━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
手机病毒大曝光
前言
电å视里放着一个广告:可视通话业务,与此同时!有时,推出的这种新า式上网方แ式大大刺๐激了手机上网市场。既是上网账á,“天翼1้89๗。手机还成为ฦ人们进行商业谈判,那ว种带有微型摄像头的多功能ม手机更是具有了让用户随时随地记录。
无论是基于传统语音网络的手机,还是现在正在推广使用的3๑g可视化网络手机,手机在每一个ฐ人的口袋中ณ都保存了大量的用户个ฐ人信息。
电话簿、短消เ息都记录了一个手机用户他在做什么เ,与什么人联系。”相,
这一切都仿佛给我们一个信号。手机这个现代人必备的通讯工具已๐经更加深入地进入到我们的日常生活。
可是,当我们在享受这些由科技展带来的各种方便之时,每个ฐ月本来10่0元的通讯花费:一些奇怪的、让人心烦的事情也,忽然间变成了3๑00元;手机总是无缘无故地开始死机、重启;排除了那些质量原因。总是接到เ一些陌生的&,这些现象让我们一时间不知所措,于是送去让手机的售后服务商来修理,可是维修结果让你大吃一惊:“尊敬的用户,您的手机中毒了!”
中ณ毒!手机也能ม中ณ毒!你一定不相信自己้的耳朵,可是当售后人员给你详细解释之后,你终于明白了自己手机上生的那些莫名其妙的事件原来真的是手机病毒造成的。
对大多数的人来说,手机病毒的概念还没有正式进入人们的认识,但是这些病毒程序却早已๐经危害到了我们的手机,甚至是我们的生活!
手机病毒不但可以损坏手机本身,还可以被利ำ用成为监视我们行为和谈话内容的间谍工ื具。可能你不相信这些,但是如果你看过中央电视台播放的关于手机安全的访谈节目,你一定会被里面的内容吓得不敢使用自己的手机,尽管你曾经连睡觉的时候都将手机放在身边!
题不再是一个ฐ空空而谈的东西,国外在200่4๒年的时候就已经出现了手机病毒,而国内这两ä年也开始出现各种各样的手机病毒。它们小则ท破坏手机正常使用,大则盗窃手机用户资料é信息。还记得我们前面提到เ过的带摄像头的手机吗?如果这种手机被病毒控制,那ว么你的一切隐私就早已๐暴露在病毒制造者的眼前了!
正是处于保护广大手机用户使用安全的目的,我才编写了这本书籍。
本书第一次将手机病毒的原理、手机病毒的实现技术揭露出来,带领读者明白手机病毒的可怕与可恶的地方แ,更加注重教会读者如何防范手机病毒。
这是一次大胆的尝试,更是一次令人激动的学习之旅!
本书的写作思路
本书采用通俗易懂的语言,将手机病毒的来龙去脉描述给每一位读者。
本书也第一次让读者走近手机病毒制造者,去看一看一个手机病毒是怎样编写出来的。
在讲述手机病毒的时候,将其危害性、破坏性一起告诉读者,将病毒的感染运行现象也告诉读者,目的就是为了让读者能ม够识别ี出自己的题时是不是被感染了手机病毒。在这些原理技术都清晰明了地告诉读者后,本书又特意指导读者进行自己的手机杀毒工作,做到เ了有始有终。
本书适合所有热爱通讯安全的人们,尤其是那ว些曾经被手机病毒折磨过的朋友。
同时,本书可做为通讯安全培训班以及高等院校的教材和参考书籍。
本书也为手机杀毒安全软件开人员了不可多得的安全参考资料,有一定的实际利ำ用价值。
本书的组织方แ式
本书的组织方式是按照ั手机病毒的种类进行编排的,全书总共分为ฦ1้2章。
第1章介绍了什么是手机病毒,手机病毒的特点以及手机病毒的未来展方向。
