一種跟蹤Android程序行為的方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明屬于病毒防御【技術(shù)領(lǐng)域】��,具體公開了一種跟蹤Android程序行為的方法及系統(tǒng)�����。該方法包括以下步驟:解包并反匯編所述Android程序���;插入監(jiān)控程序段至反匯編后的Android程序中���,所述監(jiān)控程序段用于監(jiān)控所述Android程序運行過程中的運行行為;匯編并打包插入了監(jiān)控程序段的Android程序�����;運行重新匯編后的Android程序�,并通過所述監(jiān)控程序段獲取該Android程序的運行行為數(shù)據(jù)。本發(fā)明可以自動分析和監(jiān)控Android程序的運行行為��,此過程不僅分析效率高����,而且對加密后的Android程序也可以進行分析。
【專利說明】—種跟蹤Andro i d程序行為的方法及系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于病毒防御【技術(shù)領(lǐng)域】,具體涉及一種跟蹤Android程序行為的方法及系統(tǒng)��。
【背景技術(shù)】
[0002]Android是一種以Linux為基礎(chǔ)的開放源代碼操作系統(tǒng)���,主要使用于便攜設(shè)備����。目前尚未有統(tǒng)一中文名稱����,中國大陸地區(qū)較多人使用“安卓”或“安致”。Android操作系統(tǒng)最初由AndyRubin開發(fā),最初主要支持手機�����。2005年由Google收購注資����,并組建開放手機聯(lián)盟開發(fā)改良,逐漸擴展到平板電腦及其他領(lǐng)域上����。
[0003]反匯編:把目標代碼轉(zhuǎn)為匯編代碼的過程��,也可說是把機器語言轉(zhuǎn)為匯編語言代碼,低級轉(zhuǎn)高級的意思�,常用于軟件破解(例如找到它是如何注冊的,從而解出它的注冊碼或者編寫注冊機�����。)�����,外掛技術(shù)��,病毒分析����,逆向工程,軟件漢化��。通常�,編寫程序是利用高級語言如C,pascal等高級語言進行編程的�����,然后再經(jīng)過編譯程序生成可以被計算機系統(tǒng)直接執(zhí)行的文件(機器語言)���。反匯編即是指將這些執(zhí)行文件反編譯還原成匯編語言或其他高級語言���。但通常反編譯出來的程序與原程序會存在些許不同����,雖然執(zhí)行效果相同����,但程序代碼會發(fā)生很大的變化,要讀懂反匯編需要有扎實的高級語言編寫功底��,和匯編功底�。目前網(wǎng)絡(luò)上的免費軟件,PSP PS NDS游戲機的破解和蘋果iOS系統(tǒng)的越獄都跟反匯編息息相關(guān)����。
[0004]隨著Android系統(tǒng)的不斷普及,各種Android病毒程序也日漸興起����,目前面對這些程序的分析方法通常就是將其反編譯成明文,然后人工逐一分析器程序行為�����,進而判斷其是否具有一些惡意行為��,比如:刪除系統(tǒng)文件等等����。這種方法不僅效率低下,而且通常病毒制作者也會對程序加密��,反編譯出來是一些亂碼����,根本無法分析。
【發(fā)明內(nèi)容】
[0005]為了解決上述問題���,本發(fā)明的目的在于提供一種跟蹤Android程序行為的方法及系統(tǒng)��,以自動分析和監(jiān)控其運行行為�。
[0006]為了實現(xiàn)上述發(fā)明目的���,基于上述研究發(fā)現(xiàn)��,得到了以下技術(shù)方案:
[0007]一種跟蹤Android程序行為的方法���,包括以下步驟:
[0008]解包并反匯編所述Android程序�����;
[0009]插入監(jiān)控程序段至反匯編后的Android程序中�,所述監(jiān)控程序段用于監(jiān)控所述Android程序運行過程中的運行行為���;
[0010]匯編并打包插入了監(jiān)控程序段的Android程序����;
[0011]運行重新匯編后的Android程序�,并通過所述監(jiān)控程序段獲取該Android程序的運行行為數(shù)據(jù)。
[0012]進一步的,所述的運行行為包括調(diào)用系統(tǒng)函數(shù)行為���。
[0013]進一步的���,所述運行行為數(shù)據(jù)包括傳入?yún)?shù)、傳出參數(shù)�����、以及返回值�����。
