识别Android rootkit

Question

目前涉及大学项目，可以使用成员为Android设计的任何Rootkit的帮助。

我对Android恶意软件知之甚少，到目前为止，该项目已让我们反编译查看java类文件（如果可读）和AndroidManfiest.xml文件。我还设法使用各种adb命令在uni实验室中设置一个电话并将文件推送到它。

我想知道的是，如果在类文件中发现恶意rootkit代码相对容易？有什么我可以注意的吗？这是获得su状态还是涉及到添加用户？假设下一阶段将是然后联系服务器，以便开发人员远程访问..

此外，是否有一个系统或服务，可以处理apk来发现它是否包含rootkit（不只是恶意）？

回复：

喜抱歉晚答复 - 试图立即响应，但不允许作为我新的，但后来忘了！

感谢您的信息！我很欣赏，我可能听起来很天真，但我想我必须看到，因为我不知道任何关于rootkit或他们的工作方式。

你是对的，他们没有询问第三方扫描仪，那只是我的兴趣所在。那么在那个话题上，你是否说有那些专门在样本中寻找rootkit的扫描仪？或者，这是检测他们提供的整体AV服务的所有部分。如果单独针对rootkit，那么我真的想知道哪些，所以我可以研究它们。

另外，关于开发一个错误 - 我假设你是指Android操作系统中的一个错误？这是否意味着当补丁更新从Google推出时，rootkit无法运行？

谢谢

Answer 1

一个不错的rootkit尽力获得某些访问，秘密。所以你对它的业务做出的任何概括都可能已经被任何好的rootkit解决了。

“设置su状态”几乎不值得被称为“rootkit”，这只是“使用root权限”，你似乎给了应用程序。 Rootkit会寻找一种方法，通过利用某种错误来实际获得这个权限。

发现这些东西的服务系统通常称为病毒和/或mallware扫描仪。是的，他们存在。

不是负面的，但是这似乎是一个关于这个主题的天真贴子，可能不是一个项目的好开始：我会说使用第三方恶意软件扫描仪可能不是笏问？例如，你可以寻找已知的漏洞利用方法。一个出于某种原因想到的是溢出，但这只是一个随机的事情。阅读rootkit，他们的方法，启发式查找等等。