Android惡意應(yīng)用檢測(cè)方法及裝置制造方法
【專利摘要】一種Android惡意應(yīng)用檢測(cè)方法，包括：獲取輸入的Android應(yīng)用的程序文件；通過(guò)Android模擬器加載所述程序文件，所述Android模擬器對(duì)應(yīng)的系統(tǒng)鏈接庫(kù)和/或Android庫(kù)函數(shù)中添加有日志輸出函數(shù)；獲取用戶輸入的操作流程信息，根據(jù)所述操作流程信息運(yùn)行所述Android應(yīng)用；獲取所述日志輸出函數(shù)輸出的與所述操作流程信息對(duì)應(yīng)的日志信息；根據(jù)所述日志信息生成檢測(cè)結(jié)果。此外，還提供了一種Android惡意應(yīng)用檢測(cè)裝置。上述Android惡意應(yīng)用檢測(cè)方法及裝置能夠提高檢測(cè)的準(zhǔn)確性。
【專利說(shuō)明】Android惡意應(yīng)用檢測(cè)方法及裝置

【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及移動(dòng)互聯(lián)網(wǎng)【技術(shù)領(lǐng)域】，特別是涉及一種Android惡意應(yīng)用檢測(cè)方法及 裝直。

【背景技術(shù)】
[0002] 隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，特別是Android移動(dòng)操作系統(tǒng)的興起，基于Android的惡 意應(yīng)用也越來(lái)越多?，F(xiàn)有的Android惡意應(yīng)用檢查工具通常通過(guò)修改Android開(kāi)源代碼， 在一些敏感操作函數(shù)中加入日志輸出功能，比如短信發(fā)送函數(shù)sendTextMessage等，然后 在Android模擬器的運(yùn)行環(huán)境下通過(guò)機(jī)器隨機(jī)點(diǎn)擊生成模擬操作流程，并通過(guò)分析模擬操 作流程形成的日志文件來(lái)識(shí)別Android惡意應(yīng)用。
[0003] 然而，發(fā)明人經(jīng)研究發(fā)現(xiàn)現(xiàn)有技術(shù)中的Android惡意應(yīng)用檢測(cè)方法至少存在如下 問(wèn)題：
[0004] 傳統(tǒng)技術(shù)中，由于模擬操作流程為由機(jī)器隨機(jī)點(diǎn)擊的方式生成，因此對(duì)于需要執(zhí) 行特定操作而觸發(fā)的惡意行為則檢測(cè)不到，因此準(zhǔn)確性較低。


【發(fā)明內(nèi)容】

[0005] 基于此，有必要提供一種能提高準(zhǔn)確性的Android惡意應(yīng)用檢測(cè)方法。
[0006] 一種Android惡意應(yīng)用檢測(cè)方法，包括：
[0007] 獲取輸入的Android應(yīng)用的程序文件；
[0008] 通過(guò)Android模擬器加載所述程序文件，所述Android模擬器對(duì)應(yīng)的系統(tǒng)鏈接庫(kù) 和/或Android庫(kù)函數(shù)中添加有日志輸出函數(shù)；
[0009] 獲取用戶輸入的操作流程信息，根據(jù)所述操作流程信息運(yùn)行所述Android應(yīng)用；
[0010] 獲取所述日志輸出函數(shù)輸出的與所述操作流程信息對(duì)應(yīng)的日志信息；
[0011] 根據(jù)所述日志信息生成檢測(cè)結(jié)果。
[0012] 此外，還有必要提供一種能提高準(zhǔn)確性的Android惡意應(yīng)用檢測(cè)裝置。
[0013] 一種Android惡意應(yīng)用檢測(cè)裝置，包括：
[0014] 程序文件獲取模塊，用于獲取輸入的Android應(yīng)用的程序文件；
[0015] 應(yīng)用加載模塊，用于通過(guò)Android模擬器加載所述程序文件，所述Android模擬器 對(duì)應(yīng)的系統(tǒng)鏈接庫(kù)和/或Android庫(kù)函數(shù)中添加有日志輸出函數(shù)；
[0016] 模擬運(yùn)行模塊，用于獲取用戶輸入的操作流程信息，根據(jù)所述操作流程信息運(yùn)行 所述Android應(yīng)用；
[0017]日志信息獲取模塊，用于獲取所述日志輸出函數(shù)輸出的與所述操作流程信息對(duì)應(yīng) 的日志信息；
