CN103902893A - 一种监控Android程序行为的方法及系统 - Google Patents
一种监控Android程序行为的方法及系统 Download PDFInfo
- Publication number
- CN103902893A CN103902893A CN201210567920.2A CN201210567920A CN103902893A CN 103902893 A CN103902893 A CN 103902893A CN 201210567920 A CN201210567920 A CN 201210567920A CN 103902893 A CN103902893 A CN 103902893A
- Authority
- CN
- China
- Prior art keywords
- android
- program
- monitoring
- android program
- operation action
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明属于计算机技术领域,具体公开了一种监控Android程序行为的方法及系统。该方法包括以下步骤:启动运行所述Android程序;监控所述Android程序的运行行为,并获取相应的运行日志;根据所述运行日志分析判定所述Android程序是否具有恶意行为。该系统包括与之对应的运行模块、监控模块和分析模块。本发明通过外置监控程序或者修改系统函数,获得并生成相应的运行日志,运行日志中包括有程序运行期间的所有行为数据,通过这些运行行为数据作为判断一个程序黑白的依据,可使得效率和准确率都更高。不仅如此,难以阅读的加密程序,在其运行时其相关行为则无处遁形。因此,本发明相对于现有分析方法分析效率和准确率都更高。
Description
技术领域
本发明属于计算机技术领域,具体涉及一种监控Android程序行为的方法及系统。
背景技术
Android是一种基于Linux的自由及开放源代码的操作系统,主要使用于便携设备,如智能手机和平板电脑。目前尚未有统一中文名称,中国大陆地区较多人使用“安卓”或“安致”。Android操作系统最初由Andy Rubin开发,主要支持手机。2005年由Google收购注资,并组建开放手机联盟开发改良随后,逐渐扩展到平板电脑及其他领域上。第一部Android智能手机发布于2008年10月。2011年第一季度,Android在全球的市场份额首次超过塞班系统,跃居全球第一。2012年11月数据显示,Android占据全球智能手机操作系统市场76%的份额,中国市场占有率为90%。
APK是Android Package的缩写,即Android安装包(APK)。APK是类似Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。APK文件和sis一样,把android sdk编译的工程打包成一个安装程序文件,格式为apk。APK文件其实是zip格式,但后缀名被修改为apk,通过UnZip解压后,可以看到Dex文件,Dex是Dalvik VM executes的全称,即Android Dalvik执行程序,并非Java ME的字节码而是Dalvik字节码。
目前,对于未知的可疑的APK程序,是采用人工静态分析的方法,分析其运行时是否具有恶意行为,从而辨别该未知程序是否为病毒程序。此种方法,不仅分析速度慢,而且对于一些加密程序无法分析。
发明内容
为了解决上述问题,本发明的目的在于提供一种监控Android程序行为的方法及系统,以提高Android程序行为的分析效率。
为了实现上述发明目的,得到了以下技术方案:
一种监控Android程序行为的方法,包括以下步骤:
启动运行所述Android程序;
监控所述Android程序的运行行为,并获取相应的运行日志;
根据所述运行日志分析判定所述Android程序是否具有恶意行为。
进一步的,所述监控所述Android程序的运行行为,具体是:通过安装在所述Android系统中的外置监控程序监控所述Android程序的运行行为。
进一步的,所述监控所述Android程序的运行行为,具体是:
通过Android系统函数监控所述Android程序的运行行为,所述Android系统函数中插入有监控代码片段。
一种监控Android程序行为的系统,包括以下模块:
运行模块,用于启动运行所述Android程序;
监控模块,用于监控所述Android程序的运行行为,并获取相应的运行日志;
分析模块,用于根据所述运行日志分析判定所述Android程序是否具有恶意行为。
进一步的,所述监控模块监控所述Android程序的运行行为,具体是通过安装在所述Android系统中的外置监控程序监控所述Android程序的运行行为。
进一步的,所述监控模块监控所述Android程序的运行行为,具体是通过Android系统函数监控所述Android程序的运行行为,所述Android系统函数中插入有监控代码片段。
本发明通过外置监控程序或者修改系统函数,获得并生成相应的运行日志,运行日志中包括有程序运行期间的所有行为数据,通过这些运行行为数据作为判断一个程序黑白的依据,可使得效率和准确率都更高。不仅如此,难以阅读的加密程序,在其运行时其相关行为则无处遁形。因此,本发明相对于现有分析方法分析效率和准确率都更高。
附图说明
此附图说明所提供的图片用来辅助对本发明的进一步理解,构成本申请的一部分,并不构成对本发明的不当限定,在附图中:
图1是本发明实施例1方法对应的流程图;
图2是本发明系统对应的框图;
图3是本发明实施例2方法对应的流程图。
具体实施方式
实施例1
如图1所示,本实施例公开了一种监控Android程序行为的方法,包括以下步骤:
