文档建议反馈控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

【Android 插件化】基于插件化引擎的“恶意应用“与“良性应用“区别 | 恶意插件化应用特征

文章目录 一、基于插件化引擎 的 恶意应用 与 良性应用 区别 二、恶意插件化应用特征 一、基于插件化引擎 的 恶意应用 与 良性应用 区别 ---- 在 【Android 插件化】VAHunt 引入..., 检测该应用是否是恶意应用 ; 大多数基于插件化的 恶意应用 , 都会对 恶意插件 加密 , 或从网络中下载 ; 恶意软件的宿主应用 , 一般会以静默方式加载插件 , 并且将下载或解密后的恶意插件..., 隐藏起来 ; 下图是 基于插件化引擎 的 恶意应用 与 良性应用 区别 : 良性应用 : 获取到插件应用后 , 会让用户选择是否安装运行插件 , 如果用户同意 , 安装运行插件 , 如果用户拒绝 ,...不安装插件 ; 执行插件 APK 时 , 以正常的 UI 界面执行 ; 恶意应用 : 获取到插件 APK 路径后 , 不经过用户同意 , 以静默方式安装运行插件 , 并且将插件隐藏起来 ; 二、...恶意插件化应用特征 ---- 恶意软件 解密 或 下载 恶意插件后 , 通常会隐藏恶意插件 ; 加载 APK 插件的常用路径 : 从自定义路径加载插件 : 从如下路径中获取插件 APK ; 从系统路径加载插件

28320

【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 | 用户同意后加载插件 | 隐藏恶意插件 )

文章目录 一、自定义路径加载插件 二、系统路径加载插件 三、用户同意后加载插件 四、隐藏恶意插件 一、自定义路径加载插件 ---- 插件化应用中 , 宿主应用 加载 插件 APK , 需要获取该插件 APK...恶意软件 会 诱导用户加载 系统中安装的 恶意软件 , 宿主应用没有向该系统路径写入数据的权限 ; 加载插件流程 : 首先 , 要请求获取包列表 ( Package List ) , 向用户显示该列表...() 方法 , 可以获取已安装的应用程序 , 可以从调用该方法为起点进行分析 , 继续向后分析 , 查看哪些应用被展示给了用户 , 恶意应用就在这些应用中 ; 三、用户同意后加载插件 ---- 基于插件化的...良性应用 , 如果要装载插件 , 需要弹出弹窗 , 请求用户同意 , 用户同意后 , 才能安装插件 ; 恶意应用 安装插件时 , 基本都是静默安装 , 不经过用户同意 , 并且安装后尽可能隐藏插件 ;...标识 ; 四、隐藏恶意插件 ---- 安装 良性应用 后 , 一般会让用户选择是否将应用图标添加到 Launcher 界面 , 如果选择是 , 则可以在主界面看到安装后的应用图标 ; 安装 恶意应用

75210
您找到你想要的搜索结果了吗?
是的
没有找到

【Android 插件化】恶意软件判定规则 | 恶意软件的范围定义

文章目录 一、恶意软件判定规则 二、恶意软件的范围定义 一、恶意软件判定规则 ---- 在 【Android 插件化】基于插件化的恶意软件的加载策略分析 ( 自定义路径加载插件 | 系统路径加载插件 |...App-Virtualization’s Clothing 中给出了判定 插件化软件 是否是恶意软件的标准 ; Google 官方明确反对 静默加载插件 和 隐藏应用操作 , 上述两个操作都会被认定为恶意操作...③ " 隐藏恶意插件 " 行为 , 3 个条件 , 那么该插件化应用的恶意程度更加严重 ; 如果同时具备 ① " 自定义路径加载插件 " 或者 " 系统路径加载插件 " 中的其中之一操作 ,...② " 隐藏恶意插件 " 行为 , 2 个条件 , 那么该插件化应用会被标记为可疑应用 , 可能是恶意软件 , 也可能是用户选择不创建 Launcher 应用启动图标 ; 二、恶意软件的范围定义...) 这个 恶意软件 的范围定义很大 , 只要是违反了 Google 的安全政策 , 都可以被判定为恶意软件 , 并不是只有作出恶意行为的 APK 会被判定为恶意软件 ; 假如插件中作出了恶意行为 ,

