ATT&CK-CN V1.01 Last Update: 2019-11 [返回索引页]

译者: 林妙倩、戴亦仑原创翻译作品，如果需要转载请取得翻译作者同意。

数据来源：ATT&CK Matrices

原文: https://attack.mitre.org/techniques/T1407

术语表: /attack/glossary

在运行时下载新代码

应用程序可以在安装后下载并执行动态代码（不在原始应用程序包中），以避开用于应用程序审查或应用程序商店审查的静态分析技术（以及可能的动态分析技术）。

在 Android 上，动态代码可以包括本机代码、Dalvik 代码或使用 Android WebView 的 JavascriptInterface 功能的 JavaScript 代码。

在 iOS 上，在应用程序安装后执行下载的动态代码的技术包括 JSPatch。Wang 等人描述了在 iOS 应用运行时构建恶意逻辑的相关方法。

缓解

缓解	描述
应用程序审查	应用程序审查技术可以（静态地或动态地）查找应用程序在运行时下载并执行新代码的指示（例如，在 Android 上使用 DexClassLoader，System.load 或 WebView JavaScriptInterface 功能，或者在 JSP 上使用 JSPatch 或类似功能）。不幸的是，这只能部分缓解，仍然需要对使用这些技术的应用程序进行额外的审查，因为这些技术在没有恶意目的下使用是很常见的，并且应用程序可能会采用其他技术来隐藏它们的使用技术。

描述

应用程序审查

应用程序审查技术可以（静态地或动态地）查找应用程序在运行时下载并执行新代码的指示（例如，在 Android 上使用 DexClassLoader，System.load 或 WebView JavaScriptInterface 功能，或者在 JSP 上使用 JSPatch 或类似功能）。不幸的是，这只能部分缓解，仍然需要对使用这些技术的应用程序进行额外的审查，因为这些技术在没有恶意目的下使用是很常见的，并且应用程序可能会采用其他技术来隐藏它们的使用技术。