[发明专利]安卓应用程序的动态行为监测方法及系统

权利要求书

1.一种安卓应用程序的动态行为监测方法，其特征在于，包括：

监测主机在待测应用程序所需调用的敏感操作系统应用程序编程接口的代码处设置断点；

所述监测主机向移动设备发送监测命令报文；

在接收到所述监测命令报文后，移动设备在运行所述待测的应用程序时，若调用了所述敏感操作系统应用程序编程接口，则触发一断点事件；

所述移动设备暂停运行所述待测的应用程序，并将所述断点事件发送给所述监测主机；

所述监测主机在接收到所述断点事件后，向所述移动设备发送监测数据请求报文；

所述移动设备根据所述监测数据请求报文向所述监测主机发送被移动设备调用的所述敏感操作系统应用程序编程接口的监测数据；

所述监测主机将所述监测数据进行显示；

在监测主机在待测应用程序所需调用的敏感操作系统应用程序编程接口的代码处设置断点之前，所述方法还包括：

所述移动设备运行所述待测的应用程序，并启动一Dalvik虚拟机进程；所述Dalvik虚拟机进程包括一调试线程，所述调试线程中记录有所述Dalvik虚拟机进程的身份标识；

所述移动设备建立所述调试线程与移动设备中的设备端代理的Socket连接；

所述移动设备通过所述设备端代理，将所述身份标识发送给所述监测主机。

2.根据权利要求1所述的动态行为监测方法，其特征在于，所述监测数据包括所述敏感操作系统应用程序编程接口的函数名、类名、待测的应用程序向敏感操作系统应用程序编程接口函数发送的参数值以及调用栈信息。

3.根据权利要求1所述的动态行为监测方法，其特征在于，还包括：

所述监测主机通过监测主机中的Dalvik调试管理库为所述身份标识对应的Dalvik虚拟机进程选择一个本地TCP端口作为本地调试端口；

所述监测主机建立所述本地TCP端口与所述调试线程的数据包转发连接。

4.根据权利要求3所述的动态行为监测方法，其特征在于，在所述监测主机将所述监测数据进行显示之后，所述方法还包括：

所述监测主机向所述移动设备发送应用程序继续运行指令；

所述移动设备在接收到所述应用程序继续运行指令后，控制被暂停的所述待测的应用程序继续运行。

5.一种安卓应用程序的动态行为监测系统，其特征在于，包括：通过USB接口连接的监测主机和移动设备；其中，

所述监测主机，用于在待测应用程序所需调用的敏感操作系统应用程序编程接口的代码处设置断点，并向移动设备发送监测命令报文；

所述移动设备，用于在运行所述待测的应用程序，且调用了所述敏感操作系统应用程序编程接口时，触发一断点事件；

所述移动设备，还用于暂停运行所述待测的应用程序，并将所述断点事件发送给所述监测主机；

所述监测主机，还用于在接收到所述断点事件后，向所述移动设备发送监测数据请求报文；

所述移动设备，还用于根据所述监测数据请求报文向所述监测主机发送被移动设备调用的所述敏感操作系统应用程序编程接口的监测数据；

所述监测主机，还用于将所述监测数据进行显示；

所述移动设备，还用于运行所述待测的应用程序，并启动一Dalvik虚拟机进程；所述Dalvik虚拟机进程包括一调试线程，所述调试线程中记录有所述Dalvik虚拟机进程的身份标识；建立所述调试线程与移动设备中的设备端代理的Socket连接，并通过所述设备端代理，将所述身份标识发送给所述监测主机。

6.根据权利要求5所述的动态行为监测系统，其特征在于，所述移动设备发送的监测数据包括所述敏感操作系统应用程序编程接口的函数名、类名、待测的应用程序向敏感操作系统应用程序编程接口函数发送的参数值以及调用栈信息。

7.根据权利要求5所述的动态行为监测系统，其特征在于，所述监测主机，还用于通过监测主机中的Dalvik调试管理库为所述身份标识对应的Dalvik虚拟机进程选择一个本地TCP端口作为本地调试端口；建立所述本地TCP端口与所述调试线程的数据包转发连接。

8.根据权利要求7所述的动态行为监测系统，其特征在于，所述监测主机还用于向所述移动设备发送应用程序继续运行指令；

所述移动设备，还用于在接收到所述应用程序继续运行指令后，控制被暂停的所述待测的应用程序继续运行。