

3. 扣费短信扫描；

4. 其他功能：系统配置优化，通信录备份，软件管理，号码归属地查询，手

机令牌（用于其他腾讯产品的安全登录）等；

Dr. Web

主要功能：

1. 杀毒：快速扫描，全盘扫描；

2. 实时防护；

LBE 隐私卫士

主要功能：

1. 敏感API用监控：如发送短信，访问网络，读取通讯录或短信，获取小区

基站信息等；

杀毒先锋

主要功能：

1. 杀毒：本地查杀，云查杀；

2. 实时监控；

3. 防护日志；

4. 热点病毒播报；

二、主流安全软件功能分析：

综上比较几款安全软件，核心的功能有：杀毒扫描、实时监控、流量监控

等，详见如下表格：

网秦安全

杀毒扫描 实时监控 行为监控 流量监控 权限管理 防骚扰 系统优化

√ √

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

√

360手机卫士 √

AVG √

金山手机卫士 √

QQ管家

√

√

LBE隐私卫士

杀毒先锋

√

由此可见，对于一款任意的安全软件，实时监控是必备功能，特别是对于新

安装应用，及时对已知恶意程序进行识别查杀。

对于LBE隐私卫士，由于其并非杀毒软件，其实时监控没有杀毒扫描功能，

而是对新安装软件进行权限配置，杜绝一款软件获取超出其正常运行需要获取的权

限，对敏感API调用进行监控。

对于杀毒软件通常包含一种以上的杀毒扫描方式，如下图：

本地扫描通常包含快速扫描和深度扫描两种方式：

快速扫描通常是扫描系统的软件安装目录（如/system/app 和/data/app），

对已安装程序进行查杀；

深度扫描扩大扫描范围，包含SD卡，媒体文件夹等其他可访问文件系统，检

查收藏夹，通讯录，收件箱是否有可疑内容等；

本地扫描优点是不依赖于网络，缺点是需要定期更新病毒库；

云查杀通常是提取已安装程序的特征码，通过联网上传至远端服务器，然后

讲远端扫描结果反馈回终端，其优点是查杀更精准，无需本地存储病毒库，降低手

机资源消耗，缺点是依赖于网络。

三、代码初步分析：

实时监控对于新安装软件进行扫描，以AVG Mobilation Antivirus分析为

例：

1. 软件启动AVService 服务，监听系统事件，比如当有新的软件安装时，

调用handleMessage()，跳转到函数onNewPackage()：

2. 之后启动安装包扫描引擎：

3. 通过关键字匹配，判别安装包中是否包含可疑代码：

4. 关键字是保存在名为

（/data/data/rus/files）的unicode编码的配置文件中；

记录了一个文件的扫描过程：

针对以上代码分析，我做如下验证测试：

由于内容是明文，根据其中关键字我们写个包含有其中关键字

的测试例（包名为“LE”）:

安装后就会立刻出发Antivirus报警：

执行本地扫描也可以检测出来：

如上测试可以说明上述代码逻辑分析基本准确。

小结：

因为作为分析样例的AVG是尚未混淆过的，其病毒库也未加密，总体分析起

来比较方便，逆向后的代码可读性较高。

相比之下其他的常见杀毒软件的安装包都经过混淆加密处理，并且机制也更

先进：采用ARM EABI方式实现，引擎的核心代码都有C或C++开发，生成linux

的动态调用库，如手机卫士的动态库如下：

在android 程序的实现里面只要调用native接口即可，这样把核心引擎的

实现完全隐藏起来，而且执行效率较高:

手机卫士里的病毒库存储方式与AVG也不同，其分别是两个SQLiteDatabase

类型的数据库分别是, antivirus_:

其数据标签包含MD5等信息，猜测是病毒类型通过MD5来匹配，需要进一步

研究：

与手机卫士相似，LBE安全卫士（最新版本叫做：LBE安全大师）也是核心代

码用本地实现，因此逆向后可分析的空间相对不大，根据晚上相关资料得知，其大

体上采用的是进程注入技术，其他程序调用敏感API时会先激发LBE的程序，LBE

进行相关处理和用户授权提示操作后再回调正常系统API，从而达到安全的监控目

的，不过我觉得有一点是相对需要改进的，即假如是个恶意的程序发送短信或者获

取隐私数据，调用到敏感API时，提示用户操作，可能由于用户缺乏安全意识或相

关经验而允许应用进行相关操作，这样便对用户的手机安全造成了隐患，如果能结

合病毒库加入操作推荐功能就十分强大了。

附上关于LBE的网络上相关分析信息： 和

本文标签： 扫描监控软件手机