Trace Flight

Android Malware Datasets

Wed, 24 Jan 2018 00:00:00 +0800

新搭建了个人博客，文章全部转到http://blog.datarepo.cn上更新。

Android malware datasets.

1. Android Malware Genome Project

In this project, we focus on the Android platform and aim to systematize or characterize existing Android malware. Particularly, with more than one year effort, we have managed to collect more than 1,200 malware samples that cover the majority of existing Android malware families, ranging from their debut in August 2010 to recent ones in October 2011.

Publication Dissecting Android Malware: Characterization and Evolution. Yajin Zhou, Xuxian Jiang. Proceedings of the 33rd IEEE Symposium on Security and Privacy (Oakland 2012). San Francisco, CA, May 2012

Homepage (No longer supported) http://www.malgenomeproject.org

2. M0Droid Dataset

M0Droid basically is android application behavioral pattern recognition tool which is used to identify android malwares and categorize them according to their behavior. It utilized a kernel level hook to capture all system call requests of the application and then generate a signature for the behavior of the application.

Publication Damshenas M, Dehghantanha A, Choo K K R, et al. M0droid: An android behavioral-based malware detection model[J]. Journal of Information Privacy and Security, 2015, 11(3): 141-157.

Homepage http://m0droid.netai.net/modroid/

Blog http://www.alid.info/blog/2015/2/4/android-malware-research-dataset

3. The Drebin Dataset

The dataset contains 5,560 applications from 179 different malware families. The samples have been collected in the period of August 2010 to October 2012 and were made available to us by the MobileSandbox project. You can find more details on the dataset in the paper.

Publication Arp D, Spreitzenbarth M, Hubner M, et al. Drebin: Efficient and explainable detection of android malware in your pocket[C]//Proc. of 17th Network and Distributed System Security Symposium, NDSS. 14.

Homepage http://user.informatik.uni-goettingen.de/~darp/drebin/

4. A Dataset based on ContagioDump

*The dataset is a collection of Android based malware seen in the wild. The malware pieces were downloaded on October 26th, 2011. The total number of malware included in the sample is 189. I have qualitatively split them into categories based on their primary behaviours where available. I obtained their primary behaviours from malware reports from the various AV companies.If the malware would download a separate payload as its primary function, it was put in the Trojan category. If the malware executed an escalation of privilege attack, it was in the escalation of privilege category. If the malware primarily stole data from the phone, it was classified as information stealing. If the malware sent premium SMS messages, it was a premium SMS transmitting malware. *

Homepage http://cgi.cs.indiana.edu/~nhusted/dokuwiki/doku.php?id=datasets

5. AndroMalShare

AndroMalShare is a project focused on sharing Android malware samples. It’s only for research, no commercial use. We present statistical information of the samples, a detail report of each malware sample scanned by SandDroid and the detection results by the anti-virus productions. You can upload malware samples to share with others and each malware sample can be downloaded(only by registered users)!

Homepage http://sanddroid.xjtu.edu.cn:8080/#home

6. Kharon Malware Dataset

The Kharon dataset is a collection of malware totally reversed and documented. This dataset has been constructed to help us to evaluate our research experiments. Its construction has required a huge amount of work to understand the malicous code, trigger it and then construct the documentation. This dataset is now available for research purpose, we hope it will help you to lead your own experiments.

Publication CIDRE, EPI. Kharon dataset: Android malware under a microscope. Learning from Authoritative Security Experiment Results (2016): 1.

Homepage http://kharon.gforge.inria.fr/dataset/

7. AMD Project

AMD contains 24,553 samples, categorized in 135 varieties among 71 malware families ranging from 2010 to 2016. The dataset provides an up-to-date picture of the current landscape of Android malware, and is publicly shared with the community.

Publication Li Y, Jang J, Hu X, et al. Android malware clustering through malicious payload mining[C]//International Symposium on Research in Attacks, Intrusions, and Defenses. Springer, Cham, 2017: 192-214.

Wei F, Li Y, Roy S, et al. Deep Ground Truth Analysis of Current Android Malware[C]//International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. Springer, Cham, 2017: 252-276.

Homepage http://amd.arguslab.org

8. AAGM Dataset

AAGM dataset is captured by installing the Android apps on the real smartphones semi-automated. The dataset is generated from 1900 applications.

Publication Arash Habibi Lashkari, Andi Fitriah A.Kadir, Hugo Gonzalez, Kenneth Fon Mbah and Ali A. Ghorbani, Towards a Network-Based Framework for Android Malware Detection and Characterization, In the proceeding of the 15th International Conference on Privacy, Security and Trust, PST, Calgary, Canada, 2017.

