移动应用安全监测平台V2.docx

梆梆安全IBANGCLE北京梆梆安全科技有限公司移动应用安全监测平台V4.9.2用户使用手册2023年7月7日北京梆梆安全科技有限公司1 .概述32 .不同用户账号登录说明33 .平台使用说明33.1. 用户登录332密码修改43.3. 退出系统53.4. 菜单简介53.5. 综合态势53.5.1. 威胁实时监测63.6. 安全分析73.6.1. 应用安全概览73.6.2. 应用威胁分析83.6.3. 环境风险分析12364.安全事件分析153.6.4. 设备分析183.6.6. 封禁实施分析183.7. 运彳诊析193.7.1. 运行分析193.7.2. 终端设备信息223.7.3. 终端应用信息243.8. 策略配置说明253.8.1. 安全事件配置253.8.2. 监测策略配置323.8.3. 威胁指数配置453.8.4. 封禁策略配置463.8.5. 白名单配置483.8.6. 敏感度配置.513.9. 单个设备详情523.9.1. 设备详情523.10. 报表功能563.10.1. 报表管理563.10.2. 数据导出583.11. 系统配置603.11.1. 证书管理.603.11.2. 用户管理623.11.3. 应用管理633.11.4. 系统管理653.11.5. 日志693.11.6. 升级管理703.12. 全局搜索714 .产品名称和产品LOGO配置73关于梆梆安全731.概述梆梆安全移动应用安全监测系统是梆梆安全自主研发的，基于前端信息采集与后台大数据研判相结合的移动应用发布后安全监控与运行监测平台。本手册为用户使用手册，重点介绍产品使用方法。,不同用户账号登录说明1.运维管理员：系统运维配置专用账号，无新增审计员、操作员权限。2、管理员账号：具备系统正常使用的所有权限；具备增加审计员、操作员权限；3、操作员账号：无法进行系统配置操作，支持其他所有操作；4、审计员账号：无法进行系统配置、策略配置操作，仅支持数据查看相关操作；2 .平台使用说明2.1. 用户登录登录网站，输入网址，例如:9990/,在登录界面中输入账户、密码以及验证码，输入完成后点击【登录】按钮完成用户登入。如下图所示：图3-1登录页面2.2. 密码修改点击系统菜单"图标，出现下拉菜单，点击修改密码，用户可以自行修改密码。图3-2修改密码2.3. 退出系统点击系统菜单£图标，出现下拉菜单，点击退出按钮可退出系统，如需再次操作系统，请重新登录。Q修改密码。退出登录图3-3退出登录2.4. 菜单简介 综合态势：展示应用整体运行过程的安全及运行状况。 安全分析：展示应用运行时安全相关分析统计和详情数据。 运行分析：展示应用运行时启动相关统计和详情数据。 报表功能：支持自动化生成安全报告、下载导出数据报表等。 策略配置：支持配置监测相关策略。 系统配置：支持配置系统相关策略。2.5. 综合态势单击”综合态势，进入"综合态势页面，如下图所示，综合态势页面可展示"今天、"昨天"、"最近7天"、"最近一个月"四个时间维度下的安全事件总数、事件设备总数、安全事件统计、启动趋势、崩溃趋势、威胁分类统计、威胁影响地域前五、威胁影中国地图和世界地图的切换，默认展示中国地图，当在该页面选择中国地图时，切换到除综合态势页面下的其他页面会携带国家为中国的过滤条件。响设备前五、威胁实时监测、中国地图显示各省、直辖市的威胁次数。点击1世界1进行图3-4综合态势2.5.1. 威胁实时监测通过时间、地域、UDIDx威胁类型，展示时事最新出现的五条威胁事件数据。威胁实时监测时间2021-01-1413:40:52黑龙江,哈尔滨南街区Ofafa2b程序外并2021-01-1413:40:51湖南,衡阳,石鼓区f262c57c程序外持2021-01-141340:45期,浦东新区ClIa2076内存复改2021-01-1413:40:36浙江,宁波d15ed9d9多开器2021-01-1413:40:09浙江I宁波d15ed9d9冬开器图3-5威胁实时监测入口点击”威胁实时监测，跳转到威胁实时监测页面，可以支持自定义条件实时滚动监控客户端的各类安全事件、威胁、环境风险、崩溃、启动信息。图3-6威胁实时监测页面2.6. 