第2章则为基本理论部ຖ分。介绍了手机硬件系统、手机系统的相关知识,以便为后面的手机病毒原理学习做铺垫。
第3๑章至第9章开始全面讲解各种类型的手机病毒,以及这些病毒的运行原理和表现特征。
第10章教授读者如何及时识别ี手机是否被病毒感染的相关方法。
第11章以图文并茂的方式,带领读者一步一步学习如何利用逆向工程技术来判断一个程序是不是手机病毒程序。
第1้2๐章向读者了可以用来实现手机防毒的各种杀毒软件产品以及性能测试。
本书最后是参考部分,主ว要列举了书中ณ需要的一些材料信息和来源。
致谢
特别感谢西安交通大学出版社ุ对本书顺利出版所付出的汗水与辛苦。
感谢与我共同研究探讨安全技术的众多朋友。
感谢妻子曲慧文女士对我写作一如既ຂ往的支持。
本书由á于作者水平有限,书中ณ难免出现错误、不妥之ใ处,恳请广大读者朋友们批评指正。
王继刚
20่09年5月22日
第1章走近手机病毒
手机病毒的出现
如果有人问你,在20่07年的时候什么计算机病毒最让你记忆犹新า,我想大部ຖ分的人都会脱口而出:“熊猫烧香”。那个满电视屏幕都是的、拿着三根香的熊猫图标,让我们至今难忘,我相信谁都不希望自己的计算机一开机也会变成那个ฐ样子如图1้1所示。
图11熊猫烧香病毒作时的截图
第2章手机结构的基本知识
在这一章里,我们将重点介绍一下关于手机的一些基本知识。因为ฦ没有一些关于手机的基本知识做铺垫,我们在遇到题时,就很难判断ษ究竟是不是手机病毒造成的结果。
并且,手机作为手机病毒的载体,有着很多独特的性质与理论,我们需要与传统的个人计算机作一个区别ี,将手机内部ຖ结构的神秘面纱揭开,这样我们才能更好地知道手机系统的工作原理,手机程序运行的来龙去脉。有了这些知识,我们再去分析或者面对手机病毒的时候,就不会像以前那样显得惊惶失措,不知道该怎么办。
嵌入式系统与嵌入式操作系统的概ฐ念
在第1้章里,我们曾提到过手机是一个嵌入式系统,那么什么เ是嵌入式系统呢?
嵌入式系统主要是由嵌入式微处理器、外围硬件设备、嵌入式操作系统以及用户的应用程序等四个ฐ部ຖ分组成,它是集软硬件于一体的可独立工ื作的单元。
谈到嵌入式系统,我们不得不看一看嵌入式技术的展历程。如同计算机技术的展,嵌入式技术的展从总体上讲大致可以分为ฦ四个阶段[1]:
第一阶段是以单芯片为ฦ核心的可编程控制器形式的系统,同时具有与监测、伺服、指示设备相配合的功能。这种系统大部分应用于一些专业性极强的工业控制系统中,一般没有操作系统的支持,通过汇编语言编程对系统进行直接控制,运行结束后清除内存。
第二阶段是以嵌入式cນpu为基础、以简单操作系统为ฦ核心的嵌入式系统。这一阶段的操作系统具有一定的兼容性和扩展性,但用户界面不够友好。
第三阶段是以嵌入式操作系统为标志的嵌入式系统。这一阶段系统的主要特点是:嵌入式操作系统能运行于各种不同类型的微处理器上,兼容性好;操作系统内核精小、效率高,并且具有高度的模块化和扩展性;具备文件和目录管理、设备支持、多任务、网络支持、图形窗口以及用户界面等功能;具有大量的应用程序接口aທpi,开应用程序简单;嵌入式应用软件丰富。
第四阶段是以基于inter为标志的嵌入式系统,这是一个ฐ正在迅展的阶段。目前大多数嵌入式系统还孤立于inter之ใ外,但随着inter的展以及inter技术与信息家电、工业控制技术等结合日益密切,嵌入式设备与inter的结合将代表着嵌入式技术的真正未来。
嵌入式系统的展对嵌入式操作系统提出了更高的要求。
