CN108959921A - 一种基于智能终端芯片的恶意软件分析方法 - Google Patents

一种基于智能终端芯片的恶意软件分析方法 Download PDF

Info

Publication number
CN108959921A
CN108959921A CN201810538417.1A CN201810538417A CN108959921A CN 108959921 A CN108959921 A CN 108959921A CN 201810538417 A CN201810538417 A CN 201810538417A CN 108959921 A CN108959921 A CN 108959921A
Authority
CN
China
Prior art keywords
chip
intelligent terminal
malware
data
malware analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201810538417.1A
Other languages
English (en)
Other versions
CN108959921B (zh
Inventor
李毅
陈贤斌
左震宇
汤伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Rock Software (shanghai) Co Ltd
Original Assignee
Rock Software (shanghai) Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rock Software (shanghai) Co Ltd filed Critical Rock Software (shanghai) Co Ltd
Priority to CN201810538417.1A priority Critical patent/CN108959921B/zh
Publication of CN108959921A publication Critical patent/CN108959921A/zh
Application granted granted Critical
Publication of CN108959921B publication Critical patent/CN108959921B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/03Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
    • G06F2221/033Test or assess software

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明公开了一种基于智能终端芯片的恶意软件分析方法,其首先从智能终端中获取相应的IC芯片,读取芯片中的逻辑单元数据,再对数据加以分析。本发明提供的方案通过拆解智能的IC芯片;基于IC芯片中存储的数据来分析恶意软件行为,能够在智能终端无法有效开机的情况下对恶意软件进行分析取证,从而有效解决损坏智能终端无法分析恶意软件的问题。