安全分析3.6.1,应用安全概览应用安全概览是展示所有应用数据变化情况的特征，可以在页面上端的"部分一选项中选择之前我们通过策略配置产生的应用分组，应用名称、地域和时间。点击“部分二可以快速分别转到所有应用维度的安全事件分析>事件统计"、威胁分析>威胁统计"、"环境分析>环境统计"。点击"部分三"会快速转到单个应用维度的事件统计，点击部分四"会转到单个应用维度的威胁统计，点击部分五会转到单个应用维度的环境统计。图3-7应用安全概览2.6.1. 应用威胁分析3621威胁统计威胁统计用于全局上对威胁进行统计分析，以图形化的方式向用户展现设备上发生威胁的整体情况。单击安全分析>应用威胁分析>威胁统计进入威胁统计页面，如下图所示:图3-8威胁统计页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击"重置按键一键撤销。威胁总数：显示系统监测到的威胁总数。 影响设备数：显示监测到威胁事件的设备数量。 活跃设备数：显示监测到的活跃设备数量（活跃设备指启动过应用的设备数量）。 影响设备率：影响设备数与活跃设备数的比值。（点击以上任意一个会转到地域排行、设备类型排行、系统版本排行、应用版本排行详情。）威胁总体趋势以拆线图的形式展示所选数据类型（威胁趋势、影响设备趋势、活跃设备趋势、影响设备率趋势）的统计数据。横坐标为时间，纵坐标为所选数据类型。当点击威胁趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的威胁发生总次数及各类威胁发生的次数。当点击影响设备趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的威胁影响设备总数及各类威胁影响的设备数。当点击活跃设备趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的活跃设备数。当点击影响设备率趋势按键时，鼠标移到折线图上会显示筛选后的展示数据在鼠标选中日期的影响设备率。威胁分类统计威胁发生次数：以饼图形式展示各类型威胁发生的次数和占比。威胁影响设备数：以条形图式展示各类型威胁影响的设备数。威胁分布威胁发生次数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示威胁发生次数及占比。威胁影响设备数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示威胁影响设备数及占比。3622威胁详情威胁详情用于列出威胁的详细情况。单击安全分析>应用威胁分析>威胁详情"进入威胁详情页面，如下图所示：图3-9威胁详情页面顶部可以按"时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、省级地域、市级地域、系统版本、应用版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的"数据导出导出选择的列表展示内容，并在"报表功能数据导出>导出列表中点击下载，报表就会被下载到本地。搜索框支持分析结果、IP、WlFL用户信息关键字模糊检索，默认选择全部搜索字段，可支持单独对分析结果或IP或WIFI进行指定检索。3.6.3.环境风险分析?6?1环境统计环境统计用于全局上对设备的运行环境进行统计分析，以图形化的方式向用户展现整体的环境情况。单击安全分析>环境风险分析>环境统计"进入环境统计页面，如下图所示：图3-10环境统计页面顶部可以按"应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。 异常设备数：监测到有环境安全问题的活跃设备数。 活跃设备数：显示监测到的活跃设备数量（活跃设备指启动过应用的设备数量）。 异常设备率：异常设备数与活跃设备数的比值。 （点击以上任意一个会转到地域排行、设备类型排行、系统版本排行、应用版本排行详情。）异常环境趋势以拆线图的形式展示所选数据类型（异常设备趋势、活跃设备趋势、异常设备率趋势）的统计数据。横坐标为时间，纵坐标为所选数据类型。异常环境分类统计 异常设备数：以柱状图形式展示各类型异常环境的设备数。