文章目錄

• 一、惡意軟件判定規則
• 二、惡意軟件的范圍定義

一、惡意軟件判定規則

---

在 【Android 插件化】基于插件化的惡意軟件的加載策略分析 ( 自定義路徑加載插件 | 系統路徑加載插件 | 用戶同意后加載插件 | 隱藏惡意插件 ) 博客中介紹了 $4$ 種插件加載運行策略 ;

在 VAHunt: Warding Off New Repackaged Android Malware in App-Virtualization’s Clothing 中給出了判定 插件化軟件 是否是惡意軟件的標準 ;

Google 官方明確反對 靜默加載插件 和 隱藏應用操作 , 上述兩個操作都會被認定為惡意操作 ;

應用中存在虛擬化引擎 , 不一定會加載插件 , 只有 " 自定義路徑加載插件 " , " 系統路徑加載插件 " 確定發生了 , 才能確定該虛擬化引擎加載了插件 ;

VAHunt 中定義了一個靜默加載策略 , 用于判定應用是否是惡意應用 ;

如果一個插件化應用軟件 , 有 " 自定義路徑加載插件 " 或者 " 系統路徑加載插件 " 中的其中之一操作 , 同時 如果出現 " 不經用戶同意加載插件 " 的行為 , 那么就可以認定該 插件化應用 是 惡意應用 ;

如果同時具備
① " 自定義路徑加載插件 " 或者 " 系統路徑加載插件 " 中的其中之一操作 ,
② " 不經用戶同意加載插件 " 的行為 ,
③ " 隱藏惡意插件 " 行為 ,
$3$ 個條件 , 那么該插件化應用的惡意程度更加嚴重 ;

如果同時具備
① " 自定義路徑加載插件 " 或者 " 系統路徑加載插件 " 中的其中之一操作 ,
② " 隱藏惡意插件 " 行為 ,
$2$ 個條件 , 那么該插件化應用會被標記為可疑應用 , 可能是惡意軟件 , 也可能是用戶選擇不創建 Launcher 應用啟動圖標 ;

二、惡意軟件的范圍定義

---

這個判定規則個人感覺有點嚴格 , 感覺很多公司的插件化操作 , 是不經過用戶同意的 ; ( 本專欄的前半部分開發的插件化應用示例 , 會被 VAHunt 判定為惡意軟件 , 因為加載插件前沒有經過用戶同意 )

這個 惡意軟件 的范圍定義很大 , 只要是違反了 Google 的安全政策 , 都可以被判定為惡意軟件 , 并不是只有作出惡意行為的 APK 會被判定為惡意軟件 ;

假如插件中作出了惡意行為 , 如盜取用戶數據 , 攔截電話 等操作 ; 插件安裝前經過用戶同意了 , 則不會被判定為惡意軟件 ;

VAHunt 準確的說是檢測使用了 插件化引擎 的軟件中 , 那些不經過用戶同意 , 就私自安裝插件的軟件 , 僅僅是檢測這一類的軟件 ;

總結

以上是生活随笔為你收集整理的【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。