Android惡意應用檢測方法及裝置製造方法

2023-05-11 02:44:21

Android惡意應用檢測方法及裝置製造方法
【專利摘要】一種Android惡意應用檢測方法，包括：獲取輸入的Android應用的程序文件；通過Android模擬器加載所述程序文件，所述Android模擬器對應的系統連結庫和/或Android庫函數中添加有日誌輸出函數；獲取用戶輸入的操作流程信息，根據所述操作流程信息運行所述Android應用；獲取所述日誌輸出函數輸出的與所述操作流程信息對應的日誌信息；根據所述日誌信息生成檢測結果。此外，還提供了一種Android惡意應用檢測裝置。上述Android惡意應用檢測方法及裝置能夠提高檢測的準確性。
【專利說明】Android惡意應用檢測方法及裝置

【技術領域】
[0001] 本發明涉及移動網際網路【技術領域】，特別是涉及一種Android惡意應用檢測方法及 裝直。

【背景技術】
[0002] 隨著移動網際網路的發展，特別是Android行動作業系統的興起，基於Android的惡 意應用也越來越多。現有的Android惡意應用檢查工具通常通過修改Android開原始碼， 在一些敏感操作函數中加入日誌輸出功能，比如簡訊發送函數sendTextMessage等，然後 在Android模擬器的運行環境下通過機器隨機點擊生成模擬操作流程，並通過分析模擬操 作流程形成的日誌文件來識別Android惡意應用。
[0003] 然而，發明人經研究發現現有技術中的Android惡意應用檢測方法至少存在如下 問題：
[0004] 傳統技術中，由於模擬操作流程為由機器隨機點擊的方式生成，因此對於需要執 行特定操作而觸發的惡意行為則檢測不到，因此準確性較低。


【發明內容】

[0005] 基於此，有必要提供一種能提高準確性的Android惡意應用檢測方法。
[0006] 一種Android惡意應用檢測方法，包括：
[0007] 獲取輸入的Android應用的程序文件；
[0008] 通過Android模擬器加載所述程序文件，所述Android模擬器對應的系統連結庫 和/或Android庫函數中添加有日誌輸出函數；
[0009] 獲取用戶輸入的操作流程信息，根據所述操作流程信息運行所述Android應用；
[0010] 獲取所述日誌輸出函數輸出的與所述操作流程信息對應的日誌信息；
[0011] 根據所述日誌信息生成檢測結果。
[0012] 此外，還有必要提供一種能提高準確性的Android惡意應用檢測裝置。
[0013] 一種Android惡意應用檢測裝置，包括：
[0014] 程序文件獲取模塊，用於獲取輸入的Android應用的程序文件；
[0015] 應用加載模塊，用於通過Android模擬器加載所述程序文件，所述Android模擬器 對應的系統連結庫和/或Android庫函數中添加有日誌輸出函數；
[0016] 模擬運行模塊，用於獲取用戶輸入的操作流程信息，根據所述操作流程信息運行 所述Android應用；
[0017]日誌信息獲取模塊，用於獲取所述日誌輸出函數輸出的與所述操作流程信息對應 的日誌信息；
[0018] 檢測結果生成模塊，用於根據所述日誌信息生成檢測結果。
[0019] 上述Android惡意應用檢測方法及裝置，根據用戶輸入的操作流程信息生成相應 的日誌信息，並根據日誌信息生成檢測結果。與傳統技術中機器隨機點擊模擬輸入的操作 方式相比，輸入行為更符合用戶操作習慣，因此能夠對特定的操作出發的惡意行為進行檢 測，使得檢測範圍較大，從而提高了準確性。

【專利附圖】

【附圖說明】
[0020] 圖1為一個實施例中Android惡意應用檢測方法的流程圖；
[0021] 圖2為一個實施例中Android惡意應用檢測裝置的結構示意圖；
[0022] 圖3為另一個實施例中Android惡意應用檢測裝置的結構示意圖。

