史國(guó)振，黃 瓊，席宗虎，2，蘇 铓

（1.北京電子科技學(xué)院 信息安全系，北京100070；2.西安電子科技大學(xué) 計(jì)算機(jī)學(xué)院，陜西 西安710071；3.西安電子科技大學(xué) 綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國(guó)家重點(diǎn)實(shí)驗(yàn)室，陜西 西安710071）

0 引 言

針對(duì)惡意代碼種類多樣，而現(xiàn)有的內(nèi)部檢測(cè)方法不能夠保證操作系統(tǒng)安全的問(wèn)題。本文結(jié)合惡意代碼進(jìn)程的特點(diǎn)并借助虛擬化技術(shù)，以QEMU虛擬機(jī)為平臺(tái)，設(shè)計(jì)實(shí)現(xiàn)了一種Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具，從操作系統(tǒng)外部檢測(cè)，保證了操作系統(tǒng)的安全監(jiān)控。通過(guò)從QEMU模擬的內(nèi)存中獲取客戶機(jī)系統(tǒng)進(jìn)程雙向鏈表入口地址，并遍歷系統(tǒng)所有進(jìn)程來(lái)發(fā)現(xiàn)系統(tǒng)中實(shí)際運(yùn)行進(jìn)程的情況，并與原有的分析工具獲取的進(jìn)程列表進(jìn)行對(duì)比，從而分析得出惡意隱藏的進(jìn)程和代碼，實(shí)現(xiàn)系統(tǒng)的外部監(jiān)控，并對(duì)系統(tǒng)進(jìn)程全面監(jiān)管。該工具的設(shè)計(jì)與實(shí)現(xiàn)為系統(tǒng)安全性的提供和用戶隱私的保護(hù)奠定了基礎(chǔ)。

1 相關(guān)工作

1.1 研究現(xiàn)狀

進(jìn)程是程序在操作系統(tǒng)中運(yùn)行表現(xiàn)形式，為了保證運(yùn)行的有序和穩(wěn)定，操作系統(tǒng)通常具有嚴(yán)密的進(jìn)程管理和調(diào)度機(jī)制，一般惡意代碼等為了隱藏其運(yùn)行蹤跡，通常對(duì)其進(jìn)程進(jìn)行偽裝，文獻(xiàn) ［1］針對(duì) Windows系統(tǒng)提出了一種基于直接內(nèi)核對(duì)象操作 （DKOM）的進(jìn)程偽裝保護(hù)方法.從內(nèi)核級(jí)入手，直接修改操作系統(tǒng)內(nèi)核空間中存儲(chǔ)進(jìn)程相關(guān)信息的數(shù)據(jù)結(jié)構(gòu)，以此實(shí)現(xiàn)進(jìn)程隱藏的目的。文獻(xiàn) ［2］針對(duì)Android惡意軟件泛濫的問(wèn)題，綜合靜態(tài)和動(dòng)態(tài)分析技術(shù)，設(shè)計(jì)實(shí)現(xiàn)了Android惡意軟件檢測(cè)系統(tǒng)。但這種惡意軟件檢測(cè)系統(tǒng)對(duì)新的病毒檢測(cè)成功率低、誤報(bào)的機(jī)率較高。針對(duì)Android的隱藏進(jìn)程發(fā)現(xiàn)方法鮮有研究，現(xiàn)有的安全軟件在惡意軟件檢測(cè)方面也存在一定的局限性。一方面，受操作系統(tǒng)本身安全的影響，運(yùn)行于操作系統(tǒng)內(nèi)的安全工具容易受到攻擊；另一方面，安全軟件的權(quán)限僅限于系統(tǒng)內(nèi)核級(jí)，存在被系統(tǒng)內(nèi)核級(jí)惡意軟件攻擊的危險(xiǎn)。針對(duì)上述問(wèn)題，研究并設(shè)計(jì)一種能夠在操作系統(tǒng)外部運(yùn)行的安全檢測(cè)工具至關(guān)重要，通過(guò)為其設(shè)置更高的權(quán)限，可以順利完成檢測(cè)工作，同時(shí)解決了工具自身受到攻擊的問(wèn)題。虛擬化技術(shù)的迅速發(fā)展為上述構(gòu)想的實(shí)現(xiàn)提供了很好的契機(jī)，文獻(xiàn) ［3］指出虛擬機(jī)管理器具有更高的權(quán)限和更小的可信計(jì)算機(jī)，利用虛擬機(jī)管理器在單獨(dú)的虛擬機(jī)中部署監(jiān)控工具能夠?qū)δ繕?biāo)虛擬機(jī)進(jìn)行檢測(cè)，同時(shí)保證監(jiān)控工具的有效性和防攻擊性。

