CN103793317A - 一种跟踪Android程序行为的方法及系统 - Google Patents
一种跟踪Android程序行为的方法及系统 Download PDFInfo
- Publication number
- CN103793317A CN103793317A CN201210421449.6A CN201210421449A CN103793317A CN 103793317 A CN103793317 A CN 103793317A CN 201210421449 A CN201210421449 A CN 201210421449A CN 103793317 A CN103793317 A CN 103793317A
- Authority
- CN
- China
- Prior art keywords
- android program
- android
- program
- watchdog routine
- operation action
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明属于病毒防御技术领域,具体公开了一种跟踪Android程序行为的方法及系统。该方法包括以下步骤:解包并反汇编所述Android程序;插入监控程序段至反汇编后的Android程序中,所述监控程序段用于监控所述Android程序运行过程中的运行行为;汇编并打包插入了监控程序段的Android程序;运行重新汇编后的Android程序,并通过所述监控程序段获取该Android程序的运行行为数据。本发明可以自动分析和监控Android程序的运行行为,此过程不仅分析效率高,而且对加密后的Android程序也可以进行分析。
Description
技术领域
本发明属于病毒防御技术领域,具体涉及一种跟踪Android程序行为的方法及系统。
背景技术
Android是一种以Linux为基础的开放源代码操作系统,主要使用于便携设备。目前尚未有统一中文名称,中国大陆地区较多人使用“安卓”或“安致”。Android操作系统最初由AndyRubin开发,最初主要支持手机。2005年由Google收购注资,并组建开放手机联盟开发改良,逐渐扩展到平板电脑及其他领域上。
反汇编:把目标代码转为汇编代码的过程,也可说是把机器语言转为汇编语言代码,低级转高级的意思,常用于软件破解(例如找到它是如何注册的,从而解出它的注册码或者编写注册机。),外挂技术,病毒分析,逆向工程,软件汉化。通常,编写程序是利用高级语言如C,pascal等高级语言进行编程的,然后再经过编译程序生成可以被计算机系统直接执行的文件(机器语言)。反汇编即是指将这些执行文件反编译还原成汇编语言或其他高级语言。但通常反编译出来的程序与原程序会存在些许不同,虽然执行效果相同,但程序代码会发生很大的变化,要读懂反汇编需要有扎实的高级语言编写功底,和汇编功底。目前网络上的免费软件,PSP PS NDS游戏机的破解和苹果iOS系统的越狱都跟反汇编息息相关。
随着Android系统的不断普及,各种Android病毒程序也日渐兴起,目前面对这些程序的分析方法通常就是将其反编译成明文,然后人工逐一分析器程序行为,进而判断其是否具有一些恶意行为,比如:删除系统文件等等。这种方法不仅效率低下,而且通常病毒制作者也会对程序加密,反编译出来是一些乱码,根本无法分析。
发明内容
为了解决上述问题,本发明的目的在于提供一种跟踪Android程序行为的方法及系统,以自动分析和监控其运行行为。
为了实现上述发明目的,基于上述研究发现,得到了以下技术方案:
一种跟踪Android程序行为的方法,包括以下步骤:
解包并反汇编所述Android程序;
插入监控程序段至反汇编后的Android程序中,所述监控程序段用于监控所述Android程序运行过程中的运行行为;
汇编并打包插入了监控程序段的Android程序;
运行重新汇编后的Android程序,并通过所述监控程序段获取该Android程序的运行行为数据。
进一步的,所述的运行行为包括调用系统函数行为。
进一步的,所述运行行为数据包括传入参数、传出参数、以及返回值。
进一步的,所述运行重新汇编后的Android程序,具体是:将重新汇编后的Android程序置于设备模拟器或真实设备中运行。
一种跟踪Android程序行为的系统,包括以下模块:
解包和反汇编模块,解包并反汇编所述Android程序;
监控程序插入模块,插入监控程序段至反汇编后的Android程序中,所述监控程序段用于监控所述Android程序运行过程中的运行行为;
汇编和打包模块,汇编并打包插入了监控程序段的Android程序;
模拟运行模块,运行重新汇编后的Android程序,并通过所述监控程序段获取该Android程序的运行行为数据。
进一步的,所述的运行行为包括调用系统函数行为。
进一步的,所述运行行为数据包括传入参数、传出参数、以及返回值。
进一步的,所述运行重新汇编后的Android程序,具体是:将重新汇编后的Android程序置于设备模拟器或真实设备中运行。
本发明通过插入监控程序段,然后通过监控程序段在Android程序运行过程中获取其运行行为数据,根据这些运行行为数据即可知道该Android程序是否为病毒程序。此过程不仅可以自动完成提高分析效率,而且对加密后的Android程序也可以进行分析。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1是本发明方法对应的流程图;
图2是本发明系统对应的框图。
具体实施方式
如图1所示,本实施例公开了一种跟踪Android程序行为的方法,包括以下步骤:
Step1:解包并反汇编所述Android程序;所谓的解包就是压包的反过程,即将压包文件还原成原来的文件;所谓的反汇编就是把目标代码转为汇编代码的过程,也可说是把机器语言转为汇编语言代码,低级转高级的意思;本步骤采用现有的解包和反汇编各种方法,即可完成。
Step2:插入监控程序段至反汇编后的Android程序中,所述监控程序段用于监控所述Android程序运行过程中的运行行为,所述的运行行为包括调用系统函数行为;程序的行为基本都是体现在函数调用上,通过监控系统函数的调用行为可以了解该Android程序是否存在比如删除重要数据、修改系统重要参数、窃取用户信息等恶意行为。
Step3:汇编并打包插入了监控程序段的Android程序,本步骤就是将其转换成目标代码以供机器执行。
