無(wú)害程序(重打包名為DogoWar): 這個(gè)測(cè)試使用了一個(gè)在屏幕上顯示“Hello world!”的無(wú)害程序�。與上面提到的DogoWar唯一的相同點(diǎn)就是程序的名字��。如果殺軟將這個(gè)程序列為惡意程序���,將被看做是一種誤判����。
應(yīng)用程序(被Rabies感染) :這個(gè)測(cè)試是模擬一個(gè)帶有已知病毒的合法的未知程序��,即將上面使用的無(wú)害程序“hello world”被com.dogbite.rabies惡意服務(wù)感染后再安裝到手機(jī)中�����,查看各個(gè)殺軟的效果��。
如果殺軟有所動(dòng)作�,說(shuō)明它能夠從合法的軟件代碼中找出惡意代碼��。目前電腦中的殺軟主要采用啟發(fā)式掃描的方法來(lái)實(shí)現(xiàn)這個(gè)功能�����。目前智能手機(jī)上的安全軟件可能也會(huì)有這個(gè)功能��,但是手機(jī)系統(tǒng)的硬件資源不一定能負(fù)擔(dān)的起這種功能的資源需求。
Adrienne的評(píng)論
我將上面的這些測(cè)試結(jié)果發(fā)給了我們的安卓技術(shù)指導(dǎo)�,博士生Adrienne,她看過(guò)之后發(fā)來(lái)了下面這段評(píng)論:
“看上去這些殺軟并不會(huì)對(duì)重新打包的DogoWar進(jìn)行掃描���,因?yàn)槟壳耙阎腄ogoWar只有一種傳播程序�?�?赡軞④泴?duì)于具有大量變種的惡意代碼會(huì)有更精確的掃描方式���。”
這對(duì)于William來(lái)說(shuō)是個(gè)不錯(cuò)的提示���,于是他又打算使用一個(gè)名為DroidDeluxe的惡意代碼進(jìn)行進(jìn)一步的測(cè)試。
DroidDeluxe: 這是一個(gè)基于安卓系統(tǒng)的root exploit程序���。它可以在用戶不知情的情況下獲取手機(jī)管理權(quán)限�����。
無(wú)害程序(重新打包名為DroidDeluxe) 同樣還是一個(gè)只能顯示“Hello world!”的程序����,我們將其重新打包命名為DroidDeluxe ��。如果安全軟件將其標(biāo)記出來(lái),說(shuō)明是誤判��。
DroidDeluxe (重新打包): 我們利用反匯編器對(duì)這個(gè)惡意軟件進(jìn)行重新打包���,將其內(nèi)部名稱修改�,但是其余代碼不做任何變動(dòng)����。如果安全軟件在掃描內(nèi)部名稱的同時(shí)也會(huì)掃描程序代碼,就會(huì)發(fā)現(xiàn)DroidDeluxe病毒�,否則就不會(huì)發(fā)現(xiàn)����。
William的點(diǎn)評(píng)
由于通過(guò)測(cè)試, William對(duì)于這幾款安全軟件有了相當(dāng)?shù)恼J(rèn)識(shí)��,我求他對(duì)于每個(gè)安全軟件進(jìn)行一些點(diǎn)評(píng):
AVG:
· 該軟件的掃描速度要慢于其它軟件
· 加載文件系統(tǒng)后�,AVG不會(huì)自動(dòng)掃描SD卡中的文件
· 只掃描代碼的內(nèi)部打包名稱,導(dǎo)致誤判
· 只在軟件安裝過(guò)程中對(duì)軟件進(jìn)行掃描
· 無(wú)法有效檢測(cè)重打包的惡意軟件
· AVG 只檢測(cè)惡意軟件的打包名稱
Lookout:
· 如果惡意代碼不被安裝���,就無(wú)法將其檢測(cè)出來(lái)���。
· 用戶界面超簡(jiǎn)潔��。
· 有誤判情況
· 可以檢測(cè)出重新打包的惡意軟件��,說(shuō)明它不止掃描代碼的打包名稱���。
McAfee:
· 入侵式安裝。試用版要求7天內(nèi)注冊(cè)���。為手機(jī)增加SMS短信驗(yàn)證功能�。
· 沒(méi)有誤報(bào)��,能夠截獲抑制病毒�,包括重新打包的惡意代碼。
Norton:
· 非入侵式安裝�,但是安裝過(guò)程有些繁瑣
· 四個(gè)真正的病毒威脅只掃描到了一個(gè)
· 沒(méi)有誤報(bào)
Trend Micro:
· 軟件最近重新修改過(guò)
· 新版本具有較好的用戶體驗(yàn)
· 老版本還在網(wǎng)上流傳
· 沒(méi)有成功捕獲一個(gè)威脅
Adrienne的評(píng)論
做完測(cè)試后,William和我都在忐忑的等待Adrienne的評(píng)論:
“安卓系統(tǒng)上的惡意軟件相比臺(tái)式機(jī)要稀少的多�,但是最近也逐漸出現(xiàn)了。手機(jī)用戶如果從非官方渠道下載應(yīng)用軟件���,應(yīng)該小心可能產(chǎn)生的安全問(wèn)題���,最好要安裝一個(gè)安全軟件。
你們的測(cè)試結(jié)果表明安卓系統(tǒng)上的惡意軟件掃描是一個(gè)比較新的領(lǐng)域,并不是所有知名品牌的安全產(chǎn)品在手機(jī)平臺(tái)都能取得良好的效果�����。
從技術(shù)角度講��,目前手機(jī)安全軟件面臨的一個(gè)問(wèn)題是如何識(shí)別合法程序中重新打包的惡意代碼�。我們目前看到市面上傳播的很多惡意代碼都是通過(guò)這種方式進(jìn)行傳播的,因此這方面的掃描技術(shù)要加強(qiáng)��。
不過(guò)這個(gè)問(wèn)題也確實(shí)不好處理�,因?yàn)榘踩浖残枰苊膺^(guò)多的誤判,如果采用啟發(fā)式查毒��,將正常的程序誤判為病毒�����,用戶也會(huì)覺(jué)得產(chǎn)品不夠聰明和可靠�����。在這方面我也和同事們一起正在研究��,希望未來(lái)幾個(gè)月后會(huì)有有效的解決方案����。”
總結(jié)
首先我要感謝那些安卓系統(tǒng)安全軟件的開發(fā)人員。通過(guò)這次測(cè)試��,我認(rèn)識(shí)到了他們對(duì)于安卓平臺(tái)所作的努力和取得的成果����。
而之所以要做這個(gè)評(píng)測(cè),也是William和我出于對(duì)所有使用手機(jī)安全產(chǎn)品的用戶負(fù)責(zé)的原因�����,希望大家不要誤以為手機(jī)安全軟件只是擺設(shè)�。
