[发明专利]一种基于动态监控的Android恶意软件的检测方法及系统

权利要求书

1.一种基于动态监控的Android恶意软件的检测方法，其特征在于：包括以下步骤：

步骤S1、建立移动终端的各类信息的规则库；

步骤S2、查找到目标函数地址后，替换目标函数地址为包含监控代码的函数地址；

步骤S3、当移动终端的应用启动时，对应用的行为进行监控；

步骤S4、判断应用的行为是否是Android恶意软件所执行的敏感行为。

2.根据权利要求1所述的基于动态监控的Android恶意软件的检测方法，其特征在于：所述步骤S1包括：

1)收集各移动终端的信息；

2)针对每一种类型的信息，建立规则库作为样本。

3.根据权利要求1所述的基于动态监控的Android恶意软件的检测方法，其特征在于：所述步骤S2中，通过ELF文件解析查找到目标函数地址后，通过嵌入监控代码替换目标函数地址为包含监控代码的函数地址。

4.根据权利要求1所述的基于动态监控的Android恶意软件的检测方法，其特征在于：所述步骤S3中，对应用的行为进行监控时，如果允许应用的服务请求通过，则对该行为进行记录；如果拒绝应用的服务请求，则终止应用的服务请求。

5.根据权利要求1所述的基于动态监控的Android恶意软件的检测方法，其特征在于：所述步骤S4中，所述敏感行为包括获取敏感数据的行为；所述敏感数据包括用户的个人隐私数据，包括地理位置、手机短信、手机通讯录、手机信息和个人数据。

6.一种基于动态监控的Android恶意软件的检测系统，其特征在于：包括规则库建立模块、地址替换模块、行为监控模块和行为判断模块；

所述规则库建立模块用于建立移动终端的各类信息的规则库；

所述地址替换模块用于在查找到目标函数地址后，替换目标函数地址为包含监控代码的函数地址；

所述行为监控模块用于在移动终端的应用启动时对应用的行为进行监控；

所述行为判断模块用于判断应用的行为是否是Android恶意软件所执行的敏感行为。

7.根据权利要求6所述的基于动态监控的Android恶意软件的检测系统，其特征在于：所述规则库建立模块包括信息收集模块和样本建立模块；所述信息收集模块用于收集各移动终端的信息；所述样本建立模块用于针对每一种类型的信息，建立规则库作为样本。

8.根据权利要求6所述的基于动态监控的Android恶意软件的检测系统，其特征在于：所述地址替换模块通过ELF文件解析查找到目标函数地址后，通过嵌入监控代码替换目标函数地址为包含监控代码的函数地址。

9.根据权利要求6所述的基于动态监控的Android恶意软件的检测系统，其特征在于：所述行为监控模块对应用的行为进行监控时，如果允许应用的服务请求通过，则对该行为进行记录；如果拒绝应用的服务请求，则终止应用的服务请求。

10.根据权利要求6所述的基于动态监控的Android恶意软件的检测系统，其特征在于：所述敏感行为包括获取敏感数据的行为；所述敏感数据包括用户的个人隐私数据，包括地理位置、手机短信、手机通讯录、手机信息和个人数据。