[0018] 檢測(cè)結(jié)果生成模塊，用于根據(jù)所述日志信息生成檢測(cè)結(jié)果。
[0019] 上述Android惡意應(yīng)用檢測(cè)方法及裝置，根據(jù)用戶輸入的操作流程信息生成相應(yīng) 的日志信息，并根據(jù)日志信息生成檢測(cè)結(jié)果。與傳統(tǒng)技術(shù)中機(jī)器隨機(jī)點(diǎn)擊模擬輸入的操作 方式相比，輸入行為更符合用戶操作習(xí)慣，因此能夠?qū)μ囟ǖ牟僮鞒霭l(fā)的惡意行為進(jìn)行檢 測(cè)，使得檢測(cè)范圍較大，從而提高了準(zhǔn)確性。

【專利附圖】

【附圖說(shuō)明】
[0020] 圖1為一個(gè)實(shí)施例中Android惡意應(yīng)用檢測(cè)方法的流程圖；
[0021] 圖2為一個(gè)實(shí)施例中Android惡意應(yīng)用檢測(cè)裝置的結(jié)構(gòu)示意圖；
[0022] 圖3為另一個(gè)實(shí)施例中Android惡意應(yīng)用檢測(cè)裝置的結(jié)構(gòu)示意圖。

【具體實(shí)施方式】
[0023] 在一個(gè)實(shí)施例中，如圖1所示，一種Android惡意應(yīng)用檢測(cè)方法，該方法完全依賴 于計(jì)算機(jī)程序，該計(jì)算機(jī)程序可運(yùn)行于基于馮洛伊曼體系的計(jì)算機(jī)系統(tǒng)上。
[0024] 該方法包括以下步驟：
[0025] 步驟S102,獲取輸入的Android應(yīng)用的程序文件。
[0026] Android應(yīng)用對(duì)應(yīng)的程序文件通常為apk文件。在本實(shí)施例中，可展示文件選擇 框組件。用戶可通過(guò)文件選擇框在本地文件中選擇相應(yīng)的Android應(yīng)用的apk文件進(jìn)行輸 入，即可通過(guò)文件選擇框組件獲取輸入的Android應(yīng)用的程序文件。
[0027] 步驟S104,通過(guò)Android模擬器加載該程序文件，Android模擬器對(duì)應(yīng)的系統(tǒng)鏈接 庫(kù)和/或Android庫(kù)函數(shù)中添加有日志輸出函數(shù)。
[0028] 在本實(shí)施例中，通過(guò)Android模擬器加載程序文件的步驟之前還包括：
[0029] 獲取Android模擬器對(duì)應(yīng)的系統(tǒng)鏡像文件，通過(guò)反匯編系統(tǒng)鏡像文件為Android 模擬器對(duì)應(yīng)的系統(tǒng)鏈接庫(kù)和/或Android庫(kù)函數(shù)添加日志輸出函數(shù)。
[0030] Android模擬器為一種Android沙盒分析工具，例如DroidBox工具。其可以在 沙盒環(huán)境中運(yùn)行Android應(yīng)用，即可在與外界安全隔離的虛擬機(jī)環(huán)境下運(yùn)行Android應(yīng) 用。Android模擬器包含有系統(tǒng)鏡像文件，例如，system, img文件。系統(tǒng)鏡像文件中包含了 Android模擬器運(yùn)行環(huán)境下可調(diào)用的系統(tǒng)鏈接庫(kù)和/或庫(kù)函數(shù)的定義。Android模擬器在 啟動(dòng)時(shí)加載該系統(tǒng)鏡像文件，在運(yùn)行時(shí)即可調(diào)用相應(yīng)的系統(tǒng)鏈接庫(kù)和/或庫(kù)函數(shù)。
[0031 ] 在本實(shí)施例中，需要對(duì)system, img文件進(jìn)行反匯編，然后通過(guò)修改源碼在 system, img文件包含的庫(kù)函數(shù)的函數(shù)定義中加入日志輸出函數(shù)，然后使用修改后的 system, img文件版本啟動(dòng)Android模擬器。
[0032] 在本實(shí)施例中，通過(guò)Android模擬器加載該程序文件的步驟可包括：在Android模 擬器中安裝輸入的Android應(yīng)用的程序文件，然后啟動(dòng)該Android應(yīng)用。
[0033] 進(jìn)一步的，獲取Android模擬器對(duì)應(yīng)的系統(tǒng)鏡像文件的步驟之后還包括：對(duì)系統(tǒng) 鏡像文件進(jìn)行root授權(quán)。
