基于Android的软件安全技术研究（程序仿真+开题报告+任务书+说明书+演示文稿）

摘要在移动互联网飞速发展的今天，智能手机逐渐成为人们进行沟通交流、了解外部信息的重要工具。从某种程度上来说，智能手机相当于小型PC，其中的71.6%为Android手机系统。Android平台的开源性使得市场上各种手机智能软件日益增多并且混乱，有些非法的软件不仅威胁着手机的性能与安全，同时也给防范意识薄弱的手机用户带来了时间和经济上的损失。针对人们日常在使用手机的过程中存在的问题，比如，用户手机突然死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息等。设计了一款手机安全卫士软件。整个软件基于Android开发平台，采用Java语言，遵循MVC设计模式，使用SQLite这种嵌入式数据库，基本完成了一款功能强大、实际可行的手机安全卫士软件。该软件主要实现了以下功能：手机防盗、通讯卫士、软件管理、进程管理、流量统计、手机杀毒、系统优化、高级工具、设置中心以及二维码扫描十大功能模块。通过反复不断的调试及测试，该手机安全卫士软件基本实现了用户所需的功能，具有很强的实用性。本文重点介绍了两种病毒检测的方法，一种是基于签名的特征码扫描的检测方法，该方法是通过对已知的病毒特征码进行扫描并与特征码数据库进行比较，如果能匹配上则提示用户去查杀；另一种方法是通过扫描二维码进行检测，如果是恶意软件则提示用户去处理，否则就打开相应的链接，进行下载安装。关键词：Android病毒安全检测MVC设计模式IAbstractWiththerapiddevelopmentofmobileInternet,intelligentmobilephonehasbecomeanimportanttoolforpeopletocommunicate,understandtheoutsideinformation.IntelligentmobilephoneisequivalenttoasmallPC,whichhas71.6%Androidmobilephonesystem.Theopen-sourceAndroidplatformmakesallkindsofmobilephonesoftwareincreasinglyandconfusioninthemarket,someillegalsoftwaresnotonlythreatentheperformanceandsecurityofmobilephone,butalsopreventweakconsciousnessofmobilephoneusersintimeandeconomicloss.Therearesomeexistingproblemsaccordingtopeoplesdailyuseofmobilephone,suchasmobilephoneuserssuddenlycrashes,shutdown,personaldatalost,sendoutspamdisclosurewithpersonalinformation.Amobilesecurityguardssoftwareisdesigned.ThewholeprojectisbasedontheAndroiddevelopmentplatform,usingJavalanguage,followingtheMVCdesignpattern,usingSQLitedatabase.Thesoftwareiscompletedpowerfullyandpractically.Itcompletedthefollowingfunctions:Ninefeaturephone,communication,securityguardssoftwaremanagement,processmanagement,trafficstatistics,mobilephoneanti-virus,systemoptimization,advancedtools,setthecentermoduleandscantwo-dimensionalcode.Throughdebuggingandtesting,thesoftwarecanachievetheusersrequirement.Thisarticlefocusesonthetwovirusdetectionmethod,adetectionmethodisbasedonscanningsignatures,whichisknownbythevirussignaturescanningwithsignaturedatabase,theuserispromptedtokillingifyoucanmatch;anothermethodisscanningthetwo-dimensionalcode,theuserispromptedtodealwithifitismalicioussoftware,otherwiseitopenstheappropriatelinktoinstall.Keywords：AndroidVirusSafetyTestingMVCdesignpattern目录第1章绪论.11.1研究背景及其意义.11.2国内外研究现状.21.2.1国外研究现状.21.2.2国内研究现状.31.3主要研究内容.4第2章Android平台介绍及病毒分类.52.1Android体系结构.52.2搭建Android开发环境.72.3手机病毒分析.92.3.1Android手机病毒的来源.92.3.2Android手机病毒分类.92.3.3Android手机病毒传播方式.92.3.4Android手机病毒运行机理.112.4本章小结.11第3章杀毒原理介绍.123.1基于签名的病毒扫描原理.123.2云查杀的原理.133.3主动防御的原理.133.4启发式扫描原理.143.5本章小结.15第4章手机安全卫士项目开发.164.1项目简介.164.1.1Splash界面的UI开发.164.1.2程序主界面的UI设计.174.1.3关闭自动更新.184.2手机防盗模块的设计.194.2.1手机防盗设计流程.194.2.2手机防盗界面设计.194.3高级工具模块的设计.214.4通信卫士模块的设计.234.5软件管理模块的设计.244.6进程管理器的设计.254.7流量管理模块的设计.254.8系统优化的功能介绍.264.9设置中心模块的设计.264.10二维码扫描模块的设计.284.11手机杀毒模块的设计.284.12本章小结.30第5章项目测试.315.1各功能模块的测试.315.2本章小结.36第6章总结与展望.376.1本文工作总结.376.2后续研究及展望.38参考文献.39致谢.40附录.410第一章绪论本章简要介绍了Android软件安全研究的背景和意义，同时简要说明了Android软件安全国内外研究的现状，和本课题主要研究的具体内容。1.1研究背景及其意义目前互联网的应用以及信息交互已经从计算机时代发展到个人移动计算机时代。目前最普及的移动智能终端设备就是搭载Android操作系统的手机。目前几乎每个人都有一台Android手机。它的普及促进了基于Android的手机软件的快速发展。Android手机广大的用户群体以及良好的用户体验吸引了越来越多的开发者和应用者参与到Android应用程序的开发和使用中来。Android是一个基于Linux核心的开放手机操作平台系统，系统提供开放的源代码开发平台，这种开放的平台便于开发者方便、自由的开发，同时这种开放性也给不法开发商提供了便利。他们利用Android平台的开放性窃取用户隐私、偷走手机流量、恶意扣取用户话费等，给用户带来了巨大的损失。网秦于2014年6月10日正式发布2014年第一季度全球手机安全报告，据网秦“云安全”监测平台数据统计，2014年第一季度查杀到手机恶意软件共计41199款，同比增长63.9%；感染智能手机共计1784万部，同比增长71.5%。在恶意软件的特征分类中，2014年第一季度诱骗欺诈类恶意软件超过了恶意扣费类恶意软件，以总感染人数48%的比例列第一位。如图1.1和图1.2所示。报告显示，诱骗欺诈类恶意软件主要是通过诱骗性的信息，来骗取用户下载安装其他软件，达到广告推广的目的。所有的恶意软件主要是通过伪装成游戏类应用来进行传播的，在2014年第一季度的十大恶意软件排名中，有7个是游戏类应用。网秦安全专家认为，这与游戏类应用拥有海量用户、病毒传播速度快、规模大、盈利见效快等有着重要关系，充分符合病毒制造者逐利的本性。此外，音乐类软件也未能幸免。在恶意软件的传播上，第三方应用商店依然是主要途径，由于一部分第三方应用商店还存在安全审核机制不严谨的问题，使一些病毒制作者有机可乘，通过二次打包插入恶意程序重新上传至第三方应用商店进行谋利。综上所述，Android系统的广泛应用所带来的移动应用安全形势不容乐观，Android软件安全日益严峻，而且手机病毒的出现不仅给用户的个人信息安全造成威胁，同时也给国家信息安全带来重大安全隐患，甚至还会造成巨大的经济损失。因此，研发一款操作简便、安全可靠、功能强大的手机卫士是十分必要的。