[发明专利]一种仿冒应用分析系统及方法

说明书

本发明提供了一种仿冒应用分析系统及方法，对仿冒应用样本及对应的正版应用样本进行自动化的逆向分析，然后对分析结果进行科学的分类对比，能够实现对仿冒应用更细粒度、更直观、更有效的分析，最后根据对比分析结果在仿冒应用样本中寻找预定义敏感信息，获取恶意行为分析入口，以实现仿冒应用恶意行为的分析，进而为用户提供完善的防护手段。

技术领域

本发明涉及移动安全技术领域，尤其涉及一种仿冒应用分析系统及方法。

背景技术

随着移动APP的不断丰富和发展，仿冒应用产业链的规模也迅速扩大。据官方公布的2015年度仿冒应用统计报告，95%的热门APP被仿冒应用困扰。因此，鉴别和分析正版应用和仿冒应用是解决移动APP安全的一大重要问题。

目前针对仿冒应用的分析多数采用二进制对比的方法（例如，CFG控制流程图的对比），虽然二进制对比正版应用和仿冒应用能够判断出应用是否是仿冒应用，能够标记哪里被修改，但是无法对比分析出正版应用和仿冒应用更加细化的信息（例如，应用的源码被修改的内容），更加无法分析出仿冒应用的恶意行为，进而无法给用户提供完善的防护手段。

发明内容

针对上述技术问题，本发明提供了一种仿冒应用分析系统及方法，能够得到正版应用和仿冒应用更细粒度的分析结果，并能分析出仿冒应用的恶意行为，进而为用户提供完善的防护手段。

本发明公开的仿冒应用分析系统，包括加载分析引擎、对比分析引擎、输出引擎和敏感信息分析引擎，其中：

加载分析引擎，用于载入仿冒应用样本和相应的正版样本，并按第一规则分别对仿冒应用样本和正版应用样本进行逆向分析，其中，所述第一规则为对样本从应用文件属性信息、应用的源码属性信息、应用的视图信息中的至少一个角度进行分析；

对比分析引擎，用于按照第二规则分别对仿冒应用样本和正版应用样本的分析结果进行分类，并对仿冒应用样本和相应的正版样本按照已分类类别进行对比分析；

输出引擎，用于输出对比分析结果；

敏感信息分析引擎，用于根据对比分析结果在仿冒应用样本中寻找预定义敏感信息，获取恶意行为分析入口。

进一步的，所述第二规则包括对样本的分析结果按照文本类数据、树形结构数据、图形文件数据进行分类。

进一步的，所述文本类数据包括：Java源码文本、Smali源码文本、AndroidManifest文本、资源文本、签名表格信息；树形结构数据包括：源码类树形结构数据、APK包树形结构数据; 图形文件数据包括每个Smali与Java的CFG信息。

进一步的，所述输出引擎还用于对得到对比分析结果区分显示，其中，所述区分方法包括：利用颜色、注释、字体大小进行区分。

进一步的，所述预定义敏感信息包括：Smali源码中的手机号、Java源码中的手机号、链接网络信息、AndroidManifest.xml中的特殊权限及行为。

进一步的，所述应用文件属性信息包括：应用文件大小、应用文件Hash值；所述应用的源码属性信息包括：应用文件字符串信息、Java类源码结构、Smali转java的反编译信息；所述应用的视图信息包括：每个Smali与Java的CFG信息、应用文件的签名信息、资源文件信息、应用程序图标、应用文件结构信息、AndroidManifest解码信息。

本发明还公开了一种仿冒应用分析方法，包括以下步骤：

载入仿冒应用样本和相应的正版样本，并按第一规则分别对仿冒应用样本和正版应用样本进行逆向分析，其中，所述第一规则为对样本从应用文件属性信息、应用的源码属性信息、应用的视图信息中的至少一个角度进行分析；