论文研究-基于虚拟化及重定向技术的Android沙箱设计与实现.pdf资源-CSDN文库

Android

需积分: 30 65 浏览量 2019-08-22 12:24:50 上传评论 1 收藏 428KB PDF 举报

资源详情

资源评论

http://www.paper.edu.cn

- 1 -

中国科技论文在线

基于虚拟化及重定向技术的 Android沙箱设

计与实现

崔海娜，张天乐

（北京邮电大学网络空间安全学院，北京 100876； 5

北京邮电大学可信分布式计算与服务教育部重点实验室，北京 100876）

作者简介：崔海娜（1991-），女，北京邮电大学硕士研究生，主要研究方向：终端安全

通信联系人：张天乐（1977-），男，副教授、硕导，主要研究方向：终端安全. E-mail: tlezhang@bupt.edu.cn

摘要：随着移动设备的普及，移动企业管理（EMM）作为解决企业移动化安全和管理问题

的产品应运而生。EMM 的移动性管理元素之一——移动内容管理（MCM），就是通过沙

箱化的技术来实现隔离、监控和控制敏感信息的分发与访问，即移动安全沙箱是企业移动管10

理（EMM）的核心亮点技术之一。文中分析了现有移动沙箱就数据保护方面以及资源消耗

方面的不足，并分析现有 PC 端沙箱系统的实现技术，对 Android 系统内部数据的操作进行

细化处理，提出了一种新型的基于虚拟化及重定向技术的 Android 沙箱系统，通过对 Android

四大组件、系统服务、IO 操作进行虚拟化和重定向，并将虚拟化技术应用于 Android 内部

存储数据，使得文章设计的沙箱可为用户对不信任的应用提供一个独立和安全的运行环境，15

实现应用在沙箱内外双开，并加强对数据的安全防护。该沙箱提供了文件系统隔离，使得在

沙箱内运行的应用产生的文件数据能够得以管理，重定向技术更是解决了沙箱内外进程同时

开启时可能产生的资源冲突。且测试结果表明对数据操作的分类处理加强了沙箱对数据完整

性的保护。

关键词：Android；沙箱；虚拟化；重定向 20

中图分类号：TP311.1

The design and implemention of Android sandbox based on

vitualization and redirection technology

CUI Haina, ZHANG Tianle 25

( School of Cyberspace Security, Beijing University of Posts and Telecommunications, Beijing

100876;

Key Laboratory of Trustworthy Distributed Computing and Service (BUPT), Ministry of

Education, Beijing 100876)

Abstract: The employees are getting rid of the shackles of the original fixed working environment 30

with the popularity of mobile devices. Enterprise mobility management(EMM) as a solution to

enterprise mobile security and the problems of management arises at the historic moment. Mobile

content management(MCM), one of the elements of EMM’s mobility management, achieves the

isolation, monitoring and controlling of distribution and accessing of sensitive information by using the

sandbox technology. That is to say, mobile security sandbox is one of the kernel technologies of EMM.

Mobile security sandbox is divided into ordinary sandbox and the core competitiveness of the sandbox,

mobile security sandbox is a non-antivirus security tool. This paper analyzes the existing problems of

current mobile sandboxes, and the existing PC end sandbox systems, and then proposes a new Android

sandbox system which based on virtual and redirect technology. By virtualizing and redirecting the

four major components, system services and IO operations of the Android system, the sandbox which

designed in this article provides an independent and safe running environment for the applications that

with untrustworthy property and enables the application to be ran both inside and outside the sandbox.

The sandbox provides file system isolation so that file data generated by applications running in the

sandbox can be managed. The sandbox provides file system isolation so that file data generated by

applications running in the sandbox can be managed. Redirection technology resolves resource

conflicts that may occur when the sandbox is started simultaneously and externally. In addition, this

article also achieved without modifying the application installation package and in transparent external

circumstances installed directly inside the sandbox.And the test results show that the classification of

data manipulation enhances the sandbox protection of data integrity.

http://www.paper.edu.cn

- 2 -

中国科技论文在线

Keywords: Android; sandbox; virtualization; redirect 50

0 引言

迅猛发展的移动互联网使得智能手机深获大众的喜爱，近日，Kantar Worldpanel 放出截

止 2017 年 2 月底的全球移动操作系统份额数据，从图 1

[1]

中可以看出 Android 操作系统所占

份额均超过一半，甚至高达 90%。移动设备的使用率持续攀升，使得黑色产业从事者将邪55

恶的目光转向了 Android 系统。另一方面，《2016-2020 年中国企业级移动应用管理市场现

状分析及发展趋势研究报告》

[2]