手机卫士除了包括手机防盗、拦截骚扰电话和短信、管理手机可用内存和卸载、启动、分享相关软件、清理手机进程、管理手机流量、清除缓存文件还有相关手机的设置等还1包括手机杀毒模块。手机杀毒模块主要实现手机病毒的检测和查杀。手机病毒检测系统的重要意义在于大力提升了我国在移动智能终端安全领域的竞争力，有效的改善移动智能终端领域匮乏有效的安全检测平台的现状，为提高智能终端平台安全性奠定坚实的基础，保障了移动互联网产业链的进一步健康、快速的发展。因此，研发一款具有较强检测病毒、查杀病毒的软件变得更加刻不容缓、意义深远。1.2国内外研究现状1.2.1国外研究现状美国杜克大学，宾夕法尼亚州立大学，和英特尔实验室联合研究已经证实了来自手机应用程序市场的Android应用程序将用户的隐私数据泄露在网络的广告上1。图1.12014年第一季度Android手机恶意软件特征分类图1.22014年第一季度手机病毒传播途径分布2参与研究的团队随机从AndroidMarketplace抽选了30种流行的第三方应用程序，并使用了TaintDroid研究这些应用程序的行为。研究的结果显示，三分之二的应用在研究中出现可疑的敏感数据处理，其中15个应用程序用户的位置到达远程的广告服务器。这项研究结果表明在智能手机平台中采用如TaintDroid的监控工具的有效性和可靠性。Shabtai等人2010年在Android平台上实现了一个基于行为检测的HIDS（host-basedintrusionpreventionsystems）病毒检测系统2。该系统在后台实现动态的监控手机设备的各种事件和独有特征，搜集到了大量的数据，通过机器学习算法将这些数据分为正常的（benign）和恶意的（malicious）。由于当时没有大量的病毒可供研究，Shabtai等仅通过分类Android平台上的游戏和工具软件来进行系统的检测性能，因此系统的效率没法得到验证。Shabtai等还在文献中评估多种机器学习算法和特征选择算法，从多种算法组合中选择出了作者认为表现最佳的算法组合，分别为DecisionTree-InfoGain和LogisticRegression-FisherScore,文献中的计算准确度分别在0.997和0.818。位于德国柏林科技大学的DAI-Labor实验室，对Android系统上的病毒动态检测进行了一系列的研究3。其中Thomas等人在文献中，提出了一种Android应用程序检测沙箱，沙箱位于系统内核中，它的功能主要是对Android应用程序进行动态的分析，通过系统调用重定向方法，监视系统和库函数调用及其参数，并记录其运行时的破坏行为。Thomas通过使用AndroidSDK中的Monkey工具，生成伪随机事件流，如模拟触摸、手势、用户点击或系统事件等，完成对应用程序的模拟运行。沙箱在内核中，记录应用程序的系统级行为，生成日志文件，并汇总到便于更好分析的数学向量中去。Thomas并没有给出分析算法，只是告诉了我们如何利用沙箱进行追踪并记录软件在系统中运行时的相关系统的调用。1.2.2国内研究现状王志国等人早在2009年就提出并实现了Android智能手机系统的文件实时监控技术4。文献中，作者是通过替换关键的系统调用（sys_read、sys_write、sys_exeve、sys_open、sys_unlink）来实现对Android平台文件操作行为的捕获，但文中只是通过系统调用截获到系统对文件的调用情况，更多的是讲解了Linux操作系统上的文件操作监控，并未涉及恶意代码行为的其他方面。并且因为当时缺少真实的Android平台恶意软件的实际攻击研究，使得无法使Android的应用程序的检测达到良好的效果。最值得一提的能全方位地保护手机安全的软件当属北京网秦天下科技有限公司推出的“网秦手机安全”，该软件集成了病毒扫描、实时监控、网络防火墙、在线更新、系统管理五大功能，有效的防范了移动恶意程序的攻击、数据的窃取和隐私的3侵袭。有效的保护了Android手机操作系统的安全。专为移动设备用户提供安全运行环境的信息安全软件当属北京江民新科技有限公司推出的“江民杀毒软件手机版”，该版本的优点是具有出色的兼容性，还具有经过特别优化的软件的实时监控功能，可以实时的检测手机文件的变化，占用资源小，基本上不影响手机的使用效率，能够全面查杀手机的各种病毒、木马5。是移动设备的天然保护伞。总之，从国内外比较情况来看，国内的研究起步比较晚，对病毒的分析手段和分析工具主要依赖国外的开源组织和研究理论成果，而且主要是以人工分析为主，机器分析为辅。虽然目前各大安全厂商已经投入大量精力，但是对手机病毒的分析检测技术还相对比较落后，仅是对已知病毒具有一定的防护能力，虽然目前对手机软件也能进行实时监控，并检测查杀一定的未知病毒，但相对国外的技术，对未知病毒的检测能力还有待进一步提高。