嵌入式操作系统embຘeddedoperatingsystem,英文缩写eos,是一种用途广泛的系统软件,大量应用于工ื业控制和国防系统领域以及通讯设备。
嵌入式操作系统负责嵌入式系统的全部ຖ软、硬件资源的分配、调度工作,控制协调并活动;它必须体现其所在系统的特征,能够通过装卸某些模块来达到เ系统所要求的功能。目前,一些应用比较成功的嵌入式操作系统产品有很多,如v9ork、qnx、pal摸s、9indo9sce等。
随着互联网技术的展、信息化家电的普及应用及eos的微型化和专业化,eos开始从单一的弱功能向高专业化的强功能ม方向展。嵌入式操作系统在系统实时高效性、硬件的相关依赖性、软件固化以及应用的专用性等方面具有较为ฦ突出的特点。eos是相对于一般操作系统而言的,它除具备了一般操作系统最基本的功能,如任务调度、同步机制、中断ษ处理、文件功能等外,还有以下特点[2๐]。
第1้章走近手机病毒2
卡波尔病毒运行在s60注:即sym逼an系统,关于这个手机平台的具体内容,将在第2๐章第6๔部分讨论手机平台上,它通过手机的蓝ณ牙功能进行传播,一旦ຆ现周围存在蓝牙开启的手机就会将自己通过蓝ณ牙复制过去,接着在这部新的手机上再次运行,然后又查找开启蓝牙的手机再复制自己,如此不断ษ循环下去。
所幸的是,卡波尔病毒并没有制造什么破坏性的结果,这是因为其制造者只是想为了能够证明手机系统可以被病毒攻击。但是它的出现却开启了手机病毒的全面爆!
在一些关于手机病毒的介绍资料上,常常将20่00年的“ti摸fonica”骚扰短信事件称作第一个手机病毒,其实这是不准确的。如同我在大学中的那个ฐ测试程序,2๐000年一个攻击者编写的计算机程序通过西班牙的“telefonicaທ”移动系统向系统内的所有用户送脏话等等大量骚扰短信,造成用户使用不便,这个程序还是一个在计算机上运行的程序,不能在手机上运行,单独从这一点讲,这个程序就不应该算为手机病毒。而且这个ฐ程序造成的影响更加类似于一个手机短信炸弹,而不像病毒那样有自我复制的功能ม。
自卡波尔病毒出现以后,各式各样的手机病毒逐步开始出现,这些病毒的开者受到เ计算机病毒的启,编写出的手机病毒功能完全模仿计算机病毒,破坏功能急剧加大。关于这些手机病毒的可怕危害,我将在本章的第5部分进行详细的讲解。
定义แ手机病毒
在前面,我一直在强调一个概念,就是一个程序要被认定为ฦ手机病毒程序,它最起码必须是一个ฐ运行在手机上的程序,而不是运行在计算机上的程序。这是手机病毒的一个必要条件,但是这个定义แ还不完整,为ฦ此让我们先来看看“计算机病毒”的一个较为准确的定义。《中华人民共和国计算机信息系统安全保护条例》明确定义,计算机病毒是指“编制或者在计算机程序中插入的破坏计算机功能ม或者破坏数据、影响计算机使用并且能ม够自我复制ๆ的一组计算机指令或者程序代码”。从中我们看到เ,定义主要突出了判断一个计算机程序是不是病毒的三个基本标准即:自我复制性、隐蔽性以及破坏性。
一般的计算机程序完全是为ฦ了计算机用户的某种正常需要使用来工作的,不会造成任何恶意的破坏行为ฦ,甚至程序的开人员会更加细致开程序,从而避免造成用户的使用不便。而对于病毒来说,它就像让我们得病的感冒病毒一样,被感染的计算机会出现系统反应缓慢、丢失数据,甚至会主动向外泄密。而被感染的计算机又成为ฦ一个新的病毒源,它会进而去感染其他的计算机。