67910

Flutter 插件开发:iOS

图片较大,截图处理 提示:本文用音乐播放器的插件只是为了提供一个编写Flutter插件的思路和方法,当需要自己编写插件的时候可以方便的来实现。...说明: 由于是音频播放,我制作GIF的时候没法体现音乐元素,所以音乐只能我自己独自欣赏了,哈哈~~ 本文先只介绍iOS插件制作,下篇文章我们再来介绍Android的插件制作。 架构概览 ?...0; } iOS端的代码 前提:需要用Xcode打开iOS项目,这是开始编写的基础。...目前为止,iOS端的代码完成了。接下来就是Flutter端接收iOS端的方法和参数了。...Flutter端接收iOS端发送的消息 iOS端向Flutter端发送了onPosition(当前播放进度),onComplete(播放完成),onDuration(当前歌曲的总长度)和onError(

3.4K20

【Android 插件化】插件化技术弊端 ( 恶意插件化程序的解决方向 | 常用的插件化虚拟引擎 )

文章目录 一、插件化技术弊端 二、恶意插件化程序的解决方向 三、常用的插件化虚拟引擎 一、插件化技术弊端 ---- 在之前的 Android 应用中 , 部分黑客将应用破解 , 植入自己的恶意代码 ,..., 使用自动化脚本 , 一晚上甚至可以封装数量巨大的恶意应用 ; 目前的 Android 生态中 , 存在着大量的该类使用插件化技术进行 ; 据统计 , 应用市场中 , 插件化应用中 , 恶意插件化应用...是 正常使用插件化技术应用的 数倍 ; 针对上述问题 , 需要使用一些技术识别 恶意 插件化应用 , 并删除此类应用 ; 二、恶意插件化程序的解决方向 ---- 首先 , 要先识别出使用了插件化技术的应用..., 这样就实现了不安装 APK 文件 , ( 这里的 Activity 也可以是其它组件 ) 然后 , 判断一个插件化应用是良性应用 , 还是恶性应用 ; 找出恶意插件化应用的特点 , 这类恶意插件化应用..., 一般不经过用户同意秘密加载插件 ( 感觉有些大厂的插件化也是偷摸加载的 , 插件化对用户透明 ) , 分析出恶意插件的非法加载插件的指纹特征 , 与正常使用插件化技术的应用进行区分 ; 检测恶意插件化应用

88440

【Android 插件化】使用插件化引擎对应用进行重打包的恶意软件特征 ( 检测困难 | 成本低 | 恶意插件可更换 | 容易传播 )

文章目录 一、检测困难 二、成本低 三、恶意插件可更换 四、容易传播 一、检测困难 ---- 恶意软件开发者 , 开发一个插件化 宿主软件 , 将 APK 安装包直接以插件形式运行 , 同时还会将恶意代码放在另外一个插件中...; 上述使用插件化重打包的恶意软件 , 不用修改 APK 文件 , 只需要使用插件化引擎包裹该应用 APK 安装包 ; 一般情况下 , 宿主软件中不植入恶意代码 , 会加载 2 个插件 , 一个是应用的正常...APK 插件 , 另一个是恶意代码插件 ; 恶意插件 一般是加密后 放在 Assets 资源文件中 , 或者从网络中下载 ; 宿主应用中 , 一般不会带有恶意代码 , 因此单纯使用防病毒引擎静态扫描安装包是无法检查出恶意代码...对应用进行重打包的恶意软件 , 可以灵活的更换恶意插件模块 , 如 : 今天加载拦截电话的恶意插件 , 明天加载非法广告插件 , 后天加载信息盗取插件 ; 用户如果安装了该重打包的恶意软件 , 就会出现很严重的后果..., 黑客将正常的 APK 直接封装到插件化引擎中 , 运行程序时 , 与正常程序一模一样 , 但是恶意的重打包程序还会加载恶意插件 ; 尽量避免到不正规的分发渠道下载应用 ;

36310

隐藏在Chrome插件商店中的恶魔——恶意插件User-Agent Swither分析

0x00 插件背景 — User-Agent Swither 是一款Chrome插件,用户切换访问web时候的User-Agent的,这个插件有51万条安装量。...from=timeline 0x01 插件分析 — 通常,chrome插件的物理地址C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default...function a 更新插件运行状态 function i 为入口函数 function r 是用来下载执行恶意JS 这段js里面有一个比较重要的变量c 还有一个 重要的l,l包含了四个函数EE...可见这段恶意代码的版本为v20170905 0x03 外部恶意JavaScript分析 — 恶意js会向chrome增加一些事件的处理函数,比如新打开一个tab,这段恶意js回将你打开的网址上传到服务器上...用于处理推广数据的代码 至此,这个恶意插件的流程就非常清楚了。