Homepage http://www.unb.ca/cic/datasets/android-adware.html

9. Android PRAGuard Dataset

As retrieving malware for research purposes is a difficult task, we decided to release our dataset of obfuscated malware.

The dataset contains 10479 samples, obtained by obfuscating the MalGenome and the Contagio Minidump datasets with seven different obfuscation techniques.

Publication Davide Maiorca, Davide Ariu, Igino Corona, Marco Aresu and Giorgio Giacinto. Stealth attacks: an extended insight into the obfuscation effects on Android malware. In Computers and Security, vol. 51, pp. 16-31, 2015.

Homepage http://pralab.diee.unica.it/en/AndroidPRAGuardDataset

10. AndroZoo

AndroZoo is a growing collection of Android Applications collected from several sources, including the official Google Play app market.It currently contains 5,781,781 different APKs, each of which has been (or will soon be) analysed by tens of different AntiVirus products to know which applications are detected as Malware. We provide this dataset to contribute to ongoing research efforts, as well as to enable new potential research topics on Android Apps.By releasing our dataset to the research community, we also aim at encouraging our fellow researchers to engage in reproducible experiments.

Publication K. Allix, T. F. Bissyandé, J. Klein, and Y. Le Traon. AndroZoo: Collecting Millions of Android Apps for the Research Community. Mining Software Repositories (MSR) 2016.

Homepage https://androzoo.uni.lu/

Android模拟器中构建TaintDroid

Tue, 18 Oct 2016 00:00:00 +0800

新搭建了个人博客，文章全部转到http://blog.datarepo.cn上更新。

下载编译运行TaintDroid

1. TaintDroid项目介绍

TaintDroid是由William Enck等人开发并实现的Android系统的实时隐私监控系统，常被用于Android软件动态分析。论文TaintDroid: an information flow tracking system for real-time privacy monitoring on smartphones发表在国际会议Usenix Conference on Operating Systems Design & Implementation。

TaintDroid通过修改Android源代码实现相关功能，其支持的最新系统版本为Android 4.3。

2. 构建TaintDroid

Step 0: 安装相关软件

$ sudo apt-get install curl git libswitch-perl gperf flex

上述软件为必须软件，若在实践过程中出现问题，自行Google即可。

Step 1: 获取Android源代码

安装Repo

Repo是谷歌用Python脚本写的调用git的一个脚本。主要是用来下载、管理Android项目的软件仓库。更多关于Repo的信息，参见Google开发网页。

下载repo工具

$ mkdir ~/bin
$ PATH=~/bin:$PATH
$ curl https://storage.googleapis.com/git-repo-downloads/repo > ~/bin/repo
$ chmod a+x ~/bin/repo

修改repo文件

$ gedit ~/bin/repo
//将 REPO_URL 一行替换成为：REPO_URL = 'https://gerrit-google.tuna.tsinghua.edu.cn/git-repo'

前面两步也可简化为

$ mkdir ~/bin
$ PATH=~/bin:$PATH
$ wget -P ~/bin https://raw.githubusercontent.com/traceflight/Android-related-repo/master/Repo-Script/repo
$ chmod a+x ~/bin/repo

配置Git

$ git config --global user.name "Your Name"
$ git config --global user.email "you@example.com"

获得Android源代码

Android源代码托管的官方网站为：https://android.googlesource.com/platform/manifest。由于众所周知的原因，大陆无法访问，可使用清华大学开源软件镜像站代替使用。

建立工作目录：

$ mkdir -p ~/tdroid/tdroid-4.3_r1
$ cd ~/tdroid/tdroid-4.3_r1

初始化仓库，使用android 4.3

$ repo init -u https://aosp.tuna.tsinghua.edu.cn/platform/manifest -b android-4.3_r1

同步源码树（所需时间较长）

$ repo sync

编译源代码

源代码编译过程中可能出现各种问题，请Google相关问题。

$ . build/envsetup.sh
$ lunch 1
$ make -j4

运行模拟器

$ emulator

Step 2: 获取TaintDroid源代码

创建local_manifest.xml文件

$ mkdir ~/tdroid/tdroid-4.3_r1/.repo/local_manifests/
$ cd ~/tdroid/tdroid-4.3_r1/.repo/local_manifests/
$ touch local_manifest.xml
$ gedit local_manifest.xml