1.3主要研究内容本文主要研究了基于Android软件安全的研究背景和国内外研究现状，并分析了Android操作系统的安全机制及其可能存在的安全隐患。依据Android平台的系统体系结构设计了目前市场上比较普遍的手机安全卫士所具有的十大功能模块，同时对杀毒模块进行了单独研究，开发了基于病毒特征码的静态检测技术，并进一步研究了如何通过二维码扫描动态检测软件的安全性。主要工作包括：第1章介绍了基于Android软件安全研究的背景和国内外研究现状。第2章研究Android操作系统的体系结构，如何搭建Android平台。同时研究了Android系统的安全机制，并对现有的手机病毒进行了分类。第3章针对目前手机病毒的分类，研究分析了四种杀毒原理，包括基于签名的特征码扫描原理、云查杀原理、主动防御的原理还有就是启发式扫描的原理。针对这四种杀毒原理分别进行了介绍和优缺点的比较。第4章介绍了手机安全卫士的十大功能模块的设计流程，包括手机防盗、通信卫士、软件管理、进程管理、流量统计、手机杀毒、系统优化、高级工具、设置中心和二维码扫描等。第5章针对第四章介绍的各个功能模块进行了测试，测试结果比较理想，达到了设计的预期。第6章总结了本课题的研究成果，同时对没有研究成功的方法也做了系统的总结，并在接下来的时间里继续努力的去完善它。4第二章Android平台介绍及病毒分类本章将从Android平台体系结构，Android平台环境搭建进行介绍。同时对Android病毒进行了分类研究，并在之后的章节针对不同的病毒设计了不同的检测方式。2.1Android体系结构Android系统的底层建立在Linux系统之上，该平台由操作系统、中间件、用户界面和应用软件4层组成，它采用一种被称为软件层叠的方式进行构建。Android系统主要由5部分组成，图2.1显示了Android系统的体系结构。下面分别对这5部分进行简单介绍。APPLICATIONSAPPLICATIONFRAMEWORKLIBRARIESANDROIDRUNTIMELINUXKERNEL图2.1Android系统的体系结构ContactsssHomeBrowserPhoneNotificationManagerLocationManagerResourceManagerTelephonyManagerPackageManagerViewSystemContentProvidersActivityManagerWindowsManagerlibcSGLMediaFrameworkOpenGLESSSLWebKitSQLiteFreeTypeSurfaceManagerDalvikVirtualMachineCoreLibrariesPowerManagementAudioDriverWiFiDriverKeypadDriverDisplayDriverCameraDriverFlashMemoryBinder(IPC)Driver51.应用程序层程序员利用AndroidSDK来开发Android平台的应用程序，每个应用程序通常以Java程序编写。Android系统包括一系列手机基础的核心应用程序，包括SMS程序、地图、日历、浏览器、电子邮件客户端、联系人等。2.应用程序框架Android系统的应用程序的开发就是面向底层的应用程序框架进行的，该应用程序框架为应用程序层的开发者提供关键的API。一个Android的应用程序可以利用应用程序框架中的以下五部分：服务、内容提供者、活动、广播意图接收者、意图和意图过滤器。3.函数库Android包含一套被不同组件所使用的C/C+库的集合。Android系统主要的库及其简介如表2.1所示。库名称库简介系统C库一个从BSD系统派生出来的标准C系统库（libc）,并且专门为嵌入式Linux设备调整过。媒体库基于PacketVideo的OpenCORE，这套媒体库支持播放和录制许多流行的音频和视频格式。SurfaceManager管理对显示子系统的访问，并可以对多个应用程序的2D和3D图层机提供无缝整合。LibWebCore一个全新的Web浏览器引擎，该引擎为Android浏览器提供支持，也为WebView提供支持。SGL底层的2D图形引擎3Dlibraries基于OpenGLES1.0API实现的3D系统，这套3D库既可使用硬件3D加速，也可以使用高度优化的软件3D加速。FreeType位图和向量字体显示SQLite供所有应用程序使用的、功能强大的轻量级关系数据库表2.1Android系统主要库及其简介64.Android运行时Android运行的时候是由两部分组成的，Android核心库集和Dalvik虚拟机。