异常环境分布 异常设备数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示异常设备数及占比。3.6.32环境详情环境详情用于列出环境的详细情况。单击安全分析>环境风险分析>环境详情进入环境详情页面，如下图所示：安全分析淅出UOOmis。？加 13)616 1627,g 7> QVrtR2021-044)6160647WtRm 18。22021-044)6160065e soc±wM1-044)615545172160214U4)15W31VrtR17218022021M)615806t3 m OWjMIVrtR172 1&02Nolg) 14 筑 MCSSJ m Qwin172 1802Wjee1721&022(0IaO 103 toca g Qvimm 1802XV.*B9C图3-11环境详情页面顶部可以按"应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型"筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在"报表功能>数据导出导出列表中点击下载"，报表就会被下载到本地。搜索框支持分析结果、IP、WIFL用户信息关键字模糊检索，默认选择全部搜索字段，可支持单独对分析结果或IP或WIFI进行指定检索。3.6.4,安全事件分析3641事件统计事件统计用于全局上对安全事件进行统计分析，以图形化的方式向用户展现安全事件整体情况。单击”安全分析>安全事件分析>事件统计"进入事件统计页面，如下图所示：图372事件统计页面顶部可以按"应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。安全事件数：筛选范围内发生的安全事件总数。事件设备数：筛选范围内安全事件涉及的设备数。（点击以上任意一个会转到地域排行、设备类型排行、系统版本排行、应用版本排行详情。）安全事件总体趋势折线图形式显示安全事件数及事件设备数的发展趋势，鼠标移至图中可显示鼠标所在时间范围内的安全事件数或事件设备数。安全事件地域分布条形图形式显示安全事件发生次数最多的前5个城市及在其它城市发生的安全事件数量。安全事件攻击源分布饼图形式显示攻击源最多的前5个城市及在其它城市的攻击源数量。&6.4.Z事件详情事件详情用于列出安全事件的详细情况。单击安全分析>安全事件分析>事件详情进入事件详情页面，如下图所示：图3T3事件详情页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型"筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在"报表功能数据导出导出列表中点击下载，报表就会被下载到本地。搜索框支持分析结果、IP、WIFL用户信息关键字模糊检索，默认选择全部搜索字段，可支持单独对分析结果或IP或WIFI进行指定检索。3.6.5. 风险设备分析风险设备分析统计并展示风险设备列表。支持从应用版本、设备类型、威胁指数、UDID.时间等维度对风险设备进行查询，支持查看单个设备详情，支持按照设备威胁指数、应用威胁指数进行排序。图3-14风险设备分析3.6.6. 封禁实施分析封禁实施分析统计并展示已实施封禁记录。从应用版本、封禁类型、策略名称、封禁策略、时间等维度对已实施封禁进行查询，支持通过UDID、IMEl查询单个设备的全部封禁情况，支持查看触发封禁的封禁策略的详细配置。图3-15封禁实施分析通过左下角的"数据导出导出选择的列表展示内容，并在"报表功能>数据导出>导出列表中点击“下载，报表就会被下载到本地。3.7.运行分析运行分析模块用于统计、分析、展示终端运行相关信息，主要包含三个层面的信息：运行（启动）信息、设备信息、终端安装应用信息。其中运行信息展现终端启动应用的情况统计；设备信息用于统计所有已运行应用的设备信息，这些信息为探针从终端直接采集所得；终端应用信息用于统计终端上安装的其他应用的情况。3.7.1. 运行分析3711运行统计运行统计用于全局上对启动情况进行统计分析，以图形化的方式向用户展现设备上启动应用的情况。