复制下列内容到文件local_manifest.xml中

<manifest>
  <remote name="github" fetch="git://github.com"/>
  <remove-project name="platform/dalvik"/>
  <project path="dalvik" remote="github" name="TaintDroid/android_platform_dalvik" revision="taintdroid-4.3_r1"/>
  <remove-project name="platform/libcore"/>
  <project path="libcore" remote="github" name="TaintDroid/android_platform_libcore" revision="taintdroid-4.3_r1"/>
  <remove-project name="platform/frameworks/base"/>
  <project path="frameworks/base" remote="github" name="TaintDroid/android_platform_frameworks_base" revision="taintdroid-4.3_r1"/>
  <remove-project name="platform/frameworks/native"/>
  <project path="frameworks/native" remote="github" name="TaintDroid/android_platform_frameworks_native" revision="taintdroid-4.3_r1"/>
  <remove-project name="platform/frameworks/opt/telephony"/>
  <project path="frameworks/opt/telephony" remote="github" name="TaintDroid/android_platform_frameworks_opt_telephony" revision="taintdroid-4.3_r1"/>
  <remove-project name="platform/system/vold"/>
  <project path="system/vold" remote="github" name="TaintDroid/android_platform_system_vold" revision="taintdroid-4.3_r1"/>
  <remove-project name="platform/system/core"/>
  <project path="system/core" remote="github" name="TaintDroid/android_platform_system_core" revision="taintdroid-4.3_r1"/>
  <remove-project name="device/samsung/manta"/>
  <project path="device/samsung/manta" remote="github" name="TaintDroid/device_samsung_manta" revision="taintdroid-4.3_r1"/>
  <remove-project name="device/samsung/tuna"/>
  <project path="device/samsung/tuna" remote="github" name="TaintDroid/android_device_samsung_tuna" revision="taintdroid-4.3_r1"/>
  <project path="packages/apps/TaintDroidNotify" remote="github" name="TaintDroid/android_platform_packages_apps_TaintDroidNotify"
      revision="taintdroid-4.3_r1"/>
</manifest>

获取源代码

$ cd ~/tdroid/tdroid-4.3_r1
$ repo sync
$ repo forall dalvik libcore frameworks/base frameworks/native frameworks/opt/telephony system/vold system/core device/samsung/manta device/samsung/tuna \
 packages/apps/TaintDroidNotify -c 'git checkout -b taintdroid-4.3_r1 --track github/taintdroid-4.3_r1 && git pull'

Step 3: 构建TaintDroid

创建buildspec.mk文件，并设置

$ cd ~/tdroid/tdroid-4.3_r1
$ touch buildspec.mk
$ gedit buildspec.mk

复制如下内容到buildspec.mk中

# Enable core taint tracking logic (always add this)
WITH_TAINT_TRACKING := true

# Enable taint tracking for ODEX files (always add this)
WITH_TAINT_ODEX := true

# Enable taint tracking in the "fast" (aka ASM) interpreter (recommended)
WITH_TAINT_FAST := true

# Enable additional output for tracking JNI usage (not recommended)
#TAINT_JNI_LOG := true

# Enable byte-granularity tracking for IPC parcels
WITH_TAINT_BYTE_PARCEL := true

修改core.mk文件

$ gedit ~/tdroid/tdroid-4.3_r1/build/target/product/core.mk

在第一个PRODUCT_PACKAGES字段最后添加

\
TaintDroidNotify

最后得到的PRODUCT_PACKAGES形如：

PRODUCT_PACKAGES += \
                    BasicDreams \
                    ...
                    voip-common \
                    TaintDroidNotify

构建TaintDroid（Android模拟器中）

$ cd ~/tdroid/tdroid-4.3_r1
$ . bulid/envsetup.sh
$ lunch full-eng      //Android emulator
$ make clean
$ make -j4

Step 4: 获得YAFFS2 XATTR内核支持

$ cd ~/tdroid
$ wget http://www.appanalysis.org/files/kernel-goldfish-xattr-2.6.29.zip //此处官方有误
$ unzip kernel-goldfish-xattr-2.6.29.zip

Step 5: 生成sdcard.img（可选）

很多应用安装时需要有SD卡支持，按照官方教程没有给出sdcard.img的生成方法。需要说明的是，不执行本步操作，正常情况下不影响系统和应用的执行。

生成sdcard.img需要使用Android的SDK中的工具mksdcard，该工具位于sdk根目录的tools文件夹中。创建方法如下

$ cd path_to_android_sdk/tools
$ ./mksdcard 1024M sdcard.img

将sdcard.img文件放置在指定文件夹下

$ cp path_to_android_sdk/tools/sdcard.img ~/tdroid/tdroid_4.3_r1/out/target/product/generic/

Step 6: 运行并测试TaintDroid

在运行TaintDroid之前，强烈建议先将构建的生成结果备份一下，这样可以快速的将TaintDroid恢复到刚刚构建的状态。需要备份的文件在~/tdroid/tdroid_4.3_r1/out/target/product/generic文件夹中，建议将其中除obj文件夹和symbols文件夹外的其他文件备份，并放置在其他文件夹中（如~/tdroid文件夹）。