【具體實施方式】
[0023] 在一個實施例中，如圖1所示，一種Android惡意應用檢測方法，該方法完全依賴 於電腦程式，該電腦程式可運行於基於馮洛伊曼體系的計算機系統上。
[0024] 該方法包括以下步驟：
[0025] 步驟S102,獲取輸入的Android應用的程序文件。
[0026] Android應用對應的程序文件通常為apk文件。在本實施例中，可展示文件選擇 框組件。用戶可通過文件選擇框在本地文件中選擇相應的Android應用的apk文件進行輸 入，即可通過文件選擇框組件獲取輸入的Android應用的程序文件。
[0027] 步驟S104,通過Android模擬器加載該程序文件，Android模擬器對應的系統連結 庫和/或Android庫函數中添加有日誌輸出函數。
[0028] 在本實施例中，通過Android模擬器加載程序文件的步驟之前還包括：
[0029] 獲取Android模擬器對應的系統鏡像文件，通過反彙編系統鏡像文件為Android 模擬器對應的系統連結庫和/或Android庫函數添加日誌輸出函數。
[0030] Android模擬器為一種Android沙盒分析工具，例如DroidBox工具。其可以在 沙盒環境中運行Android應用，即可在與外界安全隔離的虛擬機環境下運行Android應 用。Android模擬器包含有系統鏡像文件，例如，system, img文件。系統鏡像文件中包含了 Android模擬器運行環境下可調用的系統連結庫和/或庫函數的定義。Android模擬器在 啟動時加載該系統鏡像文件，在運行時即可調用相應的系統連結庫和/或庫函數。
[0031 ] 在本實施例中，需要對system, img文件進行反彙編，然後通過修改源碼在 system, img文件包含的庫函數的函數定義中加入日誌輸出函數，然後使用修改後的 system, img文件版本啟動Android模擬器。
[0032] 在本實施例中，通過Android模擬器加載該程序文件的步驟可包括：在Android模 擬器中安裝輸入的Android應用的程序文件，然後啟動該Android應用。
[0033] 進一步的，獲取Android模擬器對應的系統鏡像文件的步驟之後還包括：對系統 鏡像文件進行root授權。
[0034] 在本實施例中，可通過YAFFS2img瀏覽器來修改system, img,將su和superuser 放置到系統應用目錄下，並將build, prop中的ro. config. nocheckin=yes注釋掉。經上述 修改後的system, img即為取得root授權的系統鏡像文件。
[0035] 某些Android惡意應用會在取得root授權的運行環境中觸發惡意行為，若 Android模擬器對應的系統鏡像文件未獲取root授權，則在檢測Android應用運行時的行 為時，無法對其在root授權運行環境中的行為進行檢測。因此，對系統鏡像文件進行root 授權可以使在Android模擬器中運行的Android應用能夠觸發更多的行為，使得檢測結果 更全面，從而提高了準確性。
[0036] 步驟S106,獲取用戶輸入的操作流程信息，根據操作流程信息運行Android應用。