其中的核心库集提供了Java语言所使用的绝大部分的功能，而虚拟机则是负责运行Android应用程序。5.Linux内核Linux内核是系统硬件和软件叠层之间的抽象层。它提供了内存管理、进程管理、安全性、网络协议栈和驱动模型等核心的系统服务。2.2搭建Android开发环境安装步骤：第一步，安装JDK，修改环境变量。运行jdk-7u3-windows-i586.exe,一直点击下一步，直到完成为止。修改环境变量，在path变量值前加%JAVA_HOME%后点击确定，如图2.2所示。新建系统变量，变量值为jdk安装目录。如C:ProgramFilesJavajdk1.7.0_03bin;如图2.3所示。第二步，安装eclipse。直接解压缩eclipse(英文版).zip或eclipse(中文版).rar到指定目录如：D:Androideclipse。第三步，安装installer_r17-windows.exe。第四步，修改环境变量。将AndroidSDK中的tools绝对路径添加到系统PATH中，如PATHD:Androidandroid-sdktools。“确定”后，重新启动计算机。图2.2修改系统变量7把sdk-32位或sdk-64位解压到D:AndroidAndroid-sdk（即sdk安装目录下），如有文件已存在选择全部替换。运行SDKManager，查看是否安装好，installed表示已经安装，如图2.4所示，点击关闭。第五步，安装AndroidDevelopmentTools（ADT）。打开eclipse.exe进入菜单中的“help”-“installNewSoftWare.”然后点Add，出现如图2.5所示，然后点击Archive.找到ADT-22.3.0.zip所在目录（非中文），然后打开，出现如图2.6所示，然后点击Selectall，点击Next，直到完成。第六步，安装Android模拟器系统版本。第七步，启动Eclipse，就可以新建Android项目了。图2.3新建系统变量图2.4SDKManager运行结果图2.5安装ADT82.3手机病毒分析手机病毒是一种具有破坏性和感染性的手机程序，其可利用发送短信，浏览网站，蓝牙等方式进行传播，会导致用户手机死机、关机、个人资料被删、向外发送垃圾邮件泄露个人信息等。2.3.1Android手机病毒的来源Android手机病毒的来源可以系统的分为以下几个方面。第三方电子市场和手机论坛：各大电子市场是用户下载APP的主力市场，也是手机APP被篡改打包病毒的主要风险渠道，病毒来源渠道依然占比最高，达到23%。其次是作为手机玩家的重点聚集地，手机论坛占比为20%。软件捆绑传播：不法开发商通过植入恶意代码或者恶意广告插件捆绑知名软件二次打包可以迅速感染广大手机用户，目前已成为病毒的主要来源。ROM内置渠道：部分不良水货商，以及部分互联网上的第三方ROM制作者基于黑色利益链分工，将病毒刷到手机的ROM。刷机的用户越多，感染性越强。二维码染毒：是一种新兴途径，在2013年10月，用户二维码染毒比例就已经达到7%。目前通过扫描二维码下载软件越来越普遍，使得病毒传播更加严重。2.3.2Android手机病毒分类Android手机病毒主要分为八种类型：恶意扣费、隐私窃取、远程控制、恶意传播、资费消耗、系统破坏、诱骗欺诈、流氓行为。表2.2列出了这八种手机病毒的图2.6安装控件9类型及其相对应的恶意行为。2.3.3Android手机病毒传播方式Android手机病毒的传播方式大致可分为以下五种方式：第一，利用短信或乱码传播，病毒发出一系列由怪字符组成的病毒短信，使手机无法提供某些方面的服务。乱码电话，则是在来电显示中显示乱码，机主一旦接听，则会感染上病毒，机内资料可能被破坏。第二，诱骗用户下载和运行病毒软件，利用该病毒，攻击者可以偷窃手机里的电话号码和电子邮件，同时可以远程控制手机，执行各种危险指令。第三，利用蓝牙方式传播，此病毒可以更改手机的系统设置，使手机一开机就能先运行该病毒，并且它可以利用蓝牙自动搜索附近的手机是否存在漏洞，并试图进行攻击。