Description

一种基于智能终端芯片的恶意软件分析方法
技术领域
本发明涉及电子取证技术,具体涉及恶意软件的分析取证技术。
背景技术
近年来,随着智能手机用户的迅速增加,手机功能也越来越多。手机中存储着大量的用户隐私、财产等信息。安全问题日益突出,非法分子通过编写恶意软件,并使其潜伏在用户的手机上,然后获取用户的隐私信息,或者肆意定制付费的业务等,造成用户的经济损失和隐私泄露。
对此人们设计出了各种恶意软件分析工具,然而现有的大多恶意软件分析工具,都需要智能手机在可开机且可运行的情况系进行。如果智能手机在损坏或其它原因导致智能手机无法开机,这些恶意软件分析工具则无从下手,取证就会陷入僵局,目前还没有较好的办法彻底地解决此问题。
发明内容
针对现有恶意软件分析工具无法在智能设备无法开机情况下进行恶意软件分析的问题,需要一种新的智能设备恶意软件分析方案。
为此,本发明的目的在于提供一种基于智能终端芯片的恶意软件分析方法,可有效地解决对无法开机的智能手机恶意软件分析的问题。
为了达到上述目的,本发明提供的基于智能终端芯片的恶意软件分析方法,其包括如下步骤:
获取智能终端主板上的IC芯片;
读取IC芯片底层数据成单个文件;
解析读取成功的文件;
对解析之后的数据文件进行恶意软件分析。
进一步的,在读取IC芯片数据时,将芯片转换成USB DISK再进行读取,并生成单个dump文件。
本发明提供的方案通过拆解智能的IC芯片;基于IC芯片中存储的数据来分析恶意软件行为,能够在智能终端无法有效开机的情况下对恶意软件进行分析取证,从而有效解决损坏智能终端无法分析恶意软件的问题,成为了电子取证工作的重大突破之一。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例针对损坏智能手机进行恶意软件分析的流程图;
图2为本发明实例中读取转换模块的结构示意图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本实例通过在没有开机运行的智能终端设备外直接读取智能终端芯片中相关数据,由此来分析手机恶意软件行为。该方案无需智能终端开机,即可对智能终端中原有的软件进行分析。
具体的,本实例对无法开机的智能终端进行恶意软件分析的方案如下:
首先,拆解智能终端,获取其相应的IC芯片;
接着,读取智能终端IC芯片为单个dump文件;
接着,分别解析单个dump文件数据;
最后,针对解析得到的数据通过恶意软件分析工具进行恶意行为分析。
由此实现针对智能终端无法开机情况下的恶意软件分析。
另外,本实例方案中针对的智能终端为现有常规的智能终端,如运行安卓***的智能手机,平板电脑或运行IOS***的智能手机,平板电脑等。
针对上述方案,下面以安卓手机为例通过一应用实例来进行说明。
本实例中针对运行安卓***的智能手机,且该智能手机损坏无法有效开机。在该情况下,为了能够有效分析该智能手机中安装的软件的恶意行为,本实例采用如下方案:
步骤101:获取智能手机主板上的IC芯片。
该步骤具体获取智能手机主板上的存储芯片,其首先根据智能手机的型号,拆解出手机的主板,找到手机存储芯片,通过拆解工具将芯片从主板上取下,进行清洗干燥待用。
步骤102:读取IC芯片底层数据成单个文件。
该步骤针对步骤101中拆解获取到的存储芯片,将其放入相应的转换装置上,通过该转换装置将存储芯片转换成USB DISK进行读取,并生成单个dump文件,由此能够快速完整的读取到存储芯片上的原有数据。
本方案中通过将拆解获取到的存储芯片的pin角转换成SD卡的形式,再接一个SD卡的读取硬件模块,实现将eMMC芯片转换成USB DISK进行读取。
参见图2,本方案通过如下的读取转换模块实现将芯片读取并转换成USB DISK进行读取。
由图可知,该读取转换模块主要包括控制单片机STM32,SD/eMMC转USB读取模块以及USB HUB,其中,SD/eMMC转USB读取模块通过eMMC总线连接至eMMC芯片,并通过USB数据线连接至USB HUB;单片机STM32通过eMMC总线连接至eMMC芯片,并通过USB数据线连接至USBHUB;USB HUB则连接至若干USB接口。
由此,通过eMMC芯片转换成USB DISK进行读取,可以实现:
1.可以识别到字库的容量大小等信息;
2.能够对字库进行dump文件读取;
3.正常读取到字库里面的各个分区目录和相关文件;
4.能在Windows的磁盘管理里面识别到该字库。
步骤103:解析读取成功的文件。
该步骤中针对读取到的每个dump文件,通过分析工具进行数据分析,以提取恶意软件相关程序文件。
步骤104:对解析之后的数据文件进行恶意软件分析。
该步骤针对步骤103提取出来的恶意软件相关程序文件进行恶意行为分析。
基于上述四个步骤可知,本方案基于智能终端芯片,直接读取智能手机存储芯片中的数据,并分析手机恶意软件行为,且给方案能够适用于各种智能设备,包括大部分智能安卓或IOS手机、平板电脑等等。
本实例提供的基于智能终端芯片的恶意软件分析方案在用于电子证据取证时,能够针对已经损坏的智能终端进行正确快速的分析。
基于上方方案形成基于智能终端芯片的恶意软件分析工具,该分析工具由软件和硬件配合构成,包括智能手机拆解工具,转换装置,数据解析工具以及恶意软件行为分析工具。其中,转换装置与数据解析工具数据连接,而数据解析工具与恶意软件行为分析工具数据连接。
由此构成的恶意软件分析工具针对损坏的智能终端进行恶意软件行为分析取证时,首选通过智能手机拆解工具从智能手机中获取手机主板上面的IC芯片;接着,将IC芯片放置于转换装置中,由转换装置将存储芯片转换成USB DISK,读取芯片中的逻辑单元数据,并生成单个dump文件,且将生成的单个dump文件实时传输至数据解析工具;接着,数据解析工具对接收到的数据进行恶意软件分析,根据分析结果提取恶意软件相关程序文件,并实时传至恶意软件行为分析工具;最后,由恶意软件行为分析工具对接收到的恶意软件相关程序文件进行恶意软件行为分析,并按照标准规范输出具备与纸质证据有同等效力、被公检法等有关部门所认可的电子证据。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。

Claims (2)