运行TaintDroid

$ cd ~/tdroid
$ emulator -kernel kernel-goldfish-xattr-2.6.29

运行结果如下图

测试

向Android模拟器中安装软件，本文安装百度手机助手。使用Android的SDK中的adb工具：

$ cd path_to_android_sdk/platform-tools
$ ./adb install path/to/apk/file

启动TaintDroid

启动百度手机助手

可以看到TaintDroid的通知

点击其中的一个通知，可以看到详细内容

通过源码构建运行FlowDroid

Sat, 04 Jun 2016 00:00:00 +0800

新搭建了个人博客，文章全部转到http://blog.datarepo.cn上更新。

最近在研究Android软件的静态分析，FlowDroid是一个高精度的Android程序污点分析工具，能够分析apk文件，生成软件调用图。下面给出了FlowDroid通过源码进行构建和运行的过程。

1. 安装相关软件

安装JDK 1.7，并移除JDK 1.6（FlowDroid不能在JDK 1.6下运行）

sudo apt-get install openjdk-7-jdk openjdk-7-jre-headless 
sudo apt-get remove openjdk-6-jre openjdk-6-jre-headless  #（如果有的话）

安装Eclipse、Git和相关插件

sudo apt-get install eclipse git eclipse-egit

2. 导入Eclipse

下面介绍两种将FlowDroid导入Eclipse的方法。

手动下载项目

创建文件夹
本地创建文件夹，用于存放项目代码。

mkdir -p ~/workspace/flowdroid
cd ~/workspace/flowdroid

在GitHub中clone项目到本地

git clone https://github.com/Sable/heros.git
git clone https://github.com/Sable/jasmin.git
git clone https://github.com/Sable/soot.git
git clone https://github.com/secure-software-engineering/soot-infoflow.git
git clone https://github.com/secure-software-engineering/soot-infoflow-android.git

导入Eclipse
打开Eclipse选择 File -> Import -> General -> Existing Projects into Workspace，分别导入5个项目即可。

通过psf项目集导入

在Eclipse中使用URI导入团队项目集，能够一次性将5个项目同时导入到Eclipse中。5个项目包括：heros、jasmin、soot、soot-infoflow、soot-infoflow-android。具体导入方法见下面截图：

URI： https://raw.githubusercontent.com/traceflight/Droidetect/master/develop/flowdroid.psf

打开 File -> Import -> Team -> Team Project Set
输入上面的URI -> 点击Finish

3. 下载依赖文件

android.jar 文件

对于Android开发人员来说，该文件很熟悉，在android sdk文件夹下，文件结构通常为sdk/platforms/android-22/android.jar。如果本地没有，可在官方下载Android SDK，或者移步在我的项目中下载。

DroidBench数据集

DroidBench是用于评估Android软件污点分析工具有效性的开源测试集，由EC SPRIDE Secure Software Engineering Group创建并维护。FlowDroid中的测试代码部分使用到了DROIDBENCH环境变量，在分析自定义软件时不需要该变量。因此，该数据集不是运行FlowDroid的必须文件。如果需要，可在其Github项目DroidBench中下载。

4. 配置项目

环境变量

FlowDroid在运行其测试程序时，需要用到两个环境变量：ANDROID_JARS和DROIDBENCH。 Ubuntu中可在~/.profile中设置相应的环境变量。使用gedit ~/.profile命令编辑，添加如下内容：

export ANDROID_JARS=path/to/android.jar
export DROIDBENCH=path/to/droidbench

ANDROID_JARS指向Android SDK中某一版本的android.jar文件。 DROIDBENCH指向数据集所在的位置，本地中可在soot-infoflow-android/test/soot/jimple/infoflow/android/test/droidBench中找到，但其中的数据集不完整，无法完成所有的测试用例。完整的数据集在其官方项目DroidBench中下载。

其他配置

SLF4J文件重复问题 在项目heros和soot-infoflow两个项目中的classpath文件中均有slf4j-simple-1.7.5.jar。因此在项目编译时会提示SLF4J文件重复，解决方法是在soot-infoflow项目的.classpath文件中删除对应行<classpathentry kind="lib" path="lib/slf4j-simple-1.7.5.jar"/>。
无法找到EasyTaintWrapperSource.txt soot-infoflow-anadroid项目编译时提示找不到文件EasyTaintWrapperSource.txt。该文件可在项目soot-infoflow根目录下找到，复制到soot-infoflow-anadroid的根目录下即可。