单击"运行分析>运行分析>运行统计"进入运行统计页面，如下图所示：封禁实施分析K»cnQ.QKS«0.刖98图376运行统计CajecMMt:MXaeralK4<w7页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型"筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。 启动总次数：显示应用启动总次数。 活跃设备数：显示监测到的活跃设备数量。 平均启动次数：启动总次数/活跃设备数的比值。启动总体趋势折线图形式显示启动次数及活跃设备数的变化趋势，鼠标移至图中可显示鼠标所在时间范围内的启动次数或活路设备数。勾选"对比前一周期可显示前一周期的虚折线图。启动分布 启动次数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示启动次数及占比。 活跃设备数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示活跃设备数及占比。3712运行详情运行详情用于按应用启动时间降序方式列出所有的启动情况。单击”运行分析>运行分析>运行详情进入运行详情页面，如下图所示：图377运行详情页面顶部可以按"应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的"数据导出导出选择的列表展示内容，并在"报表功能数据导出>导出列表中点击下载，报表就会被下载到本地。3.7.2. 终端设备信息3.7.21. 设备统计设备统计用于全局上对设备数情况进行统计分析，以图形化的方式向用户展现设备数量情况。单击”运行分析>终端设备信息>设备统计进入设备统计页面，如下图所示：图378设备统计页面顶部可以按"应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型"筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。 设备总数：显示安装应用的设备总数。 活跃设备数：显示监测到的活跃设备数量。 设备活跃率：活跃设备数/设备总数的比值。设备数趋势折线图形式显示指定筛选范围内的设备总数（当前安装应用的设备数）和新增设备数（首次安装应用的设备数）变化趋势。鼠标移到折线图上，可以显示该时间段内的设备总数和新增设备数。设备分布 设备总数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示设备总数及占比。 新增设备数：从设备分布、地域分布、系统版本分布、应用版本分布四个维度显示新增设备数及占比。3722设备列表单击运行分析>终端设备信息>设备列表进入设备列表页面，如下图所示：移动J>卡金分析MvMiIVA69MCftJI帙及配Ql*t>mWMMeMM图3-19设备列表页面顶部可以按应用分组、应用名称、时间（今天、昨天、最近7天、最近14天、最近1个月、最近3个月、最近6个月、最近1年、全部、自定义时间）、设备类型、关注设备、地域、系统版本、威胁类型"筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。除默认展示字段信息外，可通过列表显示选择下拉列表对展示字段进行调整，修改展示信息，并且可以点击通过右上角的数据导出导出选择的列表展示内容，并在"报表功能数据导出导出列表中点击下载，报表就会被下载到本地。3.73.终端应用信息?7?1应用统计应用统计用于全局上对设备上安装应用情况进行统计分析，以图形化的方式向用户展现设备上应用安装情况。单击"运行分析>终端应用信息>应用统计"进入应用统计页面，如下图所示:图3-20应用统计页面顶部可以按应用分组、应用名称、排序、时间筛选展示数据，选择过滤条件为实时生效，如需要撤销所选择过滤条件，可点击重置按钮一键撤销。3.8.策略配置说明3.8.1,安全事件配置安全事件的定义可以为用户筛选出来高危、持续攻击事件，多用于攻击发生次数多的情况。定义并管理安全事件。单击策略配置>安全事件配置菜单，进入安全事件定义页面，如下图所示:图3-21安全事件目录安全事件定义列表字段说明如下：选项说明事件名称显示定义的事件名称。