面向Android平臺動靜態(tài)結合的洞挖掘引擎的設計與實現(xiàn).pdf

1、隨著軟硬件技術的不斷發(fā)展和移動互聯(lián)網(wǎng)的不斷普及，移動通信與智能終端已經(jīng)走進千家萬戶，并且不斷改變著人們的生活、工作和娛樂方式。在眾多移動操作系統(tǒng)中，Android系統(tǒng)以其獨有的優(yōu)勢，占據(jù)市場份額排名第一。然而隨著Android系統(tǒng)用戶的不斷增加，基于Android平臺開發(fā)的應用程序數(shù)量也猶如井噴。雖然Android系統(tǒng)本身提供了較為健全的安全機制如沙箱機制、權限機制等等，但在惡意攻擊者的不斷攻擊和安全研究人員對Android系統(tǒng)安全性的

2、不斷研究下，Android系統(tǒng)仍暴露出了大量安全漏洞，比如Android系統(tǒng)漏洞導致提權、隱私泄漏、協(xié)議漏洞等等各種問題。
　　根據(jù)各大公司和機構的近期統(tǒng)計數(shù)據(jù)，Android應用程序漏洞數(shù)量仍呈現(xiàn)出大幅增長的態(tài)勢，已經(jīng)嚴重威脅到Android系統(tǒng)的安全。因此，本文對面向Android平臺動靜態(tài)集合的漏洞掃描引擎做了需求分析，介紹了Android系統(tǒng)現(xiàn)有的安全機制，進而又分別介紹了動靜態(tài)掃描各自的優(yōu)劣勢，以及動靜態(tài)結合的分析方法，

3、設計并實現(xiàn)了面向Android平臺應用程序的動靜態(tài)結合漏洞挖掘引擎。首先通過對反編譯后生成的Smali代碼進行解析并構造出Smali語法樹與應用程序控制流圖CFG，進而對Android平臺應用程序常見漏洞進行分析并提取規(guī)則，完成本系統(tǒng)的靜態(tài)漏洞掃描部分。針對Android應用程序本地拒絕服務漏洞，本文設計并實現(xiàn)了基于Fuzzing的動態(tài)模糊測試方法，通過向外對暴露組件發(fā)送經(jīng)過畸形數(shù)據(jù)構造的Intent，使應用程序發(fā)生崩潰，進而挖掘出漏洞