5. 运行FlowDroid分析软件

使用代码中的测试用例

soot-infoflow-anadroid项目提供了多个测试集，位于项目test文件夹下，分别为:droidBench数据集测试、insecureBank.apk测试、otherAPKs测试、sourceToSinks测试和xmlParser测试。使用方法为，右击对应的java文件，选择Run As -> JUnit Test。

分析自定义文件

分析自定义文件使用soot.jimple.infoflow.android.TestApps中的Test.java文件。该文件的输入包括两个参数：apk-file和android-jar-directory。配置方法如下：

右击Test.java文件，选择Run As -> Run Configurations…
左侧选择Java Application里面的Test（如果打开Configurations后，左侧没有Test，可先执行Run As -> Java Application），右侧选择Arguments标签，里面写入两个参数，点击Apply、Run，即可得到分析结果。

Ubuntu中将Caps Lock键替换为Ctrl键

Sat, 30 Apr 2016 00:00:00 +0800

新搭建了个人博客，文章全部转到http://blog.datarepo.cn上更新。

对于一些用户（如Emacs党）来说，Ctrl键是一个经常需要使用的键，但是由于其位于键盘的两个角落，使用起来不是十分顺手。大小写锁定键Caps Lock在实际使用中并不是十分常用，大小写切换的功能可以通过配合Shift键完成，下面给出将Caps Lock键替换为Ctrl键的方法。

废话不多说，直接给出简单的方法

在/etc/default/keyboard文件中添加

XKBOPTIONS="ctrl:nocaps"

重启后，就可以实现将Caps Lock键替换为Ctrl键。有兴趣的话，可以看下面的内容。

其他方法

查看当前键盘布局

$xmodmap -pke
----
...
keycode  59 = comma less comma less
keycode  60 = period greater period greater
keycode  61 = slash question slash question
keycode  62 = Shift_R NoSymbol Shift_R
keycode  63 = KP_Multiply KP_Multiply KP_Multiply KP_Multiply KP_Multiply KP_Multiply XF86ClearGrab
keycode  64 = Alt_L Meta_L Alt_L Meta_L
keycode  65 = space NoSymbol space
keycode  66 = Caps_Lock NoSymbol Caps_Lock
keycode  67 = F1 F1 F1 F1 F1 F1 XF86Switch_VT_1
...

通常keycode 66 对应Caps_Lock键

使用自定义键盘布局

创建一个键盘布局文件（如~/.Xmodmap）：

$ xmodmap -pke > ~/.Xmodmap

将其中的keycode 66对应的值改为keycode 66 = Control_L NoSymbol Control_L。然后使自定义文件生效：

$ xmodmap ~/.Xmodmap

使用xmodmap命令修改

下面修改可以将Caps Lock键修改为Control键，并且Shift+CapsLock为CapsLock。修改～/.Xmodmap文件内容为：

clear lock
clear control
add control = Caps_Lock Control_L Control_R
keycode 66 = Control_L Caps_Lock NoSymbol NoSymbol

然后执行：

$ xmodmap ~/.Xmodmap

或使用xmodmap说明文档中的例子,将Caps Lock键与Control键交换：

remove Lock = Caps_Lock
remove Control = Control_L
keysym Control_L = Caps_Lock
keysym Caps_Lock = Control_L
add Lock = Caps_Lock
add Control = Control_L

参见man xmodmap

使用setxkbmap命令修改

交换左Control和Caps Lock键

setxkbmap -option ctrl:swapcaps

将caps lock键改为ctrl键

setxkbmap -option ctrl:nocaps

建议使用文章头给出的方法，简单有效。

恶意勒索软件初探

Mon, 04 Apr 2016 00:00:00 +0800

新搭建了个人博客，文章全部转到http://blog.datarepo.cn上更新。

恶意勒索软件（Ransomware）通过加密、锁定等方式破坏用户对计算机软硬件系统或文件资源的访问，感染后的数据难以用现有的方法恢复，用户需要支付一定的赎金才能重新获得访问权。随着黑客技术的不断提高，恶意勒索软件已经成为一种难以追踪且能够获得大量非法收入的手段。近期已有多家医院和医疗服务机构受到勒索攻击，并带来了不小的经济损失。其他企业和个人也成为攻击对象，需要引起足够的重视。

