1. 專題簡報
曾聖嘉
邱帥軒
指導教授：楊正仁教授

2. Android應用程式安全性分析
後門程式威脅偵測研究

3. Outline
動機背景
偵測機制
軟體偵測分析 結論

4. 動機背景 智慧型手機的普及 後門威脅（Backdoor threats） 設計靜態偵測機制
Unintended Network Activity
Hidden Functionality
設計靜態偵測機制

5. 偵測機制
反編譯Android應用程式
Dex2jar反編譯軟體
定義偵測規則（Rule file）
建立偵測流程

6. Rule file 定義類別保留字 SMS （偵測Short message service相關漏洞）
INT （偵測Mail service相關漏洞）
HPOST （偵測Http service相關漏洞）
UR （偵測傳送檔案相關漏洞）
TEL （為取得手機內部相關資料的動作）

7. Rule file cont. 定義資料內容保留字 定義格式 TAR （對應傳送目標的名稱或是位置） INF （對應傳送的資料內容）
FINF （對應傳送檔案的名稱與類型）
IGN （與偵測目標不相關的參數資料）
定義格式

8. Rule file cont. 特徵碼撰寫範例 begin SmsManager SMS IF
SMS.sendTextMessage(TAR, IGN, INF, IGN, IGN);
end
圖：特徵碼撰寫範例

9. 偵測流程 類別比對 資料分析 搜尋完畢 APK安裝檔 Dex2jar Jar文件檔 Rule file 切割文件檔內容 無對應 分析目標資料
顯示結果
搜尋對應類別
搜尋物件對應的函式功能
圖：偵測機制架構

10. 軟體偵測分析 偵測分析測試 Class: HPOST
TAR name <Unedit> <string> <UnDirect>
Analysis: Developer decide --> Normal BUT Attention
INF nvps --> strUID <Unedit> < string > <SYSTEM>
Analysis: USE SYSTEM SERVICE --> loophole
INF nvps --> strUPW <Unedit> < string > <UnDirect>
Analysis: USE NORMAL PARAMETER --> NORMAL
圖：針對不同目標進行測試的偵測結果

11. 軟體偵測分析 cont. 搜尋大型程式進行偵測 多數程式偵測結果主要為HttpPost類別相關 Class: HPOST
TAR paramString <Unedit> <string> <UnDirect>
Analysis: Developer decide --> Normal BUT Attention
圖：針對Angry_Birds_v1.5.1之偵測結果

12. 結論 偵測Android 應用程式Backdoor威脅 偵測規則的擴充性 準確偵測到特徵碼 分析資料顯示其屬性（多層給值例外）
偵測機制能更廣泛應用

13. 謝謝聆聽