[0037] 在本實施例中，用戶輸入的操作流程信息即用戶在Android模擬器環境下運行的 Android應用上輸入的指令的序列。可將用戶輸入的指令序列傳遞給Android應用。
[0038] 步驟S108,獲取日誌輸出函數輸出的與操作流程信息對應的日誌信息。
[0039] 如前所述，由於Android模擬器對應的Android庫函數中添加了日誌輸出函數，而 在Android模擬器中運行的Android應用在運行時，需要通過調用Android庫函數來實現 其功能，因此，Android模擬器中運行的Android應用在根據用戶輸入的操作流程信息（即 指令序列)運行時，底層調用Android庫函數的操作即會觸發Android庫函數中的日誌輸出 函數，從而生成相應的日誌信息。
[0040] 例如，若Android應用在執行用戶輸入的操作流程信息時，若其相應的業務邏輯 需要用到短息發送功能，則其會調用Android庫函數sendTextMessage，該Android庫函數 用於根據傳遞的參數發送短消息。且該sendTextMessage函數中預先加入了日誌輸出函 數，可輸出發送的簡訊的內容、目標號碼以及發送時間等日誌信息。
[0041] 步驟Sl 10,根據日誌信息生成檢測結果。
[0042] 在本實施例中，可對輸出的日誌信息進行過濾，去掉重複的和Android系統的系 統級日誌。系統級日誌即Android系統自身加載過程產生的日誌。在本實施例中，可獲取過 濾得到的日誌信息中包含的敏感操作日誌信息，根據該敏感操作日誌信息生成檢測結果。
[0043] 在一個實施例中，獲取Android應用的程序文件的步驟之後還包括：
[0044] 對Android應用的程序文件進行反編譯得到源碼信息，根據源碼信息生成源碼分 析報告。
[0045] 在本實施例中，根據日誌信息生成檢測結果的步驟還包括：在檢測結果中加入源 碼分析報告。
[0046] 在一個實施例中，源碼信息包括應用組件信息。
[0047] 根據源碼信息生成源碼分析報告的步驟包括：
[0048] 獲取應用組件信息包含的觸發條件信息；在源碼分析報告中加入觸發條件信息。
[0049] 在一個實施例中，源碼信息包括接口函數信息。
[0050] 根據源碼信息生成源碼分析報告的步驟包括：
[0051] 獲取預設的敏感函數信息，將與敏感函數信息匹配的接口函數信息加入源碼分析 報告。
[0052] 在一個實施例中，源碼信息包括應用權限信息。
[0053] 根據源碼信息生成源碼分析報告的步驟包括：
[0054] 在源碼分析報告中加入應用權限信息。
[0055] 對Android應用的程序文件（apk文件）進行反編譯可以得到AndroidManifest. xml文件以及原始碼文件。
[0056] AndroidManifest. xml文件中定義有應用組件信息以及應用權限信息。如表1 所示，該文件中可配置有Activity組件、Service組件、Broadcast Receiver組件以及 Content Provider組件的觸發條件信息。可根據從該文件提取到的觸發條件信息判斷其是 否涉及到危險操作，從而判定該apk文件對應的Android應用是否為惡意應用。
[0057] 表 1
[0058]