手机程序也是如此。普通的手机程序完全是为手机使用用户服务,例如手机使用者可以利用该手机程序来备份短消息,或者来播放歌曲、视频๗文件。然而当一个手机程序在运行后,它先利用手机系统的某种特性或者漏洞使得自己้自动运行,接着开始复制自己到该手机的某个ฐ位置或者其他手机的某个位置上时,这个ฐ手机程序就具有了手机病毒的初ม期性质。
之所以称这种自我复制ๆ的特性为ฦ手机病毒的初期性质,是因为对于任何一种病毒程序来讲,它最原始的特性就类似于生物病毒一样,具有自我传播感染性。
第1章走近手机病毒3
接着当这个初期的手机病毒程序开始对手机系统或者手机使用者个人信息资料,如短消息等等内容进行破坏时,这个手机程序就在理论上真正成为ฦ了手机病毒。
手机病毒的运行原理
很多人都十分惊奇,为什么手机上也会感染病毒?其实,对于手机来讲,手机硬件平台就完全等效于一个小型的个人计算机,它有处理器、存储器等部件,而手机系统就是一个类似于9indo9s计算机操作系统一样的控制系统程序,只不过它有一个特殊的名字叫做“嵌入式操作系统”嵌入式操作系统的具体概念我们放在第2๐章的第1部分进行讲解,这里我们可以暂时理解它为一个缩小版本的计算机操作系统。
一般来讲,我们平时使用的手机所带的系统都是完全固化的。也就是说,我们不能随意在这种手机上安装软件。这些手机系统在固化到手机上之前,将手机用户基本所需的功能都已๐经实现,如语音通话、拨打电å话、接听电话、送短消息,等等。这些基本功能是手机系统必须实现的。
我们拿大家熟知的9indo9๗s操作系统来作一个ฐ比较。当我们在个人计算机上安装ณ完9indo9s操作系统后,就可以通过这个系统的图形界面或者控制命令来使用计算机内部ຖ的任意一个硬件设备。可以通过系统软件来播放音乐่,而系统则控制ๆ声卡硬件设备出声音。9indo9s操作系统最基本的功能就是将计算机中的硬件设备全部变得可用起来,同时为用户一个简单易操作的交互界面。前面讲到的固化手机系统也就是这样的。
与此同时,很多手机用户可能对手机有着额外的需求。例如一位十分喜欢看电å影的人,他在选择一部手机的时候,他就期待这部手机能够具有播放电影的功能,这样他就可以随时随地享受影视节目。用户的这种特殊需要决定了手机制ๆ造厂商需要在手机系统中加入满足这些特殊需要的功能实现部分。这一部分程序的实现完全可以也直接固化进入手机系统,成为手机系统的一个部ຖ分。就如同9๗indo9๗s系统自带了用来播放视频的软件9indo9aplaທyer一样。
但是手机制造厂商现,随着越来越多的手机用户使用量,手机使用者对于手机功能的需求越来越复杂,如果完全要将这些用户的需求同时装进一个ฐ手机系统,显然那ว将使手机系统变得十分庞大繁琐,不稳定,容易引问题。同时,手机系统的开者不可能为了某一个用户的需要来单独制ๆ造一个手机系统,而为了满足另外一个用户的需要又单独制造一个手机系统,这样手机系统的成本将变得十分昂贵,不利ำ于手机市场的销量。于是,手机系统的设计者开始允许手机自身带有一定的软件安装ณ功能。也就是说,一个手机系统可能支持某种类型的安装程序文件,允许手机用户将符合自己需要的安装程序文件直接运行在手机上。这样一来,手机的系统还是那ว些原始基本的功能,而这些来自系统外部ຖ的软件将服务于用户的额外需求。我们平时听到的某某手机支持jaທ功能,其作用就是这个意思。这类手机就允许用户在手机上安装ณjaທ编写的手机程序,这些程序可以是某种功能的软件,也可以是某个经典的游戏等等。