[0034] 在本實(shí)施例中，可通過(guò)YAFFS2img瀏覽器來(lái)修改system, img,將su和superuser 放置到系統(tǒng)應(yīng)用目錄下，并將build, prop中的ro. config. nocheckin=yes注釋掉。經(jīng)上述 修改后的system, img即為取得root授權(quán)的系統(tǒng)鏡像文件。
[0035] 某些Android惡意應(yīng)用會(huì)在取得root授權(quán)的運(yùn)行環(huán)境中觸發(fā)惡意行為，若 Android模擬器對(duì)應(yīng)的系統(tǒng)鏡像文件未獲取root授權(quán)，則在檢測(cè)Android應(yīng)用運(yùn)行時(shí)的行 為時(shí)，無(wú)法對(duì)其在root授權(quán)運(yùn)行環(huán)境中的行為進(jìn)行檢測(cè)。因此，對(duì)系統(tǒng)鏡像文件進(jìn)行root 授權(quán)可以使在Android模擬器中運(yùn)行的Android應(yīng)用能夠觸發(fā)更多的行為，使得檢測(cè)結(jié)果 更全面，從而提高了準(zhǔn)確性。
[0036] 步驟S106,獲取用戶輸入的操作流程信息，根據(jù)操作流程信息運(yùn)行Android應(yīng)用。
[0037] 在本實(shí)施例中，用戶輸入的操作流程信息即用戶在Android模擬器環(huán)境下運(yùn)行的 Android應(yīng)用上輸入的指令的序列?？蓪⒂脩糨斎氲闹噶钚蛄袀鬟f給Android應(yīng)用。
[0038] 步驟S108,獲取日志輸出函數(shù)輸出的與操作流程信息對(duì)應(yīng)的日志信息。
[0039] 如前所述，由于Android模擬器對(duì)應(yīng)的Android庫(kù)函數(shù)中添加了日志輸出函數(shù)，而 在Android模擬器中運(yùn)行的Android應(yīng)用在運(yùn)行時(shí)，需要通過(guò)調(diào)用Android庫(kù)函數(shù)來(lái)實(shí)現(xiàn) 其功能，因此，Android模擬器中運(yùn)行的Android應(yīng)用在根據(jù)用戶輸入的操作流程信息（即 指令序列)運(yùn)行時(shí)，底層調(diào)用Android庫(kù)函數(shù)的操作即會(huì)觸發(fā)Android庫(kù)函數(shù)中的日志輸出 函數(shù)，從而生成相應(yīng)的日志信息。
[0040] 例如，若Android應(yīng)用在執(zhí)行用戶輸入的操作流程信息時(shí)，若其相應(yīng)的業(yè)務(wù)邏輯 需要用到短息發(fā)送功能，則其會(huì)調(diào)用Android庫(kù)函數(shù)sendTextMessage，該Android庫(kù)函數(shù) 用于根據(jù)傳遞的參數(shù)發(fā)送短消息。且該sendTextMessage函數(shù)中預(yù)先加入了日志輸出函 數(shù)，可輸出發(fā)送的短信的內(nèi)容、目標(biāo)號(hào)碼以及發(fā)送時(shí)間等日志信息。
[0041] 步驟Sl 10,根據(jù)日志信息生成檢測(cè)結(jié)果。
[0042] 在本實(shí)施例中，可對(duì)輸出的日志信息進(jìn)行過(guò)濾，去掉重復(fù)的和Android系統(tǒng)的系 統(tǒng)級(jí)日志。系統(tǒng)級(jí)日志即Android系統(tǒng)自身加載過(guò)程產(chǎn)生的日志。在本實(shí)施例中，可獲取過(guò) 濾得到的日志信息中包含的敏感操作日志信息，根據(jù)該敏感操作日志信息生成檢測(cè)結(jié)果。
[0043] 在一個(gè)實(shí)施例中，獲取Android應(yīng)用的程序文件的步驟之后還包括：
[0044] 對(duì)Android應(yīng)用的程序文件進(jìn)行反編譯得到源碼信息，根據(jù)源碼信息生成源碼分 析報(bào)告。
[0045] 在本實(shí)施例中，根據(jù)日志信息生成檢測(cè)結(jié)果的步驟還包括：在檢測(cè)結(jié)果中加入源 碼分析報(bào)告。
[0046] 在一個(gè)實(shí)施例中，源碼信息包括應(yīng)用組件信息。