目前，Android系統(tǒng)中的惡意程序［4］大都是通過(guò)APK的形式安裝到手機(jī)中，通過(guò)應(yīng)用級(jí)或者系統(tǒng)級(jí)的漏洞獲取更高的權(quán)限，達(dá)到破壞系統(tǒng)安全、竊取用戶隱私的目的。現(xiàn)有的靜態(tài)分析方法［5，6］通過(guò)提取APK文件內(nèi)容構(gòu)建特征向量，與已知惡意代碼家族中代碼樣本進(jìn)行比較一定程度上解決了惡意程序的識(shí)別問(wèn)題。但是，該方法只能檢測(cè)出特征庫(kù)中已有的惡意軟件樣本，無(wú)法檢測(cè)未知的惡意軟件，同時(shí)靜態(tài)分析很難應(yīng)對(duì)代碼混淆、反射、加密等情況。針對(duì)靜態(tài)分析的缺點(diǎn)，出現(xiàn)了動(dòng)態(tài)分析方法，能夠監(jiān)控APK文件運(yùn)行時(shí)的行為，并通過(guò)行為對(duì)其是否為惡意軟件進(jìn)行判定。但是，動(dòng)態(tài)分析中惡意行為難以界定，而且對(duì)使用了進(jìn)程隱藏技術(shù)的惡意代碼難以檢測(cè)。甚至在被惡意軟件的破壞或者繞過(guò)后，上述安全工具則毫無(wú)記錄可以分析。

1.2 Android進(jìn)程介紹

Android系統(tǒng)［7］中，Dalvik虛擬機(jī)作為Runtime中的核心部分，專門(mén)負(fù)責(zé)應(yīng)用程序的運(yùn)行。每個(gè)運(yùn)行的應(yīng)用程序都與一個(gè)Dalvik虛擬機(jī)實(shí)例對(duì)應(yīng)，當(dāng)某個(gè)應(yīng)用出現(xiàn)異常時(shí)，只有對(duì)應(yīng)的Dalvik虛擬機(jī)出現(xiàn)異常，系統(tǒng)不會(huì)受到其影響，這樣就保證了系統(tǒng)的穩(wěn)定。如表1所示，Dalvik虛擬機(jī)［8］中的進(jìn)程和線程的概念，同Linux系統(tǒng)中的進(jìn)程和線程概念是一致的。

表1 Dalvik虛擬機(jī)進(jìn)程和線程同Linux進(jìn)程的關(guān)系

Android系統(tǒng)的內(nèi)核是基于Linux內(nèi)核的，其繼承并沿用了Linux操作系統(tǒng)的進(jìn)程管理機(jī)制。通常在操作系統(tǒng)中，每個(gè)進(jìn)程都有一個(gè)且只有一個(gè)進(jìn)程控制塊PCB（process control block）來(lái)記錄和刻畫(huà)進(jìn)程狀態(tài)等其它相關(guān)信息，并將信息按照struct task＿struct｛｝結(jié)構(gòu)體定義的形式來(lái)保存，供操作系統(tǒng)調(diào)度和管理。每個(gè)task＿struct（）中記錄著其所對(duì)應(yīng)進(jìn)程的所有信息，其結(jié)構(gòu)部分成員如下：

通過(guò)該成員可以從當(dāng)前進(jìn)程描述符所在鏈表找到其前后的進(jìn)程描述符，進(jìn)而找到所有進(jìn)程描述符，實(shí)現(xiàn)遍歷操作系統(tǒng)進(jìn)程的目的。