(1)启动运行所述Android程序;
(2)通过安装在所述Android系统中的外置监控程序监控所述Android程序的运行行为,并获取相应的运行日志;现有Luix系统中已有各种监控程序,比如连网监控程序,比如文件操作监控程序,又比如进程创建监控程序;
(3)根据所述运行日志分析判定所述Android程序是否具有恶意行为。
如图2所示,本实施例还公开了一种与上述方法对应的系统,该系统包括以下模块:
运行模块1,用于启动运行所述Android程序;
监控模块2,用于通过安装在所述Android系统中的外置监控程序监控所述Android程序的运行行为,并获取相应的运行日志;
分析模块3,用于根据所述运行日志分析判定所述Android程序是否具有恶意行为。
本实施例通过在Android系统中直接安装外置的监控程序,以监控相应的程序行为,然后在插入了监控程序的Android系统中运行可疑Android程序,通过安装的外置监控程序获取其运行日志,从而提高程序分析效率。
实施例2
如图3所示,本实施例公开了一种监控Android程序行为的方法,包括以下步骤:
(1)启动运行所述Android程序;
(2)通过Android系统函数监控所述Android程序的运行行为,并获取相应的运行日志,所述Android系统函数中插入有监控代码片段;现有Luix系统中已有各种监控程序,比如连网监控程序,比如文件操作监控程序,又比如进程创建监控程序;
(3)根据所述运行日志分析判定所述Android程序是否具有恶意行为。
如图2所示,本实施例还公开了一种与上述方法对应的系统,该系统包括以下模块,但是监控模块2有所不同,具体如下:
运行模块1,用于启动运行所述Android程序;
监控模块2,用于通过Android系统函数监控所述Android程序的运行行为,并获取相应的运行日志,所述Android系统函数中插入有监控代码片段;
分析模块3,用于根据所述运行日志分析判定所述Android程序是否具有恶意行为。
本实施例通过修改Android系统函数本身,以监控相应的程序行为,然后在插入了监控代码片段的Android系统中运行可疑Android程序,通过修改后的系统函数获取其运行日志,从而提高程序分析效率。
以上详细描述了本发明的较佳具体实施例,应当理解,本领域的普通技术无需创造性劳动就可以根据本发明的构思做出诸多修改和变化。因此,凡本技术领域中技术人员依本发明构思在现有技术基础上通过逻辑分析、推理或者根据有限的实验可以得到的技术方案,均应该在由本权利要求书所确定的保护范围之中。
Claims (6)
1.一种监控Android程序行为的方法,其特征在于包括以下步骤:
启动运行所述Android程序;
监控所述Android程序的运行行为,并获取相应的运行日志;
根据所述运行日志分析判定所述Android程序是否具有恶意行为。
2.根据权利要求1所述的监控Android程序行为的方法,其特征在于,所述监控所述Android程序的运行行为,具体是:
通过安装在所述Android系统中的外置监控程序监控所述Android程序的运行行为。
3.根据权利要求1所述的监控Android程序行为的方法,其特征在于,所述监控所述Android程序的运行行为,具体是:
通过Android系统函数监控所述Android程序的运行行为,所述Android系统函数中插入有监控代码片段。
4.一种监控Android程序行为的系统,其特征在于包括以下模块:
运行模块,用于启动运行所述Android程序;
监控模块,用于监控所述Android程序的运行行为,并获取相应的运行日志;
分析模块,用于根据所述运行日志分析判定所述Android程序是否具有恶意行为。
5.根据权利要求4所述的监控Android程序行为的系统,其特征在于:
所述监控模块监控所述Android程序的运行行为,具体是通过安装在所述Android系统中的外置监控程序监控所述Android程序的运行行为。
6.根据权利要求4所述的监控Android程序行为的系统,其特征在于:
所述监控模块监控所述Android程序的运行行为,具体是通过Android系统函数监控所述Android程序的运行行为,所述Android系统函数中插入有监控代码片段。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210567920.2A CN103902893A (zh) | 2012-12-24 | 2012-12-24 | 一种监控Android程序行为的方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210567920.2A CN103902893A (zh) | 2012-12-24 | 2012-12-24 | 一种监控Android程序行为的方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN103902893A true CN103902893A (zh) | 2014-07-02 |
Family
ID=50994205
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201210567920.2A Pending CN103902893A (zh) | 2012-12-24 | 2012-12-24 | 一种监控Android程序行为的方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN103902893A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105389507A (zh) * | 2015-11-13 | 2016-03-09 | 小米科技有限责任公司 | 监控系统分区文件的方法及装置 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101231682A (zh) * | 2007-01-26 | 2008-07-30 | 李贵林 | 计算机信息安全的方法 |