【權利要求】
1. 一種Android惡意應用檢測方法，包括： 獲取輸入的Android應用的程序文件； 通過Android模擬器加載所述程序文件，所述Android模擬器對應的系統連結庫和/ 或Android庫函數中添加有日誌輸出函數； 獲取用戶輸入的操作流程信息，根據所述操作流程信息運行所述Android應用； 獲取所述日誌輸出函數輸出的與所述操作流程信息對應的日誌信息； 根據所述日誌信息生成檢測結果。
2. 根據權利要求1所述的Android惡意應用檢測方法，其特徵在於，所述通過Android 模擬器加載所述程序文件的步驟之前還包括： 獲取所述Android模擬器對應的系統鏡像文件； 通過反彙編所述系統鏡像文件為所述Android模擬器對應的系統連結庫和/或 Android庫函數添加日誌輸出函數。
3. 根據權利要求2所述的Android惡意應用檢測方法，其特徵在於，所述獲取所述 Android模擬器對應的系統鏡像文件的步驟之後還包括： 對所述系統鏡像文件進行root授權。
4. 根據權利要求1所述的Android惡意應用檢測方法，其特徵在於，所述獲取Android 應用的程序文件的步驟之後還包括： 對所述Android應用的程序文件進行反編譯得到源碼信息； 根據所述源碼信息生成源碼分析報告； 所述根據所述日誌信息生成檢測結果的步驟還包括： 在所述檢測結果中加入所述源碼分析報告。
5. 根據權利要求4所述的Android惡意應用檢測方法，其特徵在於，所述獲取用戶輸入 的操作流程信息的步驟之前還包括： 根據所述源碼分析報告生成操作提示信息並展示。
6. 根據權利要求4或5所述的Android惡意應用檢測方法，其特徵在於，所述源碼信息 包括應用組件信息； 所述根據所述源碼信息生成源碼分析報告的步驟包括： 獲取所述應用組件信息包含的觸發條件信息； 在所述源碼分析報告中加入所述觸發條件信息。
7. 根據權利要求4或5所述的Android惡意應用檢測方法，其特徵在於，所述源碼信息 包括接口函數信息； 所述根據所述源碼信息生成源碼分析報告的步驟包括： 獲取預設的敏感函數信息； 將與所述敏感函數信息匹配的接口函數信息加入所述源碼分析報告。
8. 根據權利要求4或5所述的Android惡意應用檢測方法，其特徵在於，所述源碼信息 包括應用權限信息； 所述根據所述源碼信息生成源碼分析報告的步驟包括： 在所述源碼分析報告中加入所述應用權限信息。
9. 一種Android惡意應用檢測裝置，其特徵在於，包括： 程序文件獲取模塊，用於獲取輸入的Android應用的程序文件； 應用加載模塊，用於通過Android模擬器加載所述程序文件，所述Android模擬器對應 的系統連結庫和/或Android庫函數中添加有日誌輸出函數； 模擬運行模塊，用於獲取用戶輸入的操作流程信息，根據所述操作流程信息運行所述 Android 應用； 日誌信息獲取模塊，用於獲取所述日誌輸出函數輸出的與所述操作流程信息對應的日 志信息； 檢測結果生成模塊，用於根據所述日誌信息生成檢測結果。
10. 根據權利要求9所述的Android惡意應用檢測裝置，其特徵在於，所述裝置還包括 系統鏡像文件修改模塊，用於獲取所述Android模擬器對應的系統鏡像文件；通過反彙編 所述系統鏡像文件為所述Android模擬器對應的系統連結庫和/或Android庫函數添加日 志輸出函數。
11. 根據權利要求10所述的Android惡意應用檢測裝置，其特徵在於，所述系統鏡像文 件修改模塊還用於對所述系統鏡像文件進行root授權。
12. 根據權利要求9所述的Android惡意應用檢測裝置，其特徵在於，所述裝置還包括 靜態掃描模塊，用於對所述Android應用的程序文件進行反編譯得到源碼信息；根據所述 源碼信息生成源碼分析報告； 所述檢測結果生成模塊還用於在所述檢測結果中加入所述源碼分析報告。
13. 根據權利要求12所述的Android惡意應用檢測裝置，其特徵在於，所述裝置還包括 操作提示模塊，用於根據所述源碼分析報告生成操作提示信息並展示。
14. 根據權利要求12或13所述的Android惡意應用檢測裝置，其特徵在於，所述源碼 信息包括應用組件信息； 所述靜態掃描模塊還用於獲取所述應用組件信息包含的觸發條件信息；在所述源碼分 析報告中加入所述觸發條件信息。
15. 根據權利要求12或13所述的Android惡意應用檢測裝置，其特徵在於，所述源碼 信息包括接口函數信息； 所述靜態掃描模塊還用於獲取預設的敏感函數信息；將與所述敏感函數信息匹配的接 口函數信息加入所述源碼分析報告。
16. 根據權利要求12或13所述的Android惡意應用檢測裝置，其特徵在於，所述源碼 信息包括應用權限信息； 所述靜態掃描模塊還用於在所述源碼分析報告中加入所述應用權限信息。
【文檔編號】G06F21/56GK104331662SQ201310309568
【公開日】2015年2月4日 申請日期:2013年7月22日 優先權日:2013年7月22日
【發明者】林椏泉 申請人:深圳市騰訊計算機系統有限公司