表明，作为移动企业管理（EMM）的数据安全防护核心的

沙箱至关重要。除了应用程序签名及权限管理外，Android 中的另一种安全机制即为“沙

箱”

[2][3]

，它不允许一个应用程序访问另一个应用程序的资源，Android 给每个应用程序唯一

的用户 ID（UID），通过运行该程序作为一个独立的进程 UID。只有过程具有相同的 UID60

可以共享资源，每个 ID 是唯一指定，这意味着没有其他应用程序的权限

[4]

。但随着技术的

发展，恶意软件的操作者也不断寻找新的途径来达到自己的获利目的，对 Android 用户造成

了不同程度的损失。移动安全沙箱中，普通沙箱的做法是嵌入 SDK 和反编译，SDK 并不是

所有厂商都能拿到，所以有些应用无法做到安全管理，反编译带来的问题是可逆性较差，兼

容不稳定

[5]

。虽然，目前已有用于 EMM 的沙箱，如平行空间、极客版 360 卫士等，但是产65

品核心沙箱的实现技术细节不详，没有明确的技术指向，使用过程中可发现其对安装包

（APK）进行了“绿化”，这在某种程度上会导致该应用被误认为山寨软件

[6]

。真正具有核心

竞争力的沙箱用途主要集中在对恶意软件的动态监测方面，实现技术较为复杂，且对数据的

保护仅局限于应用所产生的数据。

图 1 移动操作系统份额数据

Fig. 1 Mobile operating system share data

因此本文提出基于虚拟化和重定向技术的 Android 沙箱，对手机存储数据的操作进行细

化，选择性对数据进行虚拟化。沙箱的实现主要是借助插件化思想，为 Android 四大组件提

供预注册，实现借用代理组件与虚拟化的 AMS 实现交互，并对 Android 的输入输出接口进75

行 Hook，将应用以插件的形式实现其在沙箱进程内的隔离运行。这样，即使是恶意应用，

造成的不良影响只针对虚拟的沙箱环境，而对真机数据不会造成影响，最终实现集中式管理，

也可调出相关数据进行动态分析，为恶意软件的研究作出贡献。

1 相关研究

沙箱技术是保障网络安全的一项重要技术，受到学术界和产业界的重视。在计算机安全80

http://www.paper.edu.cn

- 3 -

中国科技论文在线

中，沙箱是一种根据某些安全策略，隔离运行程序的安全机制，可以保证在一个近乎真机的

独立环境中执行可疑的二进制文件，始于 PC 端，目前 PC 端沙箱的实现有较为成熟的技术，

例如 Sandboxie、GreenBorder 等

[6][7]

，智能手机平台就十分缺乏类似的沙箱软件。沙箱环境

[8][9]

的实现主要依赖于限制系统调用以及干预系统调用这两项技术，其中限制技术的研究重

点在于保护系统中数据的机密安全性，干预系统调用技术则是指通过干预系统的调用，改变85

系统调用的默认行为，对系统调用路径进行修改，并分析处理，来决定系统调用的具体执行

操作。现有沙箱多数用来为动态分析恶意软件提供一个完全隔离的环境，以供应用程序执行，

并对产生的文件数据进行分析。作为通用的动态软件分析手段，沙箱可以定义为“一个进程

行为被安全策略所限制的环境”

[10]

。用户空间(User Space)沙箱系统通常选择向系统数据库注

入代码，达到掌控应用程序常用 API 的目的，或是在自己建立的独立环境中调试应用样本，90

比如 ADSandbox

[11]

。但恶意软件可能具有反侦察能力，能够检测到用户空间沙箱，从而伪

装成正常应用以避免被发现。内核空间(Kernel Space)沙箱极力克服这个问题，它通过执行一

个底层监控方法，在内核中监测原始系统调用

[12]

