识别Android rootkit

目前参与了一个大学项目，可以从成员那里得到任何关于为Android设计的rootkit的帮助

我对Android恶意软件知之甚少，到目前为止，该项目让我们对APK进行反编译，以查看java类文件（如果可读）和AndroidManfiest.xml文件。我还使用各种adb命令在uni lab中创建了一部手机的根目录，并将文件推送到它上面

我想知道的是，在类文件中是否相对容易发现恶意的rootkit代码？有什么我可以注意的吗？这是获得su状态的情况，还是涉及添加用户？假设下一阶段是联系服务器，这样开发人员就可以远程访问

另外，是否有一个系统或服务可以处理apk以发现它是否包含rootkit（不仅仅是恶意的）

答复:

嗨，很抱歉回复太晚-尝试立即回复，但不允许，因为我是新手，但后来忘记了

谢谢你的信息！我很感激我可能听起来很天真，但我想我必须看到，因为我对rootkit或它们的工作方式一无所知

你说得对，他们不是在问第三方扫描仪，那只是我的兴趣。关于这个话题，你是说有专门在样本中查找rootkit的扫描仪吗？或者这种检测是他们提供的全部AV服务的一部分。。如果只针对rootkit，那么我真的很想知道哪些是rootkit，这样我就可以研究它们了

另外，关于漏洞的利用，我想你是指Android操作系统中的漏洞吧？这是否意味着当补丁更新从谷歌推出时，rootkit就无法运行

---

谢谢

一个恶意的rootkit尽其所能秘密地获取特定的访问权限。因此，任何一个好的rootkit都可能已经对它如何开展业务进行了概括

“设置su状态”很难被称为“rootkit”，这只是“使用root权限”，你似乎已经给了应用程序。rootkit会寻找一种方法，通过利用某种bug，在未经许可的情况下实际获取此信息

发现这些东西的服务系统通常被称为病毒和/或恶意软件扫描器。是的，他们存在

不是消极的，但这似乎是一篇关于这个主题的幼稚文章，对于一个项目来说可能不是一个好的开始：我想说使用第三方恶意软件扫描器可能不是wat被问到的

---

例如，您可以查找已知的利用漏洞方法。出于某种原因，我想到的是溢出，但这只是一个随机现象。阅读rootkit、它们的方法、查找它们的启发式方法等。

rootkit不会“在类文件中”哦，好的。在哪里可以找到代码？