恶意勒索软件一般实施流程

勒索软件传播。利用特洛伊木马、僵尸网络、系统漏洞或社会工程学方法。常见传播方法为：发送垃圾邮件。邮件往往伪装为由合法公司发送，标题通常为发票、协议修改等，如：ATTN: Invoice J-6xxxxxx， FW: Payment #xxxxx。邮件附件为word文档，或者修改了后缀的Zip压缩文件（如修改为.pdf并且将文档的图标作相应修改），或者为JavaScript脚本。也有勒索软件在邮件中给出一个Dropbox链接，诱导用户下载。
勒索软件触发。若恶意软件包含在word文档附件中,打开word文档后，文档内容往往显示为乱码，文档标题提示开启宏查看内容，若开启了宏之后，则触发了软件或脚本的执行，在远程服务器中下载恶意软件执行代码等。若下载的附件为JavaScript脚本，或恶意软件包含在Zip包中，或者下载自Dropbox，则双击打开该文档即可能触发软件的执行。
恶意代码执行。勒索软件触发后，可能执行的恶意行为包括：
- 修改系统注册表，添加恶意软件的开机自启动；
- 删除系统还原点数据，禁止系统自动备份；
- 利用系统漏洞，获取系统控制权并禁止用户访问；
- 加密磁盘中用户文档数据，不仅本地磁盘，还包括共享网络磁盘；
- 破坏系统启动记录和文件系统，使系统崩溃。
迫使用户支付。恶意行为执行完毕后，会在明显的位置告知用户的系统发生了什么，需要执行什么样的操作才能恢复。如将系统桌面改为写有提示的图片，将各个加密过的文件夹内放置用于提醒的图片或文本文档。提示内容一般为需要用户在期限内支付一定的金额才能恢复系统，若期限内不支付，则赎金增加且有可能永久的删除用于恢复系统的数据。
交还控制权限。在用户支付赎金后，攻击者会使用技术手段交还对软硬件或文件系统的控制权。对于加密型的勒索软件，一般给用户下载一个定制的解密工具以及解密密钥，来恢复被加密的数据。

恶意软件常用的技术、手段和工具

Social Engineering （社会工程学）

在计算机科学中，社会工程学是指通过与他人的合法交流，来使其心理受到影响，做出某些动作或者是透露一些机密信息的方式。在勒索软件的传播过程中，通过伪造的垃圾邮件，使得用户以为邮件内容为可信的或者重要的事件，从而下载并打开邮件附件，触发勒索软件的执行。
Packer、Crypter

软件加壳和加密是恶意软件通常采用的技术，能够辅助恶意软件躲避杀毒软件的查杀，并尽可能阻止恶意软件被安全人员逆向分析。
Word/Excel宏

为了提高工作效率，微软在起office软件中提供了宏功能，能够通过宏执行批处理命令，并可以通过用户自己编写VBA（Visual Basic for Applications）脚本增加灵活性。恶意软件的执行代码往往通过网络下载获得，在Word文档开启宏之后，会执行一段混淆的VBA脚本下载恶意代码，从而感染用户系统。
AES、RSA加密

一个通过精心设计的加密型恶意勒索软件，将用户的数据加密后的恢复问题转化为一个数学问题，即现代密码学中加密算法的破解问题。由于密码学的发展，先进的加密技术（如RSA-2048、AES-128）在不知道密钥（或只知道公钥）的前提下，采用现有工具和手段难以在可接受时间内破解。因此，现代密码的加密技术是加密型勒索软件得以实施的一个理论基础。
Bitcoin

比特币是一种全球通用的加密互联网货币。与采用中央服务器开发的第一代互联网不同，比特币采用点对点（P2P）网络开发的区域链。比特币不依靠特定货币机构发行，而是通过特定的算法大量计算产生。作为货币，包括中国在内的许多政府不承认其合法性，但在美国等国家承认其作为货币的合法地位。基于密码学的设计可以使比特币只能被真实的拥有者转移或支付，同时确保货币所有权与沟通交流的匿名性。因此为攻击这提供一种理想的支付途径，能够做到在收取到赎金的前提下不被追踪。
Tor Browser

Tor（The Onion Router, 洋葱路由器）是实现匿名通信的自由软件，用户通过Tor可以在因特网上进行匿名交流，实现匿名对外连接、匿名隐藏服务。Tor Browser是Tor项目的旗舰产品，能够自动通过Tor网络启动Tor的后台进程连接网络。一旦关闭程序便会自动删除隐私敏感数据，能够防范流量过滤和嗅探分析。这些特性使得其成为黑客与用户进行网络通信的不二之选，实现用户对攻击者服务器的访问而不被追踪。
Botnet

僵尸网络病毒Gameover ZeuS被美国FBI成为“史上最复杂、最具破坏性的网络僵尸病毒”，尽管在2014年反僵尸网络组织Operation Tovar已经中断了其运行,但危险依然存在。Gameover ZeuS不仅会利用ZeuS木马感染计算机，窃取在线电子邮件账户、社交网络和网银于其他在线金融服务，还会传播Cryptolocker，从而加密数据并索要赎金。