[0047] 根據(jù)源碼信息生成源碼分析報(bào)告的步驟包括：
[0048] 獲取應(yīng)用組件信息包含的觸發(fā)條件信息；在源碼分析報(bào)告中加入觸發(fā)條件信息。
[0049] 在一個(gè)實(shí)施例中，源碼信息包括接口函數(shù)信息。
[0050] 根據(jù)源碼信息生成源碼分析報(bào)告的步驟包括：
[0051] 獲取預(yù)設(shè)的敏感函數(shù)信息，將與敏感函數(shù)信息匹配的接口函數(shù)信息加入源碼分析 報(bào)告。
[0052] 在一個(gè)實(shí)施例中，源碼信息包括應(yīng)用權(quán)限信息。
[0053] 根據(jù)源碼信息生成源碼分析報(bào)告的步驟包括：
[0054] 在源碼分析報(bào)告中加入應(yīng)用權(quán)限信息。
[0055] 對(duì)Android應(yīng)用的程序文件（apk文件）進(jìn)行反編譯可以得到AndroidManifest. xml文件以及源代碼文件。
[0056] AndroidManifest. xml文件中定義有應(yīng)用組件信息以及應(yīng)用權(quán)限信息。如表1 所示，該文件中可配置有Activity組件、Service組件、Broadcast Receiver組件以及 Content Provider組件的觸發(fā)條件信息。可根據(jù)從該文件提取到的觸發(fā)條件信息判斷其是 否涉及到危險(xiǎn)操作，從而判定該apk文件對(duì)應(yīng)的Android應(yīng)用是否為惡意應(yīng)用。
[0057] 表 1
[0058]

【權(quán)利要求】
1. 一種Android惡意應(yīng)用檢測(cè)方法，包括： 獲取輸入的Android應(yīng)用的程序文件； 通過(guò)Android模擬器加載所述程序文件，所述Android模擬器對(duì)應(yīng)的系統(tǒng)鏈接庫(kù)和/ 或Android庫(kù)函數(shù)中添加有日志輸出函數(shù)； 獲取用戶輸入的操作流程信息，根據(jù)所述操作流程信息運(yùn)行所述Android應(yīng)用； 獲取所述日志輸出函數(shù)輸出的與所述操作流程信息對(duì)應(yīng)的日志信息； 根據(jù)所述日志信息生成檢測(cè)結(jié)果。
2. 根據(jù)權(quán)利要求1所述的Android惡意應(yīng)用檢測(cè)方法，其特征在于，所述通過(guò)Android 模擬器加載所述程序文件的步驟之前還包括： 獲取所述Android模擬器對(duì)應(yīng)的系統(tǒng)鏡像文件； 通過(guò)反匯編所述系統(tǒng)鏡像文件為所述Android模擬器對(duì)應(yīng)的系統(tǒng)鏈接庫(kù)和/或 Android庫(kù)函數(shù)添加日志輸出函數(shù)。
3. 根據(jù)權(quán)利要求2所述的Android惡意應(yīng)用檢測(cè)方法，其特征在于，所述獲取所述 Android模擬器對(duì)應(yīng)的系統(tǒng)鏡像文件的步驟之后還包括： 對(duì)所述系統(tǒng)鏡像文件進(jìn)行root授權(quán)。
4. 根據(jù)權(quán)利要求1所述的Android惡意應(yīng)用檢測(cè)方法，其特征在于，所述獲取Android 應(yīng)用的程序文件的步驟之后還包括： 對(duì)所述Android應(yīng)用的程序文件進(jìn)行反編譯得到源碼信息； 根據(jù)所述源碼信息生成源碼分析報(bào)告； 所述根據(jù)所述日志信息生成檢測(cè)結(jié)果的步驟還包括： 在所述檢測(cè)結(jié)果中加入所述源碼分析報(bào)告。
5. 根據(jù)權(quán)利要求4所述的Android惡意應(yīng)用檢測(cè)方法，其特征在于，所述獲取用戶輸入 的操作流程信息的步驟之前還包括： 根據(jù)所述源碼分析報(bào)告生成操作提示信息并展示。
6. 根據(jù)權(quán)利要求4或5所述的Android惡意應(yīng)用檢測(cè)方法，其特征在于，所述源碼信息 包括應(yīng)用組件信息； 所述根據(jù)所述源碼信息生成源碼分析報(bào)告的步驟包括： 獲取所述應(yīng)用組件信息包含的觸發(fā)條件信息； 在所述源碼分析報(bào)告中加入所述觸發(fā)條件信息。