CN101414305A (zh) * | 2008-12-01 | 2009-04-22 | 浙大网新科技股份有限公司 | 基于进程粒度和打开文件集合的pass起源信息收集方法 |
CN102479084A (zh) * | 2010-11-26 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种Android终端获取日志的方法及装置 |
-
2012
- 2012-12-24 CN CN201210567920.2A patent/CN103902893A/zh active Pending
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101231682A (zh) * | 2007-01-26 | 2008-07-30 | 李贵林 | 计算机信息安全的方法 |
CN101414305A (zh) * | 2008-12-01 | 2009-04-22 | 浙大网新科技股份有限公司 | 基于进程粒度和打开文件集合的pass起源信息收集方法 |
CN102479084A (zh) * | 2010-11-26 | 2012-05-30 | 腾讯科技(深圳)有限公司 | 一种Android终端获取日志的方法及装置 |
Non-Patent Citations (1)
Title |
---|
杨卫军等: "Android移动应用软件检测平台", 《第27次全国计算机安全学术交流会论文集》 * |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105389507A (zh) * | 2015-11-13 | 2016-03-09 | 小米科技有限责任公司 | 监控系统分区文件的方法及装置 |
CN105389507B (zh) * | 2015-11-13 | 2018-12-25 | 小米科技有限责任公司 | 监控系统分区文件的方法及装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Kim et al. | ScanDal: Static analyzer for detecting privacy leaks in android applications | |
CN104834859B (zh) | 一种Android应用中恶意行为的动态检测方法 | |
EP3314503B1 (en) | Simulation of an application | |
CN110737895B (zh) | 使用静态和动态恶意软件分析来扩展恶意软件的动态检测 | |
KR102415971B1 (ko) | 악성 모바일 앱 감지 장치 및 방법 | |
JP6122493B2 (ja) | 適応的に移植性を有したライブラリ | |
CN102810143B (zh) | 基于Android平台手机应用程序的安全检测系统及方法 | |
KR101246623B1 (ko) | 악성 애플리케이션 진단 장치 및 방법 | |
CN102254113A (zh) | 一种检测和拦截移动终端恶意代码的方法及系统 | |
CN103778373A (zh) | 病毒检测方法及装置 | |
US20130081002A1 (en) | Selective data flow analysis of bounded regions of computer software applications | |
CN103902890A (zh) | 一种Android程序行为的监控方法及监控系统 | |
WO2015074489A1 (zh) | 一种测试Android应用程序的方法和装置 | |
KR101256468B1 (ko) | 악성 파일 진단 장치 및 방법 | |
CN108090352B (zh) | 检测系统及检测方法 | |
CN102831334B (zh) | 一种目标地址定位方法和系统 | |
CN103902893A (zh) | 一种监控Android程序行为的方法及系统 | |
CN108171061B (zh) | 一种安卓系统内核安全检测方法和装置 | |
KR20130020135A (ko) | 통합 개발 환경에서의 코드 동시 개발자 리스트 제공 시스템 및 방법 | |
CN103902891A (zh) | 一种通过Android模拟器检测病毒程序的方法及系统 | |
CN104751026A (zh) | 安卓系统的软件保护方法、软件应用方法及相关装置 | |
KR101530530B1 (ko) | 모바일단말의 악성 프로세스 실행 탐지 시스템 및 방법 | |
CN111382416B (zh) | 应用程序的运行识别方法、装置,终端设备及存储介质 | |
CN104008316B (zh) | 基于改变脚本环境进行信息隐藏的方法和系统 | |
KR101337077B1 (ko) | 안드로이드 기반의 인비저블 시스템 서비스 운영 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20140702 |
|
RJ01 | Rejection of invention patent application after publication |