1.基于智能终端芯片的恶意软件分析方法,其特征在于,包括如下步骤:
获取智能终端主板上的IC芯片;
读取IC芯片底层数据成单个文件;
解析读取成功的文件;
对解析之后的数据文件进行恶意软件分析。
2.根据权利要求1所述的恶意软件分析方法,其特征在于,在读取IC芯片数据时,将芯片转换成USB DISK再进行读取,并生成单个dump文件。
CN201810538417.1A 2018-05-30 2018-05-30 一种基于智能终端芯片的恶意软件分析方法 Active CN108959921B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810538417.1A CN108959921B (zh) 2018-05-30 2018-05-30 一种基于智能终端芯片的恶意软件分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810538417.1A CN108959921B (zh) 2018-05-30 2018-05-30 一种基于智能终端芯片的恶意软件分析方法

Publications (2)

Publication Number Publication Date
CN108959921A true CN108959921A (zh) 2018-12-07
CN108959921B CN108959921B (zh) 2023-04-14

Family

ID=64492595

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810538417.1A Active CN108959921B (zh) 2018-05-30 2018-05-30 一种基于智能终端芯片的恶意软件分析方法

Country Status (1)

Country Link
CN (1) CN108959921B (zh)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103136476A (zh) * 2011-12-01 2013-06-05 深圳市证通电子股份有限公司 移动智能终端恶意软件分析***
CN104598419A (zh) * 2015-02-13 2015-05-06 北京安信荣达科技有限公司 AX-flash手机存储芯片数据获取设备
CN105183395A (zh) * 2015-09-18 2015-12-23 四川效率源信息安全技术股份有限公司 手机储存芯片数据提取的方法
CN205158208U (zh) * 2015-11-03 2016-04-13 上海良相智能化工程有限公司 电子取证勘查箱

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103136476A (zh) * 2011-12-01 2013-06-05 深圳市证通电子股份有限公司 移动智能终端恶意软件分析***
CN104598419A (zh) * 2015-02-13 2015-05-06 北京安信荣达科技有限公司 AX-flash手机存储芯片数据获取设备
CN105183395A (zh) * 2015-09-18 2015-12-23 四川效率源信息安全技术股份有限公司 手机储存芯片数据提取的方法
CN205158208U (zh) * 2015-11-03 2016-04-13 上海良相智能化工程有限公司 电子取证勘查箱

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘铁铭 等: "存储数据逆向分析与电子取证实验室建设实践与思考", 《计算机工程与科学》 *

Also Published As

Publication number Publication date
CN108959921B (zh) 2023-04-14

Similar Documents

Publication Publication Date Title
CN104598793A (zh) 一种指纹认证方法和装置
CN104375836A (zh) 一种展示锁屏窗口的方法及装置
CN103839005A (zh) 移动操作***的恶意软件检测方法和恶意软件检测***
CN102722429A (zh) 一种硬盘维修设备的处理***
CN103679012A (zh) 一种可移植可执行文件的聚类方法和装置
CN101968769A (zh) 一种基于行为模型的软件安全性测试用例生成方法
CN104484407A (zh) 一种识别诈骗信息的方法和***
CN106155596A (zh) 数据写入方法及装置
CN104243486A (zh) 一种病毒检测方法及***
CN107454118A (zh) 验证码获取方法及装置、登录方法及***
CN103744890A (zh) 日志分离方法及装置
CN103324617A (zh) 一种历史垃圾消息的识别方法及***
CN103177022A (zh) 一种恶意文件搜索方法及装置
CN107277019A (zh) 数据明文获取方法、装置、电子终端及可读存储介质
CN104751051A (zh) 恶意广告的识别方法及装置、移动终端
CN106445736A (zh) 一种提取并重组mtk62系列手机字库数据的方法
CN1234130C (zh) 基于闪存的***引导装置以及实现引导的方法
CN102236426A (zh) 一种终端集成输入设备以及终端交互***
CN102968325A (zh) 一种usb设备及其自动初始化的方法和装置
CN109582238A (zh) 一种硬盘绑定、匹配方法、***及电子设备和存储介质
CN102708462A (zh) 财务管理***
CN103369532A (zh) 一种移动终端恶意软件行为的黑盒检测方法
CN108959921A (zh) 一种基于智能终端芯片的恶意软件分析方法
CN104298570A (zh) 数据处理方法和装置
CN101986307B (zh) 一种mime类型插件的生成方法、***及浏览器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant