74、深入解析GreatEatlon：快速静态检测移动勒索软件

深入解析GreatEatlon：快速静态检测移动勒索软件

在当今数字化时代，移动勒索软件已成为一个严重的安全威胁。为了有效应对这一问题，GreatEatlon应运而生。下面我们将详细探讨其实现细节、实验评估等内容。

1. 核心思路

在进行恶意软件检测时，误判（假阳性和假阴性）的代价往往很高。因此，GreatEatlon采用了检测良性软件的对偶问题来进行预过滤。由于预过滤之后还有勒索软件检测流程，所以将少量良性样本误判为可疑样本的代价可以忽略不计，因为它们最终会被识别为非勒索软件。这样可以在一定程度上牺牲预过滤器的准确性，以换取几乎完美的精度。预过滤阶段的输出是一个二进制决策：“良性软件”或“可疑”。为了保证速度，该阶段主要关注通过解析APK文件可以高效提取的特征。

2. 实现细节

2.1 加密检测器

为了实现加密检测，对FlowDroid进行了扩展，使其能够跟踪通过文件的信息流。具体操作步骤如下：
1. 配置FlowDroid忽略源自用户界面的流，以消除因良性用户发起的加密导致的许多误报。
2. 修改FlowDroid，使其能够跟踪与受害者文件关联的InputStream（及相关类）和负责加密的Cipher对象之间的信息流。
3. 创建自定义的TaintWrapper，当底层InputStream被污染时，对将接收文件字节的参数进行污染，从而使接收相同污染参数的Cipher对象也被污染，最终实现加密检测。

条件流的设计尽可能通用，通过从以下格式的文本文件中读取条件并注入到FlowDroid中：

N