识别Android rootkit

Question

目前正在参与一个大学项目，可以从成员那里获得任何关于为Android设计的rootkit的帮助。

我对Android恶意软件知之甚少，到目前为止，这个项目已经让我们反编译了apk来查看java类文件(如果可读)和AndroidManfiest.xml文件。我还成功地在uni实验室中使用各种adb命令启动了一部手机，并将文件推送到其中。

我想知道的是，在类文件中发现恶意rootkit代码是否相对容易？有什么我可以留心的吗？这是获取su状态的情况还是涉及添加用户的情况？假设下一阶段是联系服务器，这样开发人员就可以远程访问。

此外，是否有系统或服务可以处理包含rootkit (不仅仅是恶意的)的apk来识别？

回复：

嗨，很抱歉回复晚了--我试着立即回复，但因为我是新人，所以不被允许，但后来忘记了！

谢谢为我提供信息!我知道我可能听起来很天真，但我想我必须明白，因为我对rootkit或它们的工作方式一无所知。

你说得对，他们不是在问第三方扫描仪，那只是我的兴趣。那么，关于这个话题，你是说有专门在样本中寻找rootkit的扫描器吗？或者，这种检测是他们提供的全部反病毒服务的一部分。如果只针对rootkit，那么我真的很想知道是哪些，这样我就可以研究它们了。

另外，关于漏洞的利用--我想你是指Android操作系统中的一个漏洞？这是否意味着当谷歌推出补丁更新时，rootkit就无法运行了？

谢谢

Answer 1

一个笨拙的rootkit试图秘密地获得特定的访问权限。因此，你对它如何做业务的任何概括都可能已经被任何好的rootkit解决了。

“设置su状态”很难被称为“rootkit”，这只是你给应用程序提供的“使用root权限”。rootkit会寻找一种方法，通过利用某种bug，在没有许可的情况下实际获得它。

发现这些东西的服务系统通常被称为病毒和/或mallware扫描程序。是的，它们确实存在。

不是否定，但这似乎是一篇关于这个主题的天真的帖子，对于一个项目来说可能不是一个好的开始:我想说的是，使用第三方恶意软件扫描程序可能不是被要求的？

例如，您可以查找已知的利用方法。出于某种原因，出现在脑海中的是溢出，但这只是一个随机事件。阅读rootkits，它们的方法，启发式方法等。