1.3 QEMU介紹

QEMU［10］是一個(gè)由Fabrice Bellard編寫(xiě)的開(kāi)源模擬器軟件。具體來(lái)說(shuō)，它是一個(gè)使用了可移植的動(dòng)態(tài)二進(jìn)制翻譯器的模擬器軟件。通過(guò)分析主流CPU的體系架構(gòu)特點(diǎn)并為其定義對(duì)應(yīng)的結(jié)構(gòu)體，使用動(dòng)態(tài)二進(jìn)制翻譯技術(shù)將上層需要執(zhí)行的指令翻譯成可在宿主機(jī)上直接執(zhí)行的指令，然后將其交給宿主機(jī)的CPU去執(zhí)行。由于QEMU對(duì)各種硬件的模擬也是使用純軟件化的方法實(shí)現(xiàn)，這使得QEMU可以模擬的硬件平臺(tái)與真實(shí)硬件無(wú)必然對(duì)應(yīng)關(guān)系。

QEMU的操作模式分為兩種［11］：全系統(tǒng)模擬 （full system emulation） 和 用 戶 模 式 模 擬 （user mode emulation），如圖1所示。

（1）全系統(tǒng)模式仿真：在這種模式下，QEMU模擬的硬件平臺(tái)可以模擬出客戶機(jī)系統(tǒng)運(yùn)行起來(lái)需要的所有硬件資源，例如ARM平臺(tái)上的ARM處理器，BIOS，內(nèi)存等常用的硬件設(shè)備?？蛻魴C(jī)中的應(yīng)用依靠客戶機(jī)上運(yùn)行的操作系統(tǒng)的進(jìn)程任務(wù)調(diào)度，作業(yè)管理來(lái)實(shí)現(xiàn)，最終將數(shù)據(jù)發(fā)送給QEMU模擬的CPU進(jìn)行處理，等待結(jié)果的返回；QEMU則是將上層發(fā)送來(lái)的指令翻譯成宿主機(jī)系統(tǒng)所能識(shí)別的指令，并交由宿主機(jī)的CPU來(lái)執(zhí)行。在宿主機(jī)看來(lái)，就是應(yīng)用程序QEMU發(fā)送了一段讓宿主機(jī)處理的數(shù)據(jù)，然后等待數(shù)據(jù)返回。其中QEMU在其中充當(dāng)?shù)氖且粋€(gè)動(dòng)態(tài)的翻譯官。

圖1 QEMU的操作模式

（2）用戶模式仿真：在這種模式下，QEMU模擬的是客戶機(jī)系統(tǒng)需要運(yùn)行的CPU，接收客戶機(jī)應(yīng)用發(fā)來(lái)的各種請(qǐng)求，然后指令翻譯送往宿主機(jī)，等待返回的結(jié)果。而不管客戶機(jī)中的進(jìn)程任務(wù)調(diào)度及作業(yè)管理等，僅充當(dāng)CPU的功能。

通過(guò)分析發(fā)現(xiàn)全系統(tǒng)模式仿真使用的范圍更加的廣泛，并且對(duì)客戶機(jī)系統(tǒng)的監(jiān)控也更加的全面，適用于分析操作系統(tǒng)隱藏的進(jìn)程。

2 基于QEMU的Android隱藏進(jìn)程發(fā)現(xiàn)工具

2.1 基本設(shè)計(jì)思想

（1）先分析Android源碼［12］找到與內(nèi)核相關(guān)的代碼，其次，按照sched.h文件里TASK＿STRUCT的聲明，一個(gè)成員一個(gè)成員的算偏移，從而找到成員list＿h(yuǎn)ead這個(gè)雙向鏈表的地址，按圖索驥找到所有進(jìn)程。但由于TASK＿STRUCT是一個(gè)很大的結(jié)構(gòu)體 （擁有幾十或者上百個(gè)成員），并且成員長(zhǎng)度各不相同，比如一個(gè)char占一個(gè)字節(jié)，一個(gè)int占4個(gè)字節(jié)等；此外考慮到編譯時(shí)的對(duì)齊問(wèn)題，手工計(jì)算既費(fèi)力又容易錯(cuò)算，這種發(fā)現(xiàn)進(jìn)程鏈表的方式不適合本工具。