手机病毒类型恶意行为概述恶意扣费在用户不知情或未授权的情况下，通过隐蔽执行、欺骗用户点击等手段，订购各类收费业务或使用移动终端支付，导致用户经济损失隐私窃取在用户不知情或未授权的情况下，获取涉及用户个人信息的，具有隐私窃取属性远程控制在用户不知情或未授权的情况下，能够接受远程控制端指令并进行相关操作恶意传播自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其他恶意代码进行扩散资费消耗在用户不知情或未授权的情况下，通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式，导致用户资费损失系统破坏通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其他非恶意软件部分或全部功能、用户文件等无法正常使用的，干扰、破坏、阻断移动通信网络、网络服务或其他合法业务正常运行诱骗欺诈通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式，诱骗用户，而达到不正当目的流氓行为执行对系统没有直接损害，也不对用户个人信表2.2八种手机病毒的类型及其相对应的恶意行为10息、资费造成侵害的其他恶意行为第四，利用MMS传播，这种病毒的传播方式是利用传送MMS的方式来达到传送病毒的目的。第五，利用手机BUG，在手机电话设备的“EPOC”上运行，如“EPOC-ALARM”、“EPOC-BANDINFO.A”、“EPOC-FAKE.A”、“EPOC-GHOST.A”等，主要表现是持续发出警告声音；将用户信息变更为“Somefoolownthis”；在手机的屏幕上显示格式化内置硬盘时画面；最严重的是使手机键盘操作功能丧失。2.3.4Android手机病毒运行机理Android手机病毒的运行机理主要是以下两种方式：一是将病毒代码嵌入正常组件中去，然后在正常应用的进程中运行病毒代码程序；二是将病毒组件嵌入到正常应用中，一般情况，被植入正常程序的病毒组件都是以后台的形式运行的，并且它们拥有正常应用所具有的所有权限。2.4本章小结本章主要对Android平台的体系结构进行了介绍，同时讲解了搭建Android运行环境的方法，并且对市场上存在的各种病毒进行了分析，为下文开发手机卫士的各项功能，和杀毒程序的开发和测试奠定了基础。11第三章杀毒原理介绍本节针对第二章总结的病毒的分类及特征，介绍了四种目前比较普及的杀毒原理，包括基于签名的特征码的扫描、主动防御、启发式扫描、云查杀。当然各个杀毒软件的杀毒原理基本都相同，区别就在于杀毒引擎。下面针对各杀毒原理进行介绍。3.1基于签名的病毒扫描原理在本次设计中，就是采用的这种方式进行扫描并查杀病毒的。其基本原理就是提取出文件的特征码，将提取出来的特征码与病毒数据库中的进行比较，如果存在就判断为病毒。其主要的杀毒流程如图3.1所示。首先进入杀毒界面，创建一个杀毒的子线程，然后通过PackageManager遍历手机中所有已经安装的和尚未卸载干净的应用程序，通过扫描应用程序的特征码与病毒数据库里面的特征码进行对比，判断是否为病毒，如果匹配上，则证明是病毒，那么就弹出相应的杀毒提示框，让用户去处理，否则，应用程序是安全的，则返回杀毒主界面。图3.1手机杀毒流程图手机杀毒界面创建子线程是否为病毒弹出删除病毒界面程序签名与数据库对比通过PackageManager遍历应用程序扫描程序12病毒扫描由两部分组成：一部分是病毒特征码库，含有经过特殊选定的各种手机病毒的特征码；另一部分是利用该特征码库进行扫描的扫描程序。病毒扫描程序能识别的手机病毒的数目完全取决于病毒特征码库内所含病毒特征码种类的多少。显而易见，库中病毒特征码种类越多，扫描程序能认出的病毒就越多。特征码的扫描法的最大的优点是易于商业化，并且可以依据检测结果做进一步的杀毒处理。但是这种方式也有很大的局限性，这种扫描方式只能查杀病毒数据库中的已知病毒，对于病毒库里边没有的病毒无法扫描出来。但是随着病毒的种类越来越多，需要存入数据库中的特征码也越来越多，数据库的体积也越来越大，对用户来说，下载这些杀毒软件时同时也要下载这些病毒数据库才可以实现杀毒，因此给手机用户带来很大的不便，同时占用手机很大的内存，而且数据库中的数据增多，扫描所需要的时间也会加长，查询速度就非常慢。尽管如此，基于特征码的扫描法仍是使用最为普遍的手机病毒检测方法。3.2云查杀的原理由于每检测出一种新的病毒，我们都需要将它的特征码提取出来，然后将其存入病毒数据库当中，由于病毒的种类越来越多，需要存入病毒数据库里边的特征码也越来越多，因此病毒库怎么保存？就成为安全领域的一大难题。20年前，一年大概只能找到1000多种病毒，每隔几天去更新一次用户的病毒库就能够保障用户的安全。但是目前每天要新增几乎2万多种病毒，安全厂商即使不间断的在线更新用户端的病毒库，也不能做到100%的安全。因此，安全厂商们就研究了“云计算”，将病毒数据库放在“云端”，与客户端所构成的防御体系能够通过网络直接去阻断病毒和木马的传播路径，从而保护了终端机器的安全。