Step4:运行重新汇编后的Android程序,具体是:将重新汇编后的Android程序置于设备模拟器或真实设备中运行;并通过所述监控程序段获取该Android程序的运行行为数据,所述运行行为数据包括传入参数、传出参数、以及返回值;通过其传入参数、传出参数、以及返回值就可以完全掌握其运行行为,进而直观分析出该Android程序是否为病毒程序。
本实施例还公开了一种跟踪Android程序行为的系统,包括以下模块:
解包和反汇编模块1,解包并反汇编所述Android程序;
监控程序插入模块2,插入监控程序段至反汇编后的Android程序中,所述监控程序段用于监控所述Android程序运行过程中的运行行为,所述的运行行为包括调用系统函数行为;
汇编和打包模块3,汇编并打包插入了监控程序段的Android程序;
模拟运行模块4,运行重新汇编后的Android程序,并通过所述监控程序段获取该Android程序的运行行为数据,所述运行行为数据包括传入参数、传出参数、以及返回值。所述运行重新汇编后的Android程序,具体是:将重新汇编后的Android程序置于设备模拟器或真实设备中运行。
本发明通过插入监控程序段,然后通过监控程序段在Android程序运行过程中获取其运行行为数据,根据这些运行行为数据即可知道该Android程序是否为病毒程序。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
Claims (8)
1.一种跟踪Android程序行为的方法,其特征在于包括以下步骤:
解包并反汇编所述Android程序;
插入监控程序段至反汇编后的Android程序中,所述监控程序段用于监控所述Android程序运行过程中的运行行为;
汇编并打包插入了监控程序段的Android程序;
运行重新汇编后的Android程序,并通过所述监控程序段获取该Android程序的运行行为数据。
2.根据权利要求1所述的跟踪Android程序行为的方法,其特征在于:
所述的运行行为包括调用系统函数行为。
3.根据权利要求1所述的跟踪Android程序行为的方法,其特征在于:
所述运行行为数据包括传入参数、传出参数、以及返回值。
4.根据权利要求1所述的跟踪Android程序行为的方法,其特征在于:
所述运行重新汇编后的Android程序,具体是:将重新汇编后的Android程序置于设备模拟器或真实设备中运行。
5.一种跟踪Android程序行为的系统,其特征在于包括以下模块:
解包和反汇编模块,解包并反汇编所述Android程序;
监控程序插入模块,插入监控程序段至反汇编后的Android程序中,所述监控程序段用于监控所述Android程序运行过程中的运行行为;
汇编和打包模块,汇编并打包插入了监控程序段的Android程序;
模拟运行模块,运行重新汇编后的Android程序,并通过所述监控程序段获取该Android程序的运行行为数据。
6.根据权利要求5所述的跟踪Android程序行为的系统,其特征在于:
所述的运行行为包括调用系统函数行为。
7.根据权利要求5所述的跟踪Android程序行为的系统,其特征在于:
所述运行行为数据包括传入参数、传出参数、以及返回值。
8.根据权利要求5所述的跟踪Android程序行为的系统,其特征在于:
所述运行重新汇编后的Android程序,具体是:将重新汇编后的Android程序置于设备模拟器或真实设备中运行。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210421449.6A CN103793317B (zh) | 2012-10-26 | 2012-10-26 | 一种跟踪Android程序行为的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210421449.6A CN103793317B (zh) | 2012-10-26 | 2012-10-26 | 一种跟踪Android程序行为的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103793317A true CN103793317A (zh) | 2014-05-14 |
| CN103793317B CN103793317B (zh) | 2017-08-11 |
Family
ID=50669018
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210421449.6A Active CN103793317B (zh) | 2012-10-26 | 2012-10-26 | 一种跟踪Android程序行为的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103793317B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109992467A (zh) * | 2017-12-29 | 2019-07-09 | 天津亚克互动科技有限公司 | 交互式应用产生的数据的解析方法和系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101266549A (zh) * | 2008-03-19 | 2008-09-17 | 华为技术有限公司 | 插入代码的方法、装置及存储介质 |
| CN101739333A (zh) * | 2008-11-25 | 2010-06-16 | 国际商业机器公司 | 应用程序的调试方法、调试工具及调试装置 |
| CN102053906A (zh) * | 2009-10-30 | 2011-05-11 | 国际商业机器公司 | 用于收集程序运行时信息的系统和方法 |
| US20120210443A1 (en) * | 2011-02-11 | 2012-08-16 | Mocana Corporation | Securing and managing apps on a device |
-
2012
- 2012-10-26 CN CN201210421449.6A patent/CN103793317B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101266549A (zh) * | 2008-03-19 | 2008-09-17 | 华为技术有限公司 | 插入代码的方法、装置及存储介质 |
| CN101739333A (zh) * | 2008-11-25 | 2010-06-16 | 国际商业机器公司 | 应用程序的调试方法、调试工具及调试装置 |