（2）進(jìn)程鏈表存在于內(nèi)核區(qū)，用戶區(qū)的應(yīng)用不能直接的調(diào)用。考慮到驅(qū)動(dòng)工作于內(nèi)核區(qū)，所以可以嘗試設(shè)計(jì)一個(gè)特定的驅(qū)動(dòng)，實(shí)現(xiàn)在內(nèi)存中開(kāi)辟獨(dú)立的空間用來(lái)存放獲取到的進(jìn)程鏈表入口地址，并將數(shù)據(jù)返回給用戶層。但驅(qū)動(dòng)程序?qū)ο到y(tǒng)權(quán)限的要求很高，并且其最高權(quán)限就是內(nèi)核權(quán)限，而惡意軟件同樣可以獲取到內(nèi)核權(quán)限，若惡意軟件在發(fā)動(dòng)攻擊之前破壞系統(tǒng)的安全檢測(cè)工具，則操作系統(tǒng)完全暴露在惡意軟件之下，安全問(wèn)題甚是嚴(yán)重。為此，從系統(tǒng)內(nèi)監(jiān)控的方案同樣存在缺點(diǎn)。

針對(duì)以上兩種方法各自存在的缺點(diǎn)，本文依托QEMU虛擬機(jī)，設(shè)計(jì)并實(shí)現(xiàn)了一種從系統(tǒng)外部監(jiān)控并發(fā)現(xiàn)Android平臺(tái)下隱藏進(jìn)程的工具。

假設(shè)前提：通過(guò)進(jìn)程隱藏技術(shù)［13，14］對(duì)應(yīng)用A進(jìn)行了進(jìn)程隱藏處理，Android系統(tǒng)自身的進(jìn)程管理工具或者是adb工具不能夠發(fā)現(xiàn)應(yīng)用A的進(jìn)程，通過(guò)本文設(shè)計(jì)的工具來(lái)對(duì)Android系統(tǒng)進(jìn)行全面監(jiān)控，并獲取Android系統(tǒng)中運(yùn)行的所有進(jìn)程，最后，使用 “基于交叉視圖的檢測(cè)技術(shù)［15］”同原有分析工具獲取的進(jìn)程列表進(jìn)行對(duì)比來(lái)發(fā)現(xiàn)隱藏進(jìn)程。

本文設(shè)計(jì)的Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具，其關(guān)鍵技術(shù)在于尋找系統(tǒng)中運(yùn)行的進(jìn)程的入口地址，以方便獲取到鏈表的地址。具體對(duì)于是獲取到哪個(gè)進(jìn)程的入口地址沒(méi)有要求。為此，Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具的設(shè)計(jì)如圖2所示。

圖2 Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具設(shè)計(jì)思想

（1）于Android系統(tǒng)中選擇系統(tǒng)初始化時(shí)進(jìn)程swpper。

（2）將這個(gè)進(jìn)程控制表的入口地址，寫(xiě)入到QEMU模擬的CPU的一個(gè)寄存器Ri中。

（3）通過(guò)QEMU上的VMM從Ri中讀取進(jìn)程地址內(nèi)容，以獲得swpper的進(jìn)程控制表的入口地址。

（4）根據(jù)sched.h文件里結(jié)構(gòu)體task＿stract｛｝的聲明并結(jié)合特定的偏移算法，計(jì)算出各成員的偏移，找到循環(huán)雙向鏈表list＿h(yuǎn)ead｛｝結(jié)構(gòu)體，并獲取下一個(gè)進(jìn)程的鏈表入口地址＊next。

（5）通過(guò)＊next內(nèi)容尋到下一個(gè)進(jìn)程的＊next地址，同時(shí)獲取當(dāng)前進(jìn)程task＿stract｛｝結(jié)構(gòu)體中的信息。

（6）重復(fù)步驟 （5）直到遍歷完所有進(jìn)程。

2.2 進(jìn)程發(fā)現(xiàn)工具實(shí)現(xiàn)

針對(duì)上節(jié)提出的進(jìn)程發(fā)現(xiàn)模型，具體的實(shí)現(xiàn)步驟如下：

步驟1 修改Android系統(tǒng)代碼

（1）定位進(jìn)程描述結(jié)構(gòu)體

在Android 4.0的內(nèi)核源碼中，在內(nèi)核根目錄下include／linux／sched.h的1114行定位進(jìn)程描述符struct task＿struct，其重要成員變量如下：

tasks是連接進(jìn)程描述符之間的雙向鏈表結(jié)構(gòu)，通過(guò)該成員就可以從當(dāng)前進(jìn)程描述符所在鏈表找到它前后的進(jìn)程描述符，進(jìn)而找到所有進(jìn)程描述符。

（2）初始化進(jìn)程描述符：init＿task

初始化進(jìn)程 “swpper”的進(jìn)程描述符在內(nèi)核根目錄arch／arm／kernel／Init＿task.c中，init＿task定義如下：

struct task＿struct init＿task ＝ INIT＿TASK （init＿task）；

在INIT＿TASK （）中，對(duì)init＿task結(jié)構(gòu)進(jìn)行了初始化：

步驟2 將進(jìn)程描述法寫(xiě)入寄存器

（1）在Android中找寄存器

在Android的GoldFish虛擬處理器的電池驅(qū)動(dòng)程序，相關(guān) 文 件 在 根 目 錄 下 drivers／power／goldfish＿battery.c，這是一個(gè)power＿supply的驅(qū)動(dòng)程序，實(shí)現(xiàn)了讀取屬性等幾個(gè)操作，通過(guò)讀取虛擬機(jī)的寄存器得到當(dāng)前 “電池”的信息。而這個(gè)信息在goldfish＿battery.c是一個(gè)固定值，不會(huì)被內(nèi)核修改，所以選擇這種數(shù)值不會(huì)被修改的寄存器來(lái)存儲(chǔ)上一步初始化的特定進(jìn)程描述符的地址。

（2）將init＿task地址寫(xiě)入寄存器

在goldfish＿battery.c的goldfish＿battery＿probe （）中寫(xiě)入：GOLDFISH＿BATTERY＿WRITE （data，SYSTEM＿TASK＿STRUCT，＆init＿task）；

步驟3 修改QEMU源代碼

（1）在QEMU找寄存器

在 QEMU源代碼的根目錄下external／qemu／hw／goldfish＿battery.c

（2）獲取寄存器中內(nèi)容

goldfish＿battery＿write （val）；

（3）讀取Android操作系統(tǒng)的進(jìn)程描述符到qemu

Android操作系統(tǒng)的內(nèi)存是QEMU中的虛擬內(nèi)存，故獲取的進(jìn)程描述符地址是操作系統(tǒng)內(nèi)存里的地址，需要使用QEMU的cpu＿memory＿rw＿debug（）函數(shù)將操作系統(tǒng)內(nèi)存內(nèi)容讀取到QEMU控制臺(tái)可見(jiàn)的地方。

（4）尋找進(jìn)程名

進(jìn)程名即成員comm，在以進(jìn)程描述符結(jié)構(gòu)體起始地址為基準(zhǔn)偏移0x2d4處，使用：

（5）尋找下一進(jìn)程

進(jìn)程的雙向鏈表即成員tasks，在以進(jìn)程描述符結(jié)構(gòu)體起始地址為基準(zhǔn)偏移0x1c0處，使用：

即可得到下一進(jìn)程的雙向鏈表結(jié)構(gòu)地址，如果想使用下一進(jìn)程的進(jìn)程描述符，需要減去雙向鏈表結(jié)構(gòu)的地址，使用：

即可得到下一進(jìn)程的進(jìn)程描述符。

（6）讀取所有進(jìn)程

通過(guò)上面的步驟，借助QEMU成功的發(fā)現(xiàn)了Android系統(tǒng)的所有進(jìn)程。

3 實(shí) 驗(yàn)

本文設(shè)計(jì)的Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具是基于QEMU模擬器的1.2.0版本實(shí)現(xiàn)的，在對(duì)本工具進(jìn)行測(cè)試時(shí)，QEMU模擬Android 4.0版本的系統(tǒng)平臺(tái)。