。但内核空间沙箱实现复杂，且对硬件要

求较高。

插件化是 2017 年移动端最火爆的几个名词之一，能够为插件提供独立开发以及相互隔95

离的运行环境，本文中沙箱的实现则是借助插件化的接入方式，将已安装或未安装的应用以

插件的形式在沙箱进程内启动。目前，插件框架有很多，多借助动态加载的技术实现，在技

术架构上分为两个方向：

1）预先注册一些代理组件给系统组件，借助这些预先注册的组件的动态代理即可实现

插件的加载。然后调用插件中框架的接口将资源从插件加载到代理组件中，因为要编写框架100

接口增加了很多额外的开发成本。

2）在主程序中预先注册插件中需要的组件，但将主程序和插件分开打包，在主程序启

动地第一时间优先加载分包之后地插件模块，供给系统查找加载。此种技术框架没有増加额

外的开发成本，但模块无法根据用户需求动态加载，因为模块是提前注册过的，不能自由的

添加和删除模块。 105

基于这些问题，本文提出了针对 Android 应用的四大组件等各部分都作出细化处理的方

案，技术主要依赖于虚拟化和重定向技术。

1.1 虚拟化技术

本文沙箱中用到了虚拟映射技术。虚拟化技术是通过相关的技术为某种需求创造出一些

事物的虚拟版本的技术，比如可以实现操作系统虚拟，还有存储设备的虚拟以及实现网络资110

源虚拟。虚拟化后的资源对用户来说是透明的，它隐藏了实现的细节，用户所有的操作跟真

实环境中是一样的。虚拟化技术从实现原理的抽象层次主要分为原始级虚拟化、硬件级虚拟

化和操作系统级虚拟化。原始级与硬件级虚拟化在实现原理上均采用传统的 Hypervisor 架

构，在宿主系统与虚拟系统之间引入 VMM（Virtual Machine Monitor）

[12]

层来统一管理虚拟

系统并完成指令翻译工作。而操作系统级别的虚拟化技术以共享内核的方式，在宿主系统上115

为应用程序提供多个完整、隔离的运行环境，每个独立的运行环境和宿主系统具有相同的功

能与特性，相当于内核的一个新特性。操作系统级别的虚拟化避免了硬件层和虚拟实例间大

量的指令翻译工作，是一种轻量级的虚拟化技术

[13]

。

在本文中，主要是实现操作系统级的虚拟化，借助 Hook 技术，Hook 住相关函数，虚

拟出一个完整且隔离的运行环境供选中的应用正常运行。除此之外，对数据的防护也需借助120

剩余10页未读，继续阅读

评论收藏

内容反馈

论文研究-基于虚拟化及重定向技术的Android沙箱设计与实现 .pdf

评论0

最新资源

论文研究-基于虚拟化及重定向技术的Android沙箱设计与实现 .pdf

评论0

最新资源

相关推荐

Android虚拟化设计与实现

论文研究-基于多层次行为差异的沙箱逃逸检测及其实现.pdf

安卓动态分析平台droidbox

基于Unicorn-Engine的开源Windows可执行文件沙盒实现解析.pdf

虚拟化实现更好更快更经济的质量保证

Cmulator：Cmulator是（x86-x64）可编写脚本的反向工程沙盒模拟器，用于Shellcode和PE二进制文件。 基于Unicorn＆Zydis Engine和javascript

沙箱逃逸技术总结

基于安全云架构的虚拟沙箱的设计与实现.pdf

基于多安全机制的Linux应用沙箱的设计与实现.pdf

沙箱内持久化：行之有效的沙箱攻击新思路.pdf

沙箱安全系统解决方案设计-研华.pdf

DroidBox 4.1.1安卓沙箱最新版.rar

droidbox, Android应用的动态分析.zip

安卓逆向入门笔记.pdf

Firehunter APT沙箱安全技术方案.pdf

云原生沙箱环境技术概述.pdf

一种检测可疑软件的Android沙箱系统的研究与设计.pdf

Linux系统内核的沙箱模块实现.pdf

Android 0day漏洞检测沙箱系统的设计与实现 - 看雪峰会2019.pdf

深度威胁分析沙箱技术介绍.pdf

阿里技术分享 Android中的应用程序沙箱 共30页.pptx

FireHunter6000沙箱技术白皮书.pdf

论文研究-基于特征频繁度的勒索软件检测方法研究.pdf

Firehunter APT沙箱安全技术方案.pptx

SANGFOR_EMM_v7.6.7R2_CONF_普通沙箱配置指导for Android.pdf

SANGFOR_EMM_v7.6.7R2_CONF_增强沙箱配置指导for Android.pdf

行业资料-交通装置-一种沙箱吊车平衡杆.zip

Android 0day漏洞检测沙箱系统的设计与实现-v3.7.pdf

Cmulator：Cmulator是（x86-x64）可编写脚本的反向工程沙盒模拟器，用于Shellcode和PE二进制文件。基于Unicorn＆Zydis Engine和javascript

阿里技术分享 Android中的应用程序沙箱共30页.pptx