随着Android系统成为智能手机领域的主流操作系统,它也成为许多恶意软件的攻击目标,因此安全研究人员了提出基于Android平台的恶意软件检测技术,与此同时,恶意程序也衍生出Android免杀技术(Anti Anti-Virus)来逃逸各种检测技术的查杀。由于目前市场上缺乏系统级免杀工具,安全人员在测试杀毒软件阶段多使用未免杀恶意软件对其AV(Anti-Virus)引擎进行测试,这却给免杀恶意程序提供了可乘之机。本文研究基于代码混淆的恶意软件免杀技术,设计并实现了恶意软件免杀系统,旨在提供杀毒软件安全漏洞信息,为安全人员提供更多免杀木马测试用例,以协助安全人员对杀毒软件进行渗透测试。本文主要研究内容如下:本文研究Android平台下混淆技术,利用混淆技术设计Android恶意软件免杀方案,从Java层和Native层两方面对免杀技术展开研究。论文设计Android恶意软件免杀系统,包括:Java层免杀子系统、Native层恶意软件反分析子系统,以及针对性免杀子系统。针对AV引擎提取恶意APK(Android Application Package)的检测特征包括:API(Application Programming Interface)调用序列、字符串、数据流等特征设计Java层恶意软件免杀子系统,实现字符串混淆、方法混淆、图片资源混淆、API调用序列混淆,以及基于反射技术的特定API调用混淆等功能。针对安全人员的逆向分析方法,实现Native层恶意软件有源码免杀技术,恶意软件将核心代码在Native层实现,并提供Native层核心节区加密方案、核心方法加密方案以及对加密So文件的动态解密方案。针对性免杀子系统中,本文提出一种基于“免杀矩阵”的量化评估方法,利用混淆向量、混淆矩阵、免杀向量、免杀矩阵等量化评估指标,实现AV引擎对不同混淆技术的量化评估,并以此为依据构建针对性免杀方案。最后对Android恶意软件免杀系统进行测试,测试结果如下:Java层免杀子系统能对Virus Total中60个AV引擎实现免杀;Native层反分析子系统能够成功加密So文件并防止IDA pro对So文件逆向分析;针对性免杀子系统能够对Virus Total中60个AV引擎生成对应免杀矩阵,并利用免杀矩阵成功对60个AV引擎实现针对性免杀。可见对于杀毒软件开发人员,本系统能够提供批量恶意样本,并辅助进行对杀毒软件的渗透测试。