威胁程度根据具体情况展示的安全性等级分类适用应用想要配置事件的目标应用创建时间显示安全事件创建时间。停用/启用配置停用/启用安全事件匹配策略。新建的安全事件默认为停用状态。操作对安全事件进行查看、删除。事件描述输入事件描述监控周期同一次启动：同一次启动过程作为一个监测周期，在同一次启动中满足指定规则及维度时生成一个安全事件。每天固定时间段：指定每天的固定时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。时间周期：配置未来某时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。表3-1安全事件定义列表字段说明单击新增事件"按钮，弹出事件定义窗口，再点击添加规则添加事件的规则（可添加多个事件规则），配置完一个规则后点击保存，配置完整个事件后如下图所示：RHWMfr2Q22-11-M移动应用安全监海平铉年一Q ll*Jt- MBKfiER »s»«ea9 aa SMMB SOKZw«1图3-23新建安全事件2图3-25新建安全事件4各字段说明如下：字段名称详细含义事件名称录入事件名称，长度0-20字符。事件描述输入事彳S述监控周期同一次启动：同一次启动过程作为一个监测周期，在同一次启动中满足指定规则及维度时生成一个安全事件。每天固定时间段：指定每天的固定时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。时间周期：配置未来某时间段作为一个监测周期，在此时间段内满足指定规则及维度时生成一个安全事件。使用方式满足任一勾选条件：满足任意一个条件会被记录为一个安全事件满足全部勾选条件：必须满足全部条件才会被记录为一个安全事件安全事件生效时间以日为单位，在规定日期内触发的规则事件会被记录下来适用应用有些客户会部署多个应用，我们可以选取目标应用加以关注。封禁策略静默监控：用户触发了此类事件后仅会被记录于平台中，不会对用户采取措施封禁：用户触发后不仅被记录于平台中，用户会被封禁。历史重算指定历史日期以后产生的满足规则的数据会展示到安全事件配置中威胁程度分类定义安全事件的威胁程度，有相应的高/中/低危进行定义。表3-2新增事件字段说明维度字段名称简介备注威胁维度威胁次数威胁次数里指定某些威胁种类发生指定次可以一次安全事件例如：模拟器威胁触发了两次，会记录一个安全事件威胁种类我们统计的共n个威胁种类多于发生设定值以上会触发一次安全事件例如：模拟器、注入攻击、位置欺诈发生后，会记录一次安全事件包含威胁选取固定的种类发生一个或多个会触发一次安全事件例如：模拟器、注入攻击，包含一种发生1次，会记录安全事件。风险维度风险次数风险环境次数里指定风险环境种类发生多少次可以一次安全事件例如：Root/越狱触发了两次，会记录一个安全事件风险种类我们统计的共6个风险环境种类多于发生设定值以上会触发一次安全事件例如：风险进程、框架软件、敏感配置发生后，会记录一次安全事件包含风险选取固定的种类发生一个或多个会触发一次安全事件例如：风险进程、框架软件，包含其中一个，会记录一次安全事件WiFiiftSWIFI-SSId包含字符探针收集的WIFI-SSId字段包含设定值会记录一次安全事件WIFI-MAC探针收集的WIFi-SSID字段是设定值会记录一次安全事件P械属于IP组探针收集的外网IP信息为设定值会记录一次安全事件账号维度登陆账号属于账号组探针收集的账号信息，检测到的账号言息为设定值时会记录一次安全事件应用维度应用个数定义应用个数区间，在定义区间内会触发一次安全事件应用列表中探针会探测每一台手机的应用安装列表，如果包含的关键字包含定义字段会触发一次安全事件应用列表中探针会探测每一台手机的应用安装列表，如果不包含关键字不包含定义字段会触发一次安全事件应用列表中探针会探测每一台手机的应用的签名，如果签应用签名包含关键字名包含定义字段会触发一次安全事件包含以上关在上述关键字中，可以最多添加200个关键例如：某些手机使用键字时成立字，形成个关键字组。