[0014]進一步的,所述運行重新匯編后的Android程序�����,具體是:將重新匯編后的Android程序置于設(shè)備模擬器或真實設(shè)備中運行�����。
[0015]一種跟蹤Android程序行為的系統(tǒng)���,包括以下模塊:
[0016]解包和反匯編模塊,解包并反匯編所述Android程序���;
[0017]監(jiān)控程序插入模塊�����,插入監(jiān)控程序段至反匯編后的Android程序中����,所述監(jiān)控程序段用于監(jiān)控所述Android程序運行過程中的運行行為��;
[0018]匯編和打包模塊��,匯編并打包插入了監(jiān)控程序段的Android程序;
[0019]模擬運行模塊�,運行重新匯編后的Android程序,并通過所述監(jiān)控程序段獲取該Android程序的運行行為數(shù)據(jù)����。
[0020]進一步的,所述的運行行為包括調(diào)用系統(tǒng)函數(shù)行為。
[0021]進一步的��,所述運行行為數(shù)據(jù)包括傳入?yún)?shù)�、傳出參數(shù)、以及返回值���。
[0022]進一步的�����,所述運行重新匯編后的Android程序����,具體是:將重新匯編后的Android程序置于設(shè)備模擬器或真實設(shè)備中運行�。
[0023]本發(fā)明通過插入監(jiān)控程序段,然后通過監(jiān)控程序段在Android程序運行過程中獲取其運行行為數(shù)據(jù)��,根據(jù)這些運行行為數(shù)據(jù)即可知道該Android程序是否為病毒程序。此過程不僅可以自動完成提高分析效率�,而且對加密后的Android程序也可以進行分析。
【專利附圖】
【附圖說明】
[0024]此【專利附圖】
【附圖說明】所提供的圖片用來輔助對本發(fā)明的進一步理解���,構(gòu)成本申請的一部分���,并不構(gòu)成對本發(fā)明的不當限定,在附圖中:
[0025]圖1是本發(fā)明方法對應(yīng)的流程圖����;
[0026]圖2是本發(fā)明系統(tǒng)對應(yīng)的框圖�����。
【具體實施方式】
[0027]如圖1所示�����,本實施例公開了一種跟蹤Android程序行為的方法�,包括以下步驟:
[0028]Stepl:解包并反匯編所述Android程序;所謂的解包就是壓包的反過程���,即將壓包文件還原成原來的文件����;所謂的反匯編就是把目標代碼轉(zhuǎn)為匯編代碼的過程,也可說是把機器語言轉(zhuǎn)為匯編語言代碼���,低級轉(zhuǎn)高級的意思�;本步驟采用現(xiàn)有的解包和反匯編各種方法����,即可完成。
[0029]St印2:插入監(jiān)控程序段至反匯編后的Android程序中����,所述監(jiān)控程序段用于監(jiān)控所述Android程序運行過程中的運行行為,所述的運行行為包括調(diào)用系統(tǒng)函數(shù)行為���;程序的行為基本都是體現(xiàn)在函數(shù)調(diào)用上�,通過監(jiān)控系統(tǒng)函數(shù)的調(diào)用行為可以了解該Android程序是否存在比如刪除重要數(shù)據(jù)�、修改系統(tǒng)重要參數(shù)、竊取用戶信息等惡意行為���。
[0030]St印3:匯編并打包插入了監(jiān)控程序段的Android程序��,本步驟就是將其轉(zhuǎn)換成目標代碼以供機器執(zhí)行���。
[0031]St印4:運行重新匯編后的Android程序���,具體是:將重新匯編后的Android程序置于設(shè)備模擬器或真實設(shè)備中運行;并通過所述監(jiān)控程序段獲取該Android程序的運行行為數(shù)據(jù)�,所述運行行為數(shù)據(jù)包括傳入?yún)?shù)、傳出參數(shù)����、以及返回值;通過其傳入?yún)?shù)����、傳出參數(shù)�、以及返回值就可以完全掌握其運行行為,進而直觀分析出該Android程序是否為病毒程序��。[0032]本實施例還公開了一種跟蹤Android程序行為的系統(tǒng)�,包括以下模塊:
[0033]解包和反匯編模塊I,解包并反匯編所述Android程序����;
[0034]監(jiān)控程序插入模塊2,插入監(jiān)控程序段至反匯編后的Android程序中�,所述監(jiān)控程序段用于監(jiān)控所述Android程序運行過程中的運行行為,所述的運行行為包括調(diào)用系統(tǒng)函數(shù)行為;