1.4K50

【Android 插件化】现有的针对插件恶意应用的解决方案 | 插件化应用开发推荐方案

; 二、PluginKiller ---- 参考 【Android 插件化】使用 PluginKiller 帮助应用开发者规避发布的 APK 安装包被作为插件的风险 ( 验证应用是否运行在插件化引擎中...) 博客 , 引入 PluginKiller 库 , 即可检测当前应用是否运行在插件化环境中 ; 三、针对插件化应用开发者 ---- 凡是加载插件 , 都要弹出对话框 , 征求用户同意 , 如果用户不同意..., 一定不要加载插件 ; 不要静默加载插件 , 如在组件的声明周期函数中加载插件 , 极有可能被判定为恶意软件 ; 大部分的良性软件 , 使用插件化 , 是为了减少 APK 体积 , 以及快速进行插件更新迭代..., 因此插件 APK 大多从网络中下载 ; 良性软件 没有必要将插件放在应用资源目录中 , 这样不如直接集成在应用中使用 ; 大部分的恶意软件 , 将恶意插件加密后放在 Assets 目录中 , 一般重打包恶意软件的开发者..., 都是批量操作 , 也没有稳定的服务器支持 ; 将插件加密后放在 Assets 目录中 , 是恶意应用的重要标识 ;

32710

iOS 11相机BUG,恐让用户误入恶意网站

iOS从正式版发布到现在已经经历了好几个小版本的更新,主要还是在BUG修复和增强稳定性上。单最近,有安全机构发现了iOS 11中一个新的可被利用的漏洞,容易让用户误入恶意网站,那就是相机。...苹果在iOS 11中增加了一个新的功能,用相机直接扫描二维码就能够直接跳转应用或者用Safari浏览器打开对应的链接,这的确让一些场景变得更加方便。...有兴趣的可以自行测试一下哦~ 这种方式很容易被黑客利用,诱导用户进入恶意网站。据称去年年底就有人报告了这一BUG,但截至FreeBuf发稿之时这个问题依然存在。...在苹果官方注意到这个问题之后,希望能够加入一些鉴别虚假、恶意二维码的功能,避免更多用户上当受骗。 *参考来源:infosec,本文作者Andy,转载请注明来自FreeBuf.COM

29840

恶意软件分析–恶意

根据对Excel文件的详细分析,可以发现Excel包含20个不同的工作表和嵌入的恶意宏代码。...依存关系 以下是恶意软件代码中已观察到的依赖性以及执行所需的用户交互。 据观察,当受害者打开文档并启用宏时,此恶意软件提供了“自动运行/自动执行”功能。被感染的计算机会自动建立文件创建和CnC连接。...该恶意软件的设计与Windows环境兼容。 以下是此攻击的完整流程图。 通过分析发现行为 以下是此恶意软件的行为: 当受害者打开文档并启用宏时,受害者将看到以下消息框。...在后台,恶意软件随后通过在端口80上运行rundll32.exe托管的sqmap.dll,在IP地址185.141.61 [。]...与EDR和端点控件上的该恶意软件文件相关联的块哈希。 删除不必要的Appdata和临时条目。

1.9K10

伪造的 jQuery Migrate 插件生成恶意文件感染 WordPress 网站

安全研究人员 Denis Sinegubko 和 Adrian Stoian 近日发现,假冒的 jQuery Migrate 插件通过包含的混淆代码来加载恶意软件从而注入了数十家网站。...伪造的 jQuery Migrate 插件替换了相关文件 为了使用户更难检测到这一恶意行为,假冒的 jQuery Migrate 插件会替换了....,在代码中它们会进一步加载了一个神秘的 analytics.js 文件,这个文件里面也包含恶意代码,目前这次攻击产生的影响规模范围尚未确定。...jquery/ 目录中就带了 jQuery Migrate 插件,这也解释了为什么攻击者会用这个知名插件的名字来伪装他们的恶意软件。...我的回复都是:现在 WordPress 插件已经不屏蔽国内下载了,所以请直接更新插件即可!同样的道理,其他更新也最好直接通过官方渠道更新,避免一些安全问题和其他一些不必要的麻烦。