组内成立规定数目的关"VirtuaIXposed”与键字数目以上会触发一次安全事件"Xposed"两个应用才能满足攻击条件，所以我们设此监测点具有重要意义。表3-3添加规则字段说明3.8.2.监测策略配置38.2.1域名欺诈配置域名欺诈的检测条件，单击"策略配置>监测策略配置>域名欺诈菜单，点击”新增进入域名欺诈配置页面，如下图所示：8安全WMSRRsm*RKfiffl WMMm tfme½y e nsftx S白名Mgig曲。赛全修*wwwsogou comWWWSOU90UCOm41 14 44 11H用用Sft62021W2 14:35540包杰彭202103-10190413向62021-0M21101:16彭202IglO 19 04 400图3-26域名欺诈用户可以设置正确的域名和IP映射关系,当客户端检测到域名解析的IP不是用户设置的正确IP地址时，会判定为域名欺诈。在列表中展示的域名均已生效，点击删除按钮，可以删除该条域名内容。3822程序外挂平台内置了市场上面常见的各类外挂，同时针对部分行业的特殊性，外挂更新频率可能较为频繁。平台设计了外挂自定义的入口，通过自定义外挂的包名、特征，可以新增外挂识别条目。3.8.2.2.1.外挂应用定义通过应用包名、签名MD5识别外挂应用。外挂应用定义主要适用于Android5.1以下操作系统。新增外挂应用步骤：1 .单击策略配置>监测策略配置>程序外挂>外挂应用定义菜单，点击"新增进入新建外挂应用页面。安全>nsS囱Ig匕9tewsHAlCT应附由W异M为WMmB SfiSW吩 海tSfr二一：外挂应用定义然WiBW阳Ig名口书MDS述阳应用我/别IWGJB1JHdemOCO<n<""VgMc48be66d40*5"31e8703c256M(WdB2se2POCdemo«4«皿40*6CSmlee70336*«)2图3-27外挂应用列表新也外隹应用外挂名称ii4SM05Sfi38AndrodISWffls三钿JRiS三B演示应用取消图3-28新增外挂应用2 ."外挂名称为用户自定义的名称，在该外挂事件上报时显示该名称。3 .外挂包名为外挂APK的包名,需严格匹配。4 .证书MD5"为外挂APK的证书的MD5值。APK的证书的MD5值的获取方法：Unzip外挂APK,进入META-INF目录，运行命令keytool-printcert-file,即可打印出签名文件的MD5值。1.astlogin:ThuMar2211:20:46onttys001Is-MacBook-Pro:-1$keytool-printcert-fileCERT.RSA图3-29获取前面文件MD55 .系统类别被分为为Android和IOSe6 .适用应用选取我们关注的目标应用7 .点击“确定，新的外挂文件创建完成。8 .点击启用/停用"按钮,可以控制该条外挂应用的启用和停用。点击"删除按钮，可以删除该条外挂应用。3.8.2.2.2.外挂特征定义通过应用特征识别外挂应用，适用于所有版本操作系统。新增外挂特征步骤：1 .点击外挂特征定义，点击右下角按钮"新增，弹出对话框"新建外挂特征。8即汾爆±9Mw呼4»I8I外挂特征定义庠号MW5W附用征济阳庙用累毓工脚但用富用BfF协眦fi三5MI防界面时OIB苫无SW图3-30勺忖圭特征列表新建外挂特征JWiS标AndrotdStiS三a"J½Siffl演充6用示例：特征可以为文件路&.文件关键字,路径关S!字，姓关Ia字等等.JOffiIessiptatc.图3-31新增外挂特征2 .外挂名称为用户自定义的名称，在该外挂事件上报时显示该名称。3 ."外挂特征为该外挂的具体特征，可以是一个文件名，也可以是一个绝对路径名。4 ."系统类别为Android和IOS二选一。5 .适用应用选取我们关注的目标应用6 .点击“确定，新的外挂特征创建完成。7 .点击"启用/停用按钮，可以控制该条外挂应用的启用和停用。点击删除按钮，可以删除该条外挂应用。3.8.23.注入攻击系统默认会检测常规的内存注入，系统文件打开、读写、获取时间、通讯、网络、位置等相关系统接口是否被Hook0函数HoOk检测配置包含系统SO库函数防Hook、应用So库防HOOk定义、XposedHOOk定义QS-DyIib库函数防HOOk。