| CN102053906A (zh) * | 2009-10-30 | 2011-05-11 | 国际商业机器公司 | 用于收集程序运行时信息的系统和方法 |
| US20120210443A1 (en) * | 2011-02-11 | 2012-08-16 | Mocana Corporation | Securing and managing apps on a device |
Non-Patent Citations (1)
| Title |
|---|
| GF771115: "APK反编译后插入代码", 《HTTP://BLOG.CSDN.NET/GF771115/ARTICLE/DETAILS/7924245》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109992467A (zh) * | 2017-12-29 | 2019-07-09 | 天津亚克互动科技有限公司 | 交互式应用产生的数据的解析方法和系统 |
| CN109992467B (zh) * | 2017-12-29 | 2023-04-18 | 天津亚克互动科技有限公司 | 交互式应用产生的数据的解析方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103793317B (zh) | 2017-08-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9792433B2 (en) | Method and device for detecting malicious code in an intelligent terminal | |
| KR102415971B1 (ko) | 악성 모바일 앱 감지 장치 및 방법 | |
| CN104834859A (zh) | 一种Android应用中恶意行为的动态检测方法 | |
| CN104834858A (zh) | 一种android应用中恶意代码的静态检测方法 | |
| RU2010130874A (ru) | Система и способ проверки веб-ресурсов на наличие вредоносных компонент | |
| CN104298534B (zh) | 基于Lua语言的编程方法和装置 | |
| CN102254113A (zh) | 一种检测和拦截移动终端恶意代码的方法及系统 | |
| CN103902729A (zh) | 一种应用程序推荐的方法及装置 | |
| CN104243486A (zh) | 一种病毒检测方法及系统 | |
| CN105094939B (zh) | 一种基于Makefile自动编译技术实现的软件源文件静态分析方法 | |
| Lu et al. | DeepAutoD: Research on distributed machine learning oriented scalable mobile communication security unpacking system | |
| WO2016095570A1 (zh) | 一种嵌入式系统的调试方法及装置、存储介质 | |
| CN107102885A (zh) | 利用adb方式检测安卓模拟器的方法及装置 | |
| CN103294951A (zh) | 一种基于文档型漏洞的恶意代码样本提取方法及系统 | |
| CN104134019A (zh) | 检测脚本病毒的方法和装置 | |
| CN112287342A (zh) | 物联网固件动态检测方法、装置、电子设备以及存储介质 | |
| CN103902890A (zh) | 一种Android程序行为的监控方法及监控系统 | |
| CN106293849A (zh) | 一种应用更新方法和终端 | |
| CN103051711A (zh) | 基于spice协议的嵌入式云终端系统的构建方法 | |
| CN106709350A (zh) | 一种病毒检测方法及装置 | |
| CN104077158A (zh) | 安装插件的方法及装置 | |
| CN103793317A (zh) | 一种跟踪Android程序行为的方法及系统 | |
| CN103793209A (zh) | 一种修改Android程序执行流程的方法及系统 | |
| CN106294181B (zh) | 智能卡软件使用寿命测试方法 | |
| CN104751026A (zh) | 安卓系统的软件保护方法、软件应用方法及相关装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: 519070, six level 601F, 10 main building, science and technology road, Tangjia Bay Town, Zhuhai, Guangdong. Co-patentee after: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee after: ZHUHAI JUNTIAN ELECTRONIC TECHNOLOGY Co.,Ltd. Co-patentee after: Beijing Cheetah Mobile Technology Co.,Ltd. Co-patentee after: Beijing Cheetah Network Technology Co.,Ltd. Address before: 519015 8 Lanshan lane, Jida Jingshan Hill Road, Zhuhai, Guangdong Co-patentee before: BEIJING KINGSOFT INTERNET SECURITY SOFTWARE Co.,Ltd. Patentee before: Zhuhai Juntian Electronic Technology Co.,Ltd. Co-patentee before: SHELL INTERNET (BEIJING) SECURITY TECHNOLOGY Co.,Ltd. Co-patentee before: BEIJING KINGSOFT NETWORK TECHNOLOGY Co.,Ltd. |
|
| CP03 | Change of name, title or address |