58220

优酷iOS插件化页面架构方法

六、功能单元插件化 用 ViewController 来举例,在野蛮生长 iOS 开发时代,把列表逻辑、网络请求逻辑、 Navigationbar 逻辑等诸多功能单元都摊开在 ViewController...这样就可以使得插件插件之间通过事件串联起来,合力地完成一项完整的业务逻辑。...用插件来承载业务逻辑的实现上具有非常灵活的特性,开发者可根据自己的判断来决定插件的规模,插件的粒度可大可小,插件内部实现也可随时中止使用事件机制并转回其他一般的类与类、类与协议机制来实现具体的业务逻辑。...插件与模块的结合 插件、功能单元和模块的关系有以下 4 点: 1)一个模块实例关联多个插件实例,但一个插件实例仅对应一个模块实例; 2)模块初始化时,完成全部所属插件的挂载,插件的生命周期与模块的生命周期基本同步...插件与模块之间的联系通过配置文件声明,每个模块在初始化之时,通过配置文件的记载,把与之关联的插件进行初始化和绑定,插件订阅具体事件并开始运作事件机制,直到模块被注销,插件取消订阅所有事件并结束生命周期。

1.4K51

优酷 iOS 插件化页面架构方法

六、功能单元插件化 用 ViewController 来举例,在野蛮生长 iOS 开发时代,把列表逻辑、网络请求逻辑、 Navigationbar 逻辑等诸多功能单元都摊开在 ViewController...这样就可以使得插件插件之间通过事件串联起来,合力地完成一项完整的业务逻辑。...用插件来承载业务逻辑的实现上具有非常灵活的特性,开发者可根据自己的判断来决定插件的规模,插件的粒度可大可小,插件内部实现也可随时中止使用事件机制并转回其他一般的类与类、类与协议机制来实现具体的业务逻辑。...插件与模块的结合 插件、功能单元和模块的关系有以下 4 点: 1)一个模块实例关联多个插件实例,但一个插件实例仅对应一个模块实例; 2)模块初始化时,完成全部所属插件的挂载,插件的生命周期与模块的生命周期基本同步...插件与模块之间的联系通过配置文件声明,每个模块在初始化之时,通过配置文件的记载,把与之关联的插件进行初始化和绑定,插件订阅具体事件并开始运作事件机制,直到模块被注销,插件取消订阅所有事件并结束生命周期。

1.2K10

【Android 插件化】多开原理 | 使用插件化技术的恶意应用 | 插件化的其它风险 | 应用开发推荐方案

文章目录 一、多开原理 二、使用插件化技术的恶意应用 三、插件化的其它风险 四、应用开发推荐方案 一、多开原理 ---- 插件化的优点就是可以实现应用的多开 , 利用该多开虚拟化引擎 , 用户可以同时登录多个...二者之间肯定是不冲突的 ; 二、使用插件化技术的恶意应用 ---- 恶意应用 目前广泛使用 插件化技术 , 将 恶意行为 封装到插件中 , 如 盗取用户数据 ; 该恶意插件 APK 被加密后放在应用的资源文件..., 或从网络上下载 , 对应用静态分析 , 很难识别出该应用是恶意应用 ; PluginPhantom 的恶意插件是加密的 , HummingBad 的 恶意插件 是从网络上下载的 , 静态分析无法识别出恶意插件...插件化 ) 对 APK 应用进行重打包 : 开发一个宿主软件 , 将 APK 文件当做插件加载运行 , 宿主软件植入恶意代码 , 或者使用 插件方式 植入恶意代码 , 这样在不修改 APK 文件的前提下..., 就完成了对 APK 应用的重打包操作 , 达到了目的 ; 三、插件化的其它风险 ---- 权限升级 : 宿主应用 与 插件应用 UID 相同 , 宿主应用中会定义一百多权限 , 此时如果恶意应用获取了这些权限

79110
点击加载更多

扫码

添加站长 进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

更多标签

活动推荐

    运营活动

    活动名称
    广告关闭

    腾讯云开发者

    扫码关注腾讯云开发者

    扫码关注腾讯云开发者

    领取腾讯云代金券

    热门产品

    热门推荐

    更多推荐

    Copyright © 2013 - 2024 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有

    深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

    腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号 | 京公网安备号11010802020287

    领券