系统SO库函数防Hook定义：用于定义检测本应用调用系统Iib库函数被Hooke应用SO库防Hook定义：用于定义检测调用应用内SO库中函数被Hook0XposedHook定义:Xposed是一个在andoid平台上比较成熟的hook框架,可以完美的在dalv汰虚拟机上做到hook任意java方法。这里定义检测Xp。SedHook的条件。iOS-Dylib库函数防Hook定义：用于定义检测iOS-Dylib库函数被Hook0如果用户自身应用或者系统其它接口的业务安全要求非常高，可以单击"策略配置>监测策略配置>注入攻击菜单进行注入攻击自定义，根据威胁不同种类选择函数HOok或者so注入检测配置，再点击"新增，在弹出框输入详细信息。如下图所示：函数Hook检测配置图3-32函数HOOK检测配置列表图3-33新增函数Hook特征aHonsHHt向刖"ft三三fy>j刖淅防方面劫持MSCk)Z为亮MSB白幺华Aa图3-34So注入检测配置策略列表图3-36SC）注入开启/停用、删除3824应用破解单击“策略配置>监测策略配置>应用破解菜单，进入应用破解自定义页面，如下图所示：图3-37应用破解配置列表通过应用破解自定义页面，用户可以上传自己的对外发布的合法应用，用于平台作为基准包的检测（每个版本都需要上传）。如果用户不上传，则平台通过大数据技术自动学习提取安装包的特征。3825高频异常行为平台会默认检测：账号、IP、地域、设备等频繁变化的设备，超过配置阈值后会生成对应的高频威胁。eer½诲脚，防界面的 G义B白名的改策略配置页面如下：EElViKaUUa应用行为此3t操作161，阳2向2硼OEiftfe?61,阳2003i6M阳2004IfSSStJBM61，'W200共4条QQK）条向BMMI图3-38高频异常行为策略目录如果我们想根据实际情况更改这个配置阈值，直接点击单个威胁类型操作中的编辑按钮进行重新配置。针对多应用用户，当不同应用对单个监测点的定义（阈值）不同时，点击“新增按钮，在适用应用选择对应的应用名称，针对单个应用建立不同的策略。*适用应全部应触21默认应用组可谢说I恩杰彭恩杰3.彭恩杰04测题用恩杰1.彭2.彭涛透报适用应用取消一定图3-39新增高频异常行为5S2fi风险应用应用安全监测平台内置了标准的风险应用检测样本库，用户自己可以定义其它关心的风险应用，如发现一些新的钓鱼应用，可以将钓鱼应用配置为风险应用。单击"策略配置>监测策略配置>风险应用菜单，进入风险应用页面，如下图所示:图3-40风险应用策略目录可依据应用名称、包名、Dylib库关键字等风险特征定义风险应用。单击“新增"按钮,新增一个风险应用，如下图所示：新建风陵.风险名称.系统类SIIO AndroklQS全部应用组默认应用组可选应用testtest2test003est(Mtest005test006test007test008tesl9Iestoiolesiontestl2testl3test!4testO15test016提示：风险特征可以为应用名称，包名或Dylib盛关曜字.取消图3-41新增风险应用3.8.27.防界面劫持点击"策略配置>监测策略配置>防界面劫持会看到针对于应用层面防止界面劫持的具体事项，点击"关闭/开启可使选项是否生效，点击"操作可以修改配置，在弹窗中会选择提示时长、提示位置、适用应用、提示语。And平台防加BS 第黄励开口砺的GGSl用的用«W» (W35Sffl»WSJWfth对禁期gB白福诩R图3-42防界面劫持策略3.8.3. 威胁指数配置支持针对不同的应用配置不同的威胁指数配分，可自定义为每个应用创建威胁指数策略。所有应用默认使用系统预置策略，可以点击新增策略，为单个或多个应用配置威胁指数策略，但每个应用只可以有一个威胁指数策略，以最后配置的策略为准。图3-43威胁指数策略列表每个策略支持对每一种威胁、环境定义了分值,有基础分，叠加分,封顶分,叠加分就是，每种威胁或环境，每发生一次加多少分,用户可以自定义设置分数，根据每台设备的当次启动上报消息情况,结合历史统计对设备进行打分。通过点击各种消息类型对应的风险等级对配置进行修改。图3-41威胁指数配置分析设备整体的风险状态，在风险设备分析、设备详情页面可以查看单个设备的设备