7. 根據(jù)權(quán)利要求4或5所述的Android惡意應(yīng)用檢測(cè)方法，其特征在于，所述源碼信息 包括接口函數(shù)信息； 所述根據(jù)所述源碼信息生成源碼分析報(bào)告的步驟包括： 獲取預(yù)設(shè)的敏感函數(shù)信息； 將與所述敏感函數(shù)信息匹配的接口函數(shù)信息加入所述源碼分析報(bào)告。
8. 根據(jù)權(quán)利要求4或5所述的Android惡意應(yīng)用檢測(cè)方法，其特征在于，所述源碼信息 包括應(yīng)用權(quán)限信息； 所述根據(jù)所述源碼信息生成源碼分析報(bào)告的步驟包括： 在所述源碼分析報(bào)告中加入所述應(yīng)用權(quán)限信息。
9. 一種Android惡意應(yīng)用檢測(cè)裝置，其特征在于，包括： 程序文件獲取模塊，用于獲取輸入的Android應(yīng)用的程序文件； 應(yīng)用加載模塊，用于通過(guò)Android模擬器加載所述程序文件，所述Android模擬器對(duì)應(yīng) 的系統(tǒng)鏈接庫(kù)和/或Android庫(kù)函數(shù)中添加有日志輸出函數(shù)； 模擬運(yùn)行模塊，用于獲取用戶輸入的操作流程信息，根據(jù)所述操作流程信息運(yùn)行所述 Android 應(yīng)用； 日志信息獲取模塊，用于獲取所述日志輸出函數(shù)輸出的與所述操作流程信息對(duì)應(yīng)的日 志信息； 檢測(cè)結(jié)果生成模塊，用于根據(jù)所述日志信息生成檢測(cè)結(jié)果。
10. 根據(jù)權(quán)利要求9所述的Android惡意應(yīng)用檢測(cè)裝置，其特征在于，所述裝置還包括 系統(tǒng)鏡像文件修改模塊，用于獲取所述Android模擬器對(duì)應(yīng)的系統(tǒng)鏡像文件；通過(guò)反匯編 所述系統(tǒng)鏡像文件為所述Android模擬器對(duì)應(yīng)的系統(tǒng)鏈接庫(kù)和/或Android庫(kù)函數(shù)添加日 志輸出函數(shù)。
11. 根據(jù)權(quán)利要求10所述的Android惡意應(yīng)用檢測(cè)裝置，其特征在于，所述系統(tǒng)鏡像文 件修改模塊還用于對(duì)所述系統(tǒng)鏡像文件進(jìn)行root授權(quán)。
12. 根據(jù)權(quán)利要求9所述的Android惡意應(yīng)用檢測(cè)裝置，其特征在于，所述裝置還包括 靜態(tài)掃描模塊，用于對(duì)所述Android應(yīng)用的程序文件進(jìn)行反編譯得到源碼信息；根據(jù)所述 源碼信息生成源碼分析報(bào)告； 所述檢測(cè)結(jié)果生成模塊還用于在所述檢測(cè)結(jié)果中加入所述源碼分析報(bào)告。
13. 根據(jù)權(quán)利要求12所述的Android惡意應(yīng)用檢測(cè)裝置，其特征在于，所述裝置還包括 操作提示模塊，用于根據(jù)所述源碼分析報(bào)告生成操作提示信息并展示。
14. 根據(jù)權(quán)利要求12或13所述的Android惡意應(yīng)用檢測(cè)裝置，其特征在于，所述源碼 信息包括應(yīng)用組件信息； 所述靜態(tài)掃描模塊還用于獲取所述應(yīng)用組件信息包含的觸發(fā)條件信息；在所述源碼分 析報(bào)告中加入所述觸發(fā)條件信息。
15. 根據(jù)權(quán)利要求12或13所述的Android惡意應(yīng)用檢測(cè)裝置，其特征在于，所述源碼 信息包括接口函數(shù)信息； 所述靜態(tài)掃描模塊還用于獲取預(yù)設(shè)的敏感函數(shù)信息；將與所述敏感函數(shù)信息匹配的接 口函數(shù)信息加入所述源碼分析報(bào)告。
16. 根據(jù)權(quán)利要求12或13所述的Android惡意應(yīng)用檢測(cè)裝置，其特征在于，所述源碼 信息包括應(yīng)用權(quán)限信息； 所述靜態(tài)掃描模塊還用于在所述源碼分析報(bào)告中加入所述應(yīng)用權(quán)限信息。
【文檔編號(hào)】G06F21/56GK104331662SQ201310309568
【公開(kāi)日】2015年2月4日 申請(qǐng)日期:2013年7月22日 優(yōu)先權(quán)日:2013年7月22日
【發(fā)明者】林椏泉 申請(qǐng)人:深圳市騰訊計(jì)算機(jī)系統(tǒng)有限公司