在部署完測(cè)試環(huán)境之后，首先在Android虛擬機(jī)運(yùn)行Gallery應(yīng)用，使用進(jìn)程隱藏技術(shù)將Gallery應(yīng)用的進(jìn)程隱藏，通過(guò)Android系統(tǒng)上的模擬終端列出所有的運(yùn)行進(jìn)程。如圖3所示，發(fā)現(xiàn)所列舉的進(jìn)程中沒(méi)有Gallery應(yīng)用對(duì)應(yīng)的進(jìn)程。在上述情況下，使用本文設(shè)計(jì)的Android系統(tǒng)隱藏進(jìn)程發(fā)現(xiàn)工具來(lái)檢測(cè)隱藏進(jìn)程，本工具從系統(tǒng)之外列舉出Android系統(tǒng)中運(yùn)行的所有進(jìn)程。通過(guò)兩次獲取的進(jìn)程列表對(duì)比，本工具成功的發(fā)現(xiàn)了Gallery應(yīng)用的隱藏進(jìn)程 （圖3黃線框中的android.gallery3d），驗(yàn)證了本文隱藏進(jìn)程發(fā)現(xiàn)工具設(shè)計(jì)的正確性。

圖3 進(jìn)程發(fā)現(xiàn)測(cè)試實(shí)驗(yàn)結(jié)果

4 結(jié)束語(yǔ)

近年來(lái)，隨著Android系統(tǒng)版本的不斷更新，Android系統(tǒng)的惡意軟件數(shù)量呈快速增長(zhǎng)態(tài)勢(shì)，用戶的隱私、財(cái)產(chǎn)安全面臨著嚴(yán)峻的考驗(yàn)和前所未有的挑戰(zhàn)。本文針對(duì)現(xiàn)有的內(nèi)部檢測(cè)方法不能夠保證操作系統(tǒng)安全的問(wèn)題，設(shè)計(jì)并實(shí)現(xiàn)了一種基于QEMU的Android隱藏進(jìn)程發(fā)現(xiàn)工具。該工具從系統(tǒng)外部監(jiān)控整個(gè)系統(tǒng)，遍歷系統(tǒng)所有進(jìn)程來(lái)發(fā)現(xiàn)系統(tǒng)中實(shí)際運(yùn)行進(jìn)程的情況，并與原有的分析工具獲取的進(jìn)程列表進(jìn)行對(duì)比，從而分析得出惡意隱藏的進(jìn)程和代碼，實(shí)現(xiàn)系統(tǒng)的外部監(jiān)控，并對(duì)系統(tǒng)進(jìn)程全面監(jiān)管。并通過(guò)實(shí)驗(yàn)驗(yàn)證了隱藏進(jìn)程發(fā)現(xiàn)工具設(shè)計(jì)的可行性和正確性。然而，本工具有些地方還有待改進(jìn)，還需要進(jìn)一步的研究。針對(duì)Android系統(tǒng)下的進(jìn)程發(fā)現(xiàn)問(wèn)題，本工具暫時(shí)不能發(fā)現(xiàn)游離于進(jìn)程鏈路表之外的隱藏進(jìn)程，這將是接下來(lái)需要研究的內(nèi)容。

［1］LAN Zhiling，SONG Yubo，TANG Lei.Novel process－protecting method using camouflage techniques based on direct ker－nel object manipulation ［J］.Journal of Southeast University（Natural Science Edition），2013，43 （1）：24－29 （in Chinese）.［藍(lán)智靈，宋宇波，唐磊.基于直接內(nèi)核對(duì)象操作的進(jìn)程偽裝保護(hù)方法 ［J］.東南大學(xué)學(xué)報(bào)：自然科學(xué)版，2013，43（1）：24－29.］

［2］HU Wenjun，ZHAO Shuang，TAO Jing，et al.A detection method and system implementation for Android malware ［J］.Journal of Xi’an Jiaotong University，2013，47 （10）：37－43（in Chinese）.［胡文君，趙雙，陶敬，等.一種針對(duì)Android平臺(tái)惡意軟件的檢測(cè)方法及系統(tǒng)實(shí)現(xiàn) ［J］.西安交通大學(xué)學(xué)報(bào)，2013，47 （10）：37－43.］

［3］XIANG Guofu，JIN Hai，ZOU Deqing，et al.Virtualizationbased security monitoring ［J］.Journal of Software，2012，23（8）：2173－2187 （in Chinese）.［項(xiàng)國(guó)富，金海，鄒德清，等.基于虛擬化的安全監(jiān)控 ［J］.軟件學(xué)報(bào)，2012，23 （8）：2173－2187.］