近期流行的恶意勒索软件

近期恶意软件十分猖獗，出现了大量的恶意勒索软件变种，下面仅对部分进行罗列，并给出相关报道，如希望详细了解，可以自行网络检索。

Locky
- McAfee （迈克菲）: Locky Ransomware Arrives via Email Attachment 2016.03.11
- Avast （爱维士）: A closer look at the Locky ransomware 2016.03.10
- Avira （小红伞）: Locky ransomware is dead, long live Locky 2016.03.01
CTB-Locker （Web服务器版本）
- Securelist （卡巴斯基实验室）: CTB-Locker is back: the web server edition 2016.03.01
Cerber
- Malwarebytes Labs: Cerber Ransomware - New, But Mature 2016.03.11
Petya （破坏文件系统的主引导分区MBR和主文件表MFT）
- G Data : Randomeware Petya - a technical review 2016.03.31
- Bleeping Computer: Petya Ransomware skips the Files and Encrypts your Hard Drive Instead 2016.03.25
LeChiffre
- Malwarebytes Labs: LeChiffre, Ransomware Ran Manually 2016.01.22
- McAfee （迈克菲）: McAfee Labs Unlocks LeChiffre Ransomware 2016.03.28
Maktub Locker （美丽又危险的勒索软件）
- Malwarebytes Labs: Maktub Locker - Beautiful And Dangerous 2016.03.24
TeslaCrypt
- Fortinet: Nemucod Adds Ransomware Routine 2016.03.16
Criakl
- Phishme: Ransomware Rising – Criakl, OSX, and others – PhishMe Tracks Down Hackers, Identifies Them and Provides Timeline of Internet Activities 2016.03.10

防御方法

通过技术手段

近期，法国Lexsi的研究人员研究了使用疫苗（vaccine）对抗Locky的方法。（由于恶意软件频繁出现变种，下列方法仅作为参考）

A new dynamic vaccine against Locky 2016.04.01
Abusing bugs in the Locky ransomware to create a vaccine 2016.03.22

采用的方法主要为：

将语言设置为俄语（部分恶意勒索软件对语言为俄语的系统不做处理），该方法对很多人不适用；
手动创建注册表值HKEY_CURRENT_USER\Software\Locky，并设置ACLs保护，阻止所有用户修改。该方法有效的原因为，在检查完语言后，Locky尝试创建HKEY_CURRENT_USER\Software\Locky，当创建失败时，Locky会立刻终止；
设置注册表id和completed值，欺骗Locky认为系统已经加密完毕。
破坏注册表中RSA pubkey，使得Locky重命名文档而不加密；
使用已知RSA密钥，由于Locky在加密前未对pubkey进行验证，因此可以设置已知的RSA公钥，即使Locky将文件加密，也可通过已知的私钥进行解密。

这里只做简单介绍，具体方法参考文章 Abusing bugs in the Locky ransomware to create a vaccine。

增强安全意识

增强安全意识对于保护系统免受恶意软件攻击具有至关重要的意义，主要的方法有：

定期备份重要文件，文件备份后要与主机断开；
对可疑邮件进行确认，确保为合法邮件后再打开邮件，下载附件；
不随意打开网络链接，防止下载恶意软件；
默认关闭office的宏，不要在浏览邮件附件文档是打开它；
安装先进的防病毒软件（建议使用国外的知名软件），并定期更新和扫描；
对使用的操作系统和应用软件及时打好补丁。

针对企业用户

老牌代码安全审计机构NCC Group 于2016年3月11日针对企业发布了Ransomware: what orgnisations can do to survive，帮助企业如何能够最大限度的减少初次感染的可能性。

毕业宴请邀请函

Tue, 29 Mar 2016 00:00:00 +0800

新搭建了个人博客，文章全部转到https://blog.datarepo.cn上更新。

为了庆祝师兄师姐圆满毕业，花了点时间写（画）了下面的邀请函。

有学术味道
有实验室特色

该内容纯属娱乐～其中的病句与图片中的错误就当做我现在文字水平的见证吧。

C/C++局部变量在栈区的存储情况分析

Sun, 27 Mar 2016 00:00:00 +0800

新搭建了个人博客，文章全部转到http://blog.datarepo.cn上更新。

最近看到同学书上写了个例子，关于strcpcy导致的内存覆盖问题，自己实验后发现与书上所讲结果不同。之后跟同学一起深入分析了一段程序，分析结果如下文。

考虑如下代码的运行结果（在vc++编译器中运行）

#include <iostream>
using namespace std;
int main()
{
	char s[]="abcdefghijklmn";
	char d[]="zy";
	strcpy(d,s);
	cout<<"s = "<<s<<endl;
	cout<<"d = "<<d<<endl;
	system("pause");
	return 1;
}

