pLL是上海交通大学计算机系在读博士生,目前从事程序分析理论与算法的研究。主要研究方向包括:模糊测试;应用程序安全性检查、可靠性验证、脆弱性自动化分析等。徐昊目前从事 OSX/iOS 相关的软件开发和安全性研究,在Windows安全领域同样也有多年经验。主要研究方向:OSX/iOS/Windows安全性、Rootkit攻击与检测、虚拟化技术、逆向工程、PKI。并曾在XCON,POC,SYSCAN等会议上发表过多次演讲。
PLL和徐昊首先分享了一组数据,2013年第二季度的Android设备占据了智能手机出货量的80%。但随之而来的问题是恶意软件的增长率达到614%,总共发现了276,259个恶意应用。他们认为,Android已经成为当前恶意软件最主要的攻击目标。而这其中超过2/3的恶意应用下载来自第三方市场或其它渠道,而不是Google Play商店。逐渐增多的定制版本也让Google难以从系统层解决安全性的问题。
专家介绍,目前有很多针对恶意软件的检测技术,从基于签名、设备的检测方法到动态和静态分析。但是,恶意软件也在进行自身升级,来抵御这些检测方式,比如目前很多恶意软件使用到反射机制和动态代码加载等方式来隐藏恶意代码。在大会现场PLL和徐昊演示用动态加载APK文件,通过反射机制来调用恶意行为。
基于这样的背景下,使用数据流进行检测就有了用武之地。PLL和徐昊介绍,aDFAer原理上是一个数据流分析引擎,可以在aDFAer引擎的接口上编写客户端来解决各种不同的安全问题。在其名为Janus的子项目中,可以对目前使用反射机制高级恶意软件进行检测,从而提高对高级恶意软件的检测几率。
在最后的提问环节,现场气氛十分热烈,由于移动安全是很多参会者所关心的话题,因此提问非常积极,PLL和徐昊就许多技术探讨与参会者进行了现场的互动交流。
本次SyScan360大会是由中国领先的互联网安全公司360承办的国际顶级安全技术峰会,于9月24日至25日在北京与中国互联网安全大会同期举行。超过百位的全球顶级安全专家出席并分享了最新的技术成果。