［4］FANG Xinxin.Malware implementation and detected on Android ［D］.Nanjing：Nanjing Post and Communications University，2013 （in Chinese）.［房鑫鑫.Android惡意軟件實(shí)現(xiàn)及檢測(cè)研究 ［D］.南京：南京郵電大學(xué)，2013.］

［5］QIN Zhongyuan，XU Yuqing，LIANG Biao，et al.An Android malware static detection method ［J］.Journal of Southeast University （Natural Science Edition），2013，43 （6）：1162－1167 （in Chinese）. ［秦中元，徐毓青，梁彪，等.一種Android平臺(tái)惡意軟件靜態(tài)檢測(cè)方法 ［J］.東南大學(xué)學(xué)報(bào) （自然科學(xué)版），2013，43 （6）：1162－1167.］

［6］MEI Hong，WANG Qianxiang，ZHANG Lu，et al.Software analysis：A road map ［J］.Chinese Journal of Computers，2009，32 （9）：1697－1710 （in Chinese）. ［梅宏，王千祥，張路，等.軟件分析技術(shù)進(jìn)展 ［J］.計(jì)算機(jī)學(xué)報(bào)，2009，32（9）：1697－1710.］

［7］SONG Jie，DANG Licheng，GUO Zhenchao，et al.The security mechanism analysis and applied research of Android OS mobile platform ［J］.Computer Technology and Development，2010，20 （6）：152－155 （in Chinese）. ［宋杰，黨李成，郭振朝，等.Android OS手機(jī)平臺(tái)的安全機(jī)制分析和應(yīng)用研究［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2010，20 （6）：152－155.］

［8］ZHOU Yimin，CHEN Rong.Analysis about process in Dalvik virtual machine ［J］.Computer Technology and Development，2010，20 （2）：83－86 （in Chinese）. ［周毅敏，陳榕.Dalvik虛擬機(jī)進(jìn)程模型分析 ［J］.計(jì)算機(jī)技術(shù)與發(fā)展，2010，20（2）：83－86.］

［9］Linux kernel［EB／OL］.［2013－11－28］.http：／／www.kernel.org.

［10］QEMU［EB／OL］.［2009－02－01］.http：／／www.oschina.net／p／qemu.

［11］LUO Yan.Research on dynamic binary translation and optimization based on OEMU ［D］.Hangzhou：Zhejiang University，2013（in Chinese）.［羅艷.基于QEMU的動(dòng)態(tài)二進(jìn)制翻譯優(yōu)化研究 ［D］.杭州：浙江大學(xué)，2013.］

［12］Android［EB／OL］.［2013－09－04］.http：／／source.android.com／source／downloading.html.

［13］WO Tianyu，HU Chunming，LI Jianxin，et al.Hidden OS objects correlated detection technology based on VMM ［J］.Journal of Software，2013，24 （2）：405－420 （in Chinese）.［沃天宇，胡春明，李建欣，等.基于VMM的操作系統(tǒng)隱藏對(duì)象 關(guān) 聯(lián) 檢 測(cè) 技 術(shù) ［J］. 軟 件 學(xué) 報(bào)，2013，24 （2）：405－420.］

［14］LIU Haochen，LUO Senlin.Trojan horse’s hiding and detecting technique of Android OS ［J］.Netinfo Security，2013，13 （1）：33－37 （in Chinese）.［劉昊辰，羅森林.Android系統(tǒng)木馬隱藏及檢測(cè)技術(shù) ［J］.信息網(wǎng)絡(luò)安全，2013，13（1）：33－37.］

［15］LI Peng，WANG Ruchuan，GAO Dehua.Research on Rootkit dynamic detection based on fuzzy pattern recognition and support virtual machine technology ［J］.Acta Electronica Sinica，2012，40 （1）：115－120 （in Chinese）. ［李鵬，王汝傳，高德華.基于模糊識(shí)別和支持向量機(jī)的聯(lián)合Rootkit動(dòng)態(tài)檢測(cè)技術(shù)研究 ［J］.電子學(xué)報(bào)，2012，40 （1）：115－120.］