云查杀即是新一代不需要病毒数据库的杀毒方法，它的原理是将常见的病毒特征码存到客户机上，不常见的存到服务器上，然后扫描所有的启动项和现在在运行的后台和前台的进程和各个进程的服务项，当有一些可疑的文件出现时，它会将该文件的特征码提交到服务器上，由服务器来处理。而服务器的处理能力是比较强的，会将处理的结果返回给客户端。另外它还会定期更新一些安全项和非安全项的数据，这种方法不需要等待服务器响应所以分析快很多，缺点是不能保证有实时的安全项数据。133.3主动防御的原理主动防御顾名思义不是以查杀为主要手段，而是以防御为主。主动防御是最新的杀毒方式，监视系统关键的API是否改变，或者是注册表的操作，比如360的主动防御就会提示我们某某程序正在加载，是否允许更改浏览器主页等。主动防御就是一个后台的Service服务，实时监控Android的设备状态，比如短信监控、电话监控、网络监控和程序安装监控等，当有病毒入侵时，可以及时监测出来，并提醒用户处理。主动防御的一般流程是通过挂接系统建立进程的API，杀毒程序就在一个进程建立之前对进程的代码进行扫描，如果发现SGDT，SIDT，自定位指令(一般正常软件不会有这些指令)，就提示用户处理，如果用户放行，就让进程继续运行;接下来监视进程调用API的情况，如果发现以读写方式打开一个EXE文件，可能进程的线程想感染PE文件，就发出警告;如果收发数据违反了规则，发出提示;如果进程调用了CreateRemoteThread()，则发出警告(因为CreateRemoteThread()是一个非常危险的API，正常进程很少用到，倒是被病毒木马用得最多)。通过这样的一个流程实现主动防御，将未知的病毒给检测出来，防患于未然。3.4启发式扫描原理我们知道无论是病毒的特征码还是基因码，其原理都是根据对已知病毒的分析，对未知病毒进行防御。这种方法虽然能够杀死一部分的未知病毒，但是却很难对全新的病毒的威胁进行防御。于是安全厂商就意识到要改进病毒的查杀思路，如果一味的跟着病毒的改变走，永远只会处于被动状态。因此安全厂商就研究设计了这种启发式扫描病毒的方式。启发式扫描是目前一种比较主流的对付新型病毒的方式。启发式指的是“自我发现的能力”或“运用某种方式或方法去判定事物的知识和技能。”启发式扫描的原理就是，用这种扫描技术“启发”一下各种可执行程序，然后根据这些程序的行为进行判断，因为绝大多数病毒程序都是通过用户启动它，它才开始攻击用户的手机程序。这种方法说的通俗一点就比较类似于钓鱼，用只有病毒才会咬钩的饵料，把病毒钓上来。这种启发式扫描的实现途径是通过虚拟机技术，以及智能的分析技术。启发式会在用户的移动终端模拟一个虚拟环境，和实机的环境隔绝，无论虚拟机里边发生什么情况，都不会影响到实机。当我们点击运行启发式扫描的时候，可执行程序会被装入虚拟机，并被诱发执行，然后监测这些可执行程序的行为，如果虚拟机里边有一个可执行程序是病毒，那么当被执行之后，它就会疯狂的侵染虚拟机，这时候14杀毒程序就会将其查杀，而实机不会受任何的影响。当然启发式扫描技术也有其缺点，比如遇到手法高明的病毒，启发式扫描也很难将其检测出来。因此启发式扫描也不是能够将所有的未知病毒都能检测出来。另外，启发式扫描误报率高，不是任何一个读取其他程序的可执行程序都具有破坏性，因此这就需要用户去判断了。3.5本章小结本章详细介绍了四种病毒的查杀原理，其中包括本课题实现的基于签名的特征码扫描的查杀原理，还有本课题尚未实现的主动防御，云查杀，启发式扫描的查杀原理，总结来说基于签名的特征码扫描和云查杀属于静态查询方式，是通过提取病毒特征码跟病毒数据库进行比较来实现的。还有另外两种主动防御和启发式扫描属于动态扫描原理，是通过监控可执行程序的行为来判断未知的病毒。并将检测出来的病毒的特征码提取出来，保存到病毒数据库中。15第四章手机安全卫士项目实现本章系统地讲解了一个完整的Android实际项目的设计流程，该项目涵盖了市场上主流手机安全卫士的主要功能，具体包括：手机防盗、通信卫士、软件管理、进程管理、流量统计、手机杀毒、系统优化、高级设置、设置中心及二维码扫描。下面将对各模块的具体设计流程进行详细介绍。4.1项目简介整个项目综合运用Android知识点，以MVC框架构建项目。本项目所实现的功能模块主要包含以下几个：手机防盗模块：SIM卡变更报警、GPS追踪、远程数据销毁、远程锁屏四个子模块。通信卫士模块：黑名单管理、电话拦截、短信拦截三个子模块。软件管理模块：显示所有软件、卸载软件、启动软件、分享软件四个子模块。进程管理模块：显示所有正在运行的进程和剩余内存、一键清理两个子模块。流量统计模块：显示软