[发明专利]一种基于函数流关键点监控的安卓恶意软件检测方法

权利要求书

1.一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：包括如下步骤：

步骤一、静态行为分析模块对apk文件进行解压，对其中的dex进行分析得到函数流的调用序列树状结构，同时对清单文件进行静态分析；

步骤二、动态执行还原后应用程序，跟踪记录执行流程行为；

步骤三、综合静态行为和还原应用动态行为得到函数关键流调用序列；

步骤四、对函数关键流调用序列进行细粒度的监控检测和日志存储及分析，生成详细行为分析报告。

2.根据权利要求1所述的一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：所述静态行为分析模块通过apktool或者andrguard对apk文件进行逆向分析，对生成的清单文件进行权限、Android四大组件、反射函数、加密函数、本地函数进行分析，生成详细的分析结果。

3.根据权利要求2所述的一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：所述静态行为分析模块通过apktool对apk文件进行反编译，将apk文件中的dex文件、类或方法映射成对象，得到反编译后的smali代码和AndroidManifest.xml清单文件。

4.根据权利要求3所述的一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：所述静态行为分析模块对dex文件的类或方法进行一次源码级的深层次分析，生成一个函数流的调用序列树状结构。

5.根据权利要求4所述的一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：所述调用序列包含自定义函数和Framework层函数调用流。

6.根据权利要求3所述的一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：所述静态行为分析模块对AndroidMainfest.xml扫描，对注册的敏感组件Service、receivers或permissions进行记录。

7.根据权利要求1所述的一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：步骤二所述记录行为执行流程包括：记录应用行为执行的函数流调用序列，对函数调用流树形结构敏感API和使用Service、Receivers、permissions等组件相应的详细调用序列中的invoke、return等进行记录。

8.根据权利要求1所述的一种基于函数流关键点监控的安卓恶意软件检测方法，其特征在于：步骤三所述综合静态行为分析和还原应用动态行为，得到函数关键流调用序列的方法为：通过invoke后面地址取得硬盘上的文件偏移，每次动态加载后根据相应模块基地址加上文件偏移得到函数的入口地址，通过return指令判断函数的结束地址；在函数入口加偏移地址处插入监控中转代码，在进行中转器设置之前先保存现场环境、插入中转代码、执行代理函数、获取寄存器、栈等现场环境值；取得函数当前环境中的所有值后恢复函数现成环境；当程序运行到最后一个函数，Android系统对函数进行结束操作，释放操作系统资源。