[0035]匯編和打包模塊3���,匯編并打包插入了監(jiān)控程序段的Android程序����;
[0036]模擬運行模塊4�����,運行重新匯編后的Android程序�����,并通過所述監(jiān)控程序段獲取該Android程序的運行行為數(shù)據(jù)���,所述運行行為數(shù)據(jù)包括傳入?yún)?shù)�、傳出參數(shù)��、以及返回值����。所述運行重新匯編后的Android程序,具體是:將重新匯編后的Android程序置于設(shè)備模擬器或真實設(shè)備中運行����。
[0037]本發(fā)明通過插入監(jiān)控程序段�����,然后通過監(jiān)控程序段在Android程序運行過程中獲取其運行行為數(shù)據(jù)�,根據(jù)這些運行行為數(shù)據(jù)即可知道該Android程序是否為病毒程序��。
[0038]以上詳細描述了本發(fā)明的較佳具體實施例�����,應(yīng)當理解����,本領(lǐng)域的普通技術(shù)無需創(chuàng)造性勞動就可以根據(jù)本發(fā)明的構(gòu)思做出諸多修改和變化。因此����,凡本【技術(shù)領(lǐng)域】中技術(shù)人員依本發(fā)明構(gòu)思在現(xiàn)有技術(shù)基礎(chǔ)上通過邏輯分析��、推理或者根據(jù)有限的實驗可以得到的技術(shù)方案�����,均應(yīng)該在由本權(quán)利要求書所確定的保護范圍之中。
【權(quán)利要求】
1.一種跟蹤Android程序行為的方法��,其特征在于包括以下步驟: 解包并反匯編所述Android程序��; 插入監(jiān)控程序段至反匯編后的Android程序中�,所述監(jiān)控程序段用于監(jiān)控所述Android程序運行過程中的運行行為; 匯編并打包插入了監(jiān)控程序段的Android程序�; 運行重新匯編后的Android程序,并通過所述監(jiān)控程序段獲取該Android程序的運行行為數(shù)據(jù)��。
2.根據(jù)權(quán)利要求1所述的跟蹤Android程序行為的方法����,其特征在于: 所述的運行行為包括調(diào)用系統(tǒng)函數(shù)行為。
3.根據(jù)權(quán)利要求1所述的跟蹤Android程序行為的方法���,其特征在于: 所述運行行為數(shù)據(jù)包括傳入?yún)?shù)�、傳出參數(shù)���、以及返回值��。
4.根據(jù)權(quán)利要求1所述的跟蹤Android程序行為的方法��,其特征在于: 所述運行重新匯編后的Android程序,具體是:將重新匯編后的Android程序置于設(shè)備模擬器或真實設(shè)備中運行���。
5.一種跟蹤Android程序行為的系統(tǒng)�,其特征在于包括以下模塊: 解包和反匯編模塊���,解包并反匯編所述Android程序�����; 監(jiān)控程序插入模塊�����,插入監(jiān)控程序段至反匯編后的Android程序中����,所述監(jiān)控程序段用于監(jiān)控所述Android程序運行過程中的運行行為�; 匯編和打包模塊,匯編并打包插入了監(jiān)控程序段的Android程序�����; 模擬運行模塊�,運行重新匯編后的Android程序�����,并通過所述監(jiān)控程序段獲取該Android程序的運行行為數(shù)據(jù)。
6.根據(jù)權(quán)利要求5所述的跟蹤Android程序行為的系統(tǒng)���,其特征在于: 所述的運行行為包括調(diào)用系統(tǒng)函數(shù)行為�。
7.根據(jù)權(quán)利要求5所述的跟蹤Android程序行為的系統(tǒng)�,其特征在于: 所述運行行為數(shù)據(jù)包括傳入?yún)?shù)、傳出參數(shù)�、以及返回值。
8.根據(jù)權(quán)利要求5所述的跟蹤Android程序行為的系統(tǒng)��,其特征在于: 所述運行重新匯編后的Android程序,具體是:將重新匯編后的Android程序置于設(shè)備模擬器或真實設(shè)備中運行����。
【文檔編號】G06F11/36GK103793317SQ201210421449
【公開日】2014年5月14日 申請日期:2012年10月26日 優(yōu)先權(quán)日:2012年10月26日
【發(fā)明者】林堅明, 陳宏偉, 徐鳴 申請人:珠海市君天電子科技有限公司, 北京金山安全軟件有限公司, 貝殼網(wǎng)際(北京)安全技術(shù)有限公司, 北京金山網(wǎng)絡(luò)科技有限公司