当手机系统开始支持用户安装软件的时候,就引入了一个不安全的因素。因为ฦ手机本身无法得知用户安装的这个手机软件是不是一个“安全”的软件。虽然说用户自己不可能主ว动安装一个不安全的软件在自己的手机上,但是伪装了的一些恶意软件却可以轻易骗过用户的信任,从而被用户安装在手机上,一旦ຆ这些程序成功运行起来,破坏结果就随之而来了。
第1章走近手机病毒4๒
如果说扩展功能支持是手机的一个质的升级,那么智能手机则是更加接近于我们平时使用的个人计算机系统。关于智能手机的具体含义我们将在第2章中进行讨论,这里我们只需要知道一点,智能手机的系统完全类似于9indo9s操作系统,这样你就可以想象为什么手机上会出现与计算机一样的病毒程序了。
手机病毒一般采用高级语言编写,例如我们熟知的ja语言。高级语言的好处在于编程的时候会比较简单,减小了开难度。但是底层语言,如汇编语言同样可以开手机病毒程序,甚至编写出来的程序会更加具有破坏性质,更加隐蔽。
手机病毒在采用高级语言开的同时,必须紧ู密与手机系统开平台结合。就像我们平时在编写9indo9s下的程序一样,如果我们使用vcນ++ใvcນ++ใ是微软公司开的一个集成开环境来编写出一个程序,那ว么它只可能运行在9indo9s下面而不会运行在linux这样的操作系统上,因为我们选择的开语言只适用于9indo9๗s操作系统。为此,我们常常需要使用手机系统开者的开环境这里的开环境包括编程开工ื具,编程开语言,编程开所需的文件库等等来进行相应手机系统下的病毒开。在本书的第6章里,我将会较为详细地演示一个手机病毒的基本开过程来帮助大家理解手机病毒的编程过程。
但是,并不是说一个恶意编程人员没有办法开出具有通用性质的手机病毒。ja手机病毒就是这样一种可以运行在多种手机系统上的手机病毒,因为一般的手机系统都支持ja环境,所以一个由ja程序编写出来的手机病毒就可以感染并运行在很多类型的手机上,如诺基亚、索ิ尼爱立信、三星等。
手机病毒具有其独特的地方。由于手机平台的特殊设计,手机病毒一般只能运行在手机这个特殊的设备上。就像计算机病毒一样,如果你把一个计算机病毒拷贝到เ手机上运行它,你会现手机不会有任何反应,甚至会直接报错。这原因主要来自两ä个方แ面,一个ฐ是手机病毒程序具有其特殊的文件格式。
“文件格式”是指由程序开人员规定的数据存储方式,文件格式通常也被我们称作文件类型。它主要表现在文件名称的不同后缀名,如文件就属于rar格式的文件类型。
手机系统在设计的时候就规定了在该系统上能够运行的手机文件格式。为了区别ี通常完全用来存储数据信息的文件格式,这些能够被系统运行的文件格式又被称为ฦ“可执行文件格式”。因此,如果手机系统在设计的时候没有采用与计算机系统一样可执行文件格式,那么无论如何你都不能在手机上运行计算机病毒,同样的道理,你也无法在计算机上运行手机上的病毒程序。
第二个ฐ方面的原因是因为手机的硬件平台不同于计算机平台。手机处理器的架构完全采用一种比较优化的结构来设计制造,这是因为ฦ对于手机来说,不需要太大的运算处理能力,同时基于手机制ๆ造成本考虑,又不可能为手机制造很大的存储器,为ฦ此手机上的可执行程序文件体积大小一般会很小,同时文件的编码格式也是完全按照ั手机硬件要求设计的。这一点我们会在第2章中更加细致地介绍。
正是由于上面的原因,手机病毒完全成为手机上的一种独有的程序。它紧紧结合手机系统的功能ม,利用手机系统内部的运行机制来完成自己的破坏,并进行传播与感染。