[发明专利]应用程序动态分析的方法及装置

权利要求书

1.一种应用程序动态分析的方法，其特征在于，所述方法包括：

获取待分析的应用程序的安装包文件；

将所述安装包文件放入沙箱中运行，收集所述安装包文件在运行过程中产生的行为数据，其中，所述行为数据包括以下数据中的一种或多种：运行日志、运行截图、传输数据；

对所述行为数据进行分析，得到分析结果；

其中，所述对所述行为数据进行分析，得到分析结果进一步包括：

将所述行为数据输入到预先设置的行为数据模型中，对所述行为数据进行敏感行为分析、恶意行为分析、行为趋势分析、权限分析和/或行为分类分析，得到分析结果，其中，所述行为数据模型是对应用特征库中的行为特征进行训练得到的。

2.根据权利要求1所述的方法，其特征在于，所述收集所述安装包文件在运行过程中产生的行为数据进一步包括：

利用污点分析和/或钩子技术收集经过内核轻量化处理后的应用模拟器运行所述安装包文件过程中产生的行为数据。

3.根据权利要求2所述的方法，其特征在于，所述经过内核轻量化处理后的应用模拟器运行所述安装包文件具体为：通过代码覆盖技术触发经过内核轻量化处理后的应用模拟器自动运行所述安装包文件。

4.根据权利要求1-3任一项所述的方法，其特征在于，在将所述安装包文件放入沙箱中运行之前，所述方法还包括：

判断所述安装包文件是否经过加壳处理；

若是，则对所述安装包文件进行脱壳处理。

5.根据权利要求4所述的方法，其特征在于，所述判断所述安装包文件是否经过加壳处理进一步包括：

对所述安装包文件进行脚本解析处理，判断所述安装包文件中是否包含加固厂商标识和加固方案。

6.根据权利要求4所述的方法，其特征在于，在对所述安装包文件进行脱壳处理后，所述方法还包括：

对所述安装包文件进行插桩处理。

7.根据权利要求1-3任一项所述的方法，其特征在于，所述对所述行为数据进行分析，得到分析结果进一步包括：

通过模式匹配方式对所述行为数据进行分析，得到分析结果。

8.根据权利要求1-3任一项所述的方法，其中，所述应用程序为移动应用程序或非移动应用程序。

9.一种应用程序动态分析的装置，其特征在于，所述装置包括：

获取模块，用于获取待分析的应用程序的安装包文件；

行为数据收集模块，用于将所述安装包文件放入沙箱中运行，收集所述安装包文件在运行过程中产生的行为数据，其中，所述行为数据包括以下数据中的一种或多种：运行日志、运行截图、传输数据；

分析模块，用于对所述行为数据进行分析，得到分析结果；

其中，所述分析模块进一步用于：将所述行为数据输入到预先设置的行为数据模型中，对所述行为数据进行敏感行为分析、恶意行为分析、行为趋势分析、权限分析和/或行为分类分析，得到分析结果，其中，所述行为数据模型是对应用特征库中的行为特征进行训练得到的。

10.根据权利要求9所述的装置，其中，所述行为数据收集模块进一步用于：利用污点分析和/或钩子技术收集经过内核轻量化处理后的应用模拟器运行所述安装包文件过程中产生的行为数据。

11.根据权利要求10所述的装置，其中，所述行为数据收集模块包括：触发单元，用于通过代码覆盖技术触发经过内核轻量化处理后的应用模拟器自动运行所述安装包文件；

行为数据收集单元，用于利用污点分析和/或钩子技术收集运行所述安装包文件过程中产生的行为数据。

12.根据权利要求9-11任一项所述的装置，其中，所述装置还包括：脱壳处理模块，用于判断所述安装包文件是否经过加壳处理，在判断出所述安装包文件经过加壳处理的情况下，对所述安装包文件进行脱壳处理。