[发明专利]一种Android程序行为的监控方法及监控系统

说明书

技术领域

本发明属于计算机技术领域，具体涉及一种Android程序行为的监控方法及监控系统。

背景技术

Android是一种基于Linux的自由及开放源代码的操作系统，主要使用于便携设备，如智能手机和平板电脑。目前尚未有统一中文名称，中国大陆地区较多人使用“安卓”或“安致”。Android操作系统最初由Andy Rubin开发，主要支持手机。2005年由Google收购注资，并组建开放手机联盟开发改良随后，逐渐扩展到平板电脑及其他领域上。第一部Android智能手机发布于2008年10月。2011年第一季度，Android在全球的市场份额首次超过塞班系统，跃居全球第一。2012年11月数据显示，Android占据全球智能手机操作系统市场76%的份额，中国市场占有率为90%。

APK是Android Package的缩写，即Android安装包(APK)。APK是类似Symbian Sis或Sisx的文件格式。通过将APK文件直接传到Android模拟器或Android手机中执行即可安装。APK文件和sis一样，把android sdk编译的工程打包成一个安装程序文件，格式为apk。APK文件其实是zip格式，但后缀名被修改为apk，通过UnZip解压后，可以看到Dex文件，Dex是Dalvik VM executes的全称，即Android Dalvik执行程序，并非Java ME的字节码而是Dalvik字节码。

目前，对于未知的可疑的APK程序，是采用人工静态分析的方法，分析其运行时是否具有恶意行为，从而辨别该未知程序是否为病毒程序。此种方法，不仅分析速度慢，而且对于一些加密程序无法分析。

发明内容

为了解决上述问题，本发明的目的在于提供一种Android程序行为的监控方法及监控系统，以提高Android程序行为的分析效率。

为了实现上述发明目的，得到了以下技术方案：

一种Android程序行为的监控方法，包括以下步骤：

通过注入程序将So动态库文件注入到系统所有进程中；

通过所述So动态库文件监控系统中运行的Android程序行为。

进一步的，所述通过所述So动态库文件监控系统中运行的Android程序行为，具体是：

通过So动态库文件中的挂钩导入表程序将系统导入表中记录的系统函数地址修改为代理函数地址；

启动运行所述可疑Android程序；

当所述可疑Android程序运行过程中调用系统函数时，通过代理函数代替所述系统函数执行相应的动作，并记录相应的程序行为。

一种Android程序行为的监控系统，包括以下模块：

注入模块，用于通过注入程序将So动态库文件注入到系统所有进程中；

监控模块，用于通过所述So动态库文件监控系统中运行的Android程序行为。

进一步的，所述监控模块包括以下子模块：

修改子模块，用于通过So动态库文件中的挂钩导入表程序将系统导入表中记录的系统函数地址修改为代理函数地址；

启动子模块，用于启动运行所述可疑Android程序；

行为记录模块，用于当所述可疑Android程序运行过程中调用系统函数时，通过代理函数代替所述系统函数执行相应的动作，并记录相应的程序行为。

本发明利用So动态库文件的代理函数替换现有的系统函数，进而在完成现有系统函数相同功能的情况下，记录其运行行为，可使得程序分析效率和准确率都更高。不仅如此，难以阅读的加密程序，在其运行时其相关行为则无处遁形。因此，本发明相对于现有分析方法分析效率和准确率都更高。

附图说明

此附图说明所提供的图片用来辅助对本发明的进一步理解，构成本申请的一部分，并不构成对本发明的不当限定，在附图中：

图1是本发明方法对应的流程图；

图2是图1第（2）步的流程图；

图3是本发明系统对应的框图；

图4是本发明系统监控模块的框图。

具体实施方式

实施例1

如图1所示，本实施例公开了一种Android程序行为的监控方法，包括以下步骤：