一般看到这个题，最先的反应是，字符串s是源串，肯定不会变…但是，神奇的是s真的变了！我们来看看为什么～

变量在内存中的存储情况

一个由C/C++编译的程序占用的内存分为以下几个部分

栈区 — 由编译器自动分配释放，存放函数的参数值，局部变量的值等。其操作方式类似于数据结构中的栈。在一个进程中，位于用户虚拟地址空间顶部的是用户栈，编译器用它来实现函数的调用。
堆区 — 一般由程序员分配释放，若程序员不释放，程序结束时可能由OS回收。注意它与数据结构中的堆是两回事。
全局/静态存储区 — 全局变量和静态变量被分配到同一块内存中，在以前的 C 语言中，全局变量又分为初始化的和未初始化的（初始化的全局变量和静态变量在一块区域，未初始化的全局变量与静态变量在相邻的另一块区域，同时未被初始化的对象存储区可以通过 void* 来访问和操纵，程序结束后由系统自行释放），在 C++ 里面没有这个区分了，他们共同占用同一块内存区。
常量存储区 — 这是一块比较特殊的存储区，他们里面存放的是常量，不允许修改（当然，你要通过非正当手段也可以修改，而且方法很多）

上面的文字摘抄自网络，具体的区别可以自行谷歌。这里只分析栈区的内存情况，其他的可以自己研究。

开始实例分析

现在看如下代码

#include <iostream>
using namespace std;
int main()
{
	int a=290,b=2;
	char c='w',d='x';
	char e[] = "abcz";
	char f[] = "def";
	return 1;
}

以上变量均存放于系统栈区，存放于堆区、全局区等的情况有所不同。

其中各变量在栈中的存储情况示意图如下所示：

说明：

图中内存为栈空间；
图中一小格为一个字节；
内存中存储为4字节对齐，不满4字节的按照4字节处理；
申请变量的内存地址为从高到低；
深色部分为编译器自动分配的变量间间隔，其大小取决于编译器。在我的实验中，windows下vs++编译器分配的间隔为8个字节，linux下gcc间隔为12字节；
编译时可以确定其大小的变量（如 int， char等）在内存中分布为：变量高位与间隔后字单元高位对齐，如图中的变量a=290及c=’w’等；
对于字符串类型的变量在内存中分布为：变量低位与字单元（可能为多个字单元，与变量对齐后大小有关）低位对齐，数组内容分布为从低到高分布，如字符数组e和f。
指针位置为当前变量最低位地址。

指针&e与指针&f的距离（字节数）可如下计算：sizeof(f)%4? (sizeof(f)/4+1)*4+8 : sizeof(f)+8

(sizeof()函数返回值包括字符数组结尾的’\0’,上式中的数字8为间隔字节数，根据编译器不同而不同)

strcpy函数的执行逻辑，如下所示：

_TCHAR *_tcscpy(_TCHAR *pDst, const _TCHAR *pSrc)
{
    _TCHAR * r = pDst;

    while ((*pDst++ = *pSrc++) != '\0')
        continue;

    return r;
}

在进行字符串复制时，仅检查源字符串的结尾，而不对目的字符串的长度进行检查。

重新分析文章开头的例子

再看一下代码

#include <iostream>
using namespace std;
int main()
{
	char s[]="abcdefghijklmn";
	char d[]="zy";
	strcpy(d,s);
	cout<<"s = "<<s<<endl;
	cout<<"d = "<<d<<endl;
	system("pause");
	return 1;
}

根据上面分析，可以将内存中的情况画出如下所示的图：

可以发现，字符串s被d的内容覆盖掉了，可以看到字符串d会被截断，因此，字符串（以’\0’结尾）输出结果为

	s = mn
	d = abcdefghijklmn

注：Linux下gcc编译运行结果不同，原因为gcc为变量间分配的间隔为12字节，因此可增加s字符串的长度，实现类似的效果，如char s[]=”abcdefghijklmnopqr”，则输出s为qr。

结论

MSDN上给出的建议是：

To avoid overflows, the size of the array pointed by destination shall be long enough to contain the same C string as source (including the terminating null character), and should not overlap in memory with source. Because strcpy does not check for sufficient space in strDestination before it copies strSource, it is a potential cause of buffer overruns. Therefore, we recommend that you use strcpy_s instead. – MSDN

即在使用strcpy时需要对目标字符串的长度进行事先判定，使其至少等于源字符串，或者改用strcpy_s函数。

以上内容为我自己实